保护USB设备安全

本文档将提供以下内容：

应用安全USB设置到计算机
对保护USB设备安全添加限制和排除设备
撤销所有应用于用户的USB限制

描述

保护USB安全配置允许用户或计算机阻止或解除USB设备的使用。

使用此配置，您可以阻止或解除以下设备：

鼠标
磁盘驱动器(例如，USB驱动器和外部硬盘驱动器)
光盘驱动器
便携式设备(例如:移动电话、数码相机和便携式媒体播放器)
软盘
蓝牙设备
图像(例如，USB摄像头和扫描仪)
打印机
调制解调器
苹果USB设备(例如:iPhone、iPad和iPod touch)

您还可以使用分配给每个设备的供应商ID或设备实例ID排除设备。

应用安全USB设置到计算机

当您将保护USB安全配置应用于计算机和用户时，为计算机所做的设置将在为用户所做的设置之前应用。比如，假设你做了以下设置：

用户的设置配置
1. 管理员：您已经解除了磁盘驱动器的使用
2. 其他用户（不包括管理员）：您还没有部署任何配置
计算机的设置配置:您已经阻止了便携设备和磁盘驱动器的使用

将进行以下操作：

计算机启动：为计算机所做的保护USB安全配置设置将在计算机启动时应用。这意味着不能使用移动设备和磁盘驱动器。
管理员登录：应用计算机的保护USB安全配置。但是，它会被为管理员做的设置覆盖。这意味着，管理员可以使用磁盘驱动器。
其他用户（不包括管理员）登录：应用计算机的保护USB安全配置。
其他用户（不包括管理员）注销：当用户注销时为用户做的注销操作设置就会应用。如果注销操作设置为不改变设备状态，那么所做的设置将应用于下一个登录的用户，前提是该用户没有任何应用于他们的设置。

注意: 阻止 USB，代表阻止使用任何USB设备访问。
允许 USB,代表重新启用已阻止的USB设备访问。
不更改，代表目前设置不做更改。

向保护USB设备安全添加限制

作为管理员，您可以创建一个配置阻止/解除特定的USB设备。如果有需要的话，您也可以排除特定设备。

如果要为用户创建一个配置保护USB设备安全，请参考以下步骤：

进入配置页签，从Windows配置列表选择保护USB安全。
为配置命名并添加描述
单击添加以应用限制
要添加设备，选择设备，选择阻止或解除设备。当您选择了阻止设备，您也可以指定需要设为例外的设备。
定义目标
指定需要的执行设置
单击部署

您已经创建了保护USB设备安全的配置。当用户登录到计算机时，这些配置将会被应用。

排除设备

当您阻止设备时可以将某些设备设为例外，使它们不会被阻止。可以使用供应商ID或者设备实例ID,分配给每一个设备。只有当您阻止设备时才能将设备设为例外。要想将设备设为例外，请参考以下步骤：

单击设备上的将设备设为例外链接。
您也可以选择阻止来自特定厂商的设备。您必须指定设备实例ID, Desktop Central将获取供应商实例ID并排除特定供应商的所有设备。
您可以选择排除特定设备列表中的所有加密设备。使用BitLocker加密的设备可以添加到排除列表。
单击关闭

您已经将一台设备从阻止列表中排除了。

设备实例ID

每个USB设备都有唯一的ID。这个ID由系统分配给设备，以便于识别它们。如果要识别一个设备的设备实例ID，请参考以下步骤：

右键单击我的计算机
单击属性
单击设备管理器（请参考下图）
从设备列表中展开需要设备实例ID的设备列表。

(例如:如果您想识别已连接到计算机的移动电话的设备实例ID，请展开便携设备并执行下一步操作。)
右键单击特定设备的名称，点击属性（请参考下图）

图2：属性

1. 单击详细信息页签
2. 在下拉框中，选择设备实例ID或设备实例路径(参见下图)

图3：设备实例ID

在Windows Vista(及更高版本)操作系统的计算机中，设备实例ID被称为设备实例路径。可以从设备管理器属性表中复制设备实例路径。

在安装了较旧版本Windows操作系统的计算机中，不能直接从设备管理器的属性表中复制设备实例ID。

要复制设备实例ID，必须打开dcusbaccess日志文件。文件位于<Drive>\<Desktopcentral_Agent Folder>\logs\dcusbaccess.log.它包括以下信息：

操作时间（插入/移除时间）
操作（插入/移除）
友好名称
设备实例ID

现在可以查看和复制特定设备的设备实例ID。

撤销所有应用于计算机的USB限制

管理员可以选择撤销应用于计算机的所有USB相关限制。

如果要创建一个撤销所有对用户USB相关的限制，请参考以下步骤：

进入配置页签，从Windows配置列表选择保护USB安全。
为配置命名并添加描述
单击移除以撤销所有应用于计算机的限制。
定义目标
指定需要的执行设置。
单击部署。