想要控制USB端口的數據傳輸，我們收集了目前可行的所有做法，總共歸納為3大類、12種方式。 
第1大類是物理封鎖，又可細分成完全禁用、彈性禁用，以及貼標簽檢查；第2類是修改操作系統設定，從Windows環境著手修改；第3類手段更全面，如果企業想獲得最高的控制彈性，以專用的外設控制解決方案，或搭配其它安全方案的管理手段聯合控制，即可達到要求。而這里要特別注意的是，企業是否真正需要大量個人端電腦控制與監視能力，如果確有需求，那么企業多半須要花錢采購、配置特定的設備。 1. bios 中禁用，在Advance Chip Setting 里，關閉USB ON Board 選項，可以通過debug ，放電，或者軟件等方法破解bios 密碼
2. 文件權限，如果計算機上尚未安裝USB 存儲設備，向用戶或組分配對%SystemRoot%InfUsbstor.pnf 和 %SystemRoot%InfUsbstor.inf 兩個文件的'拒絕'權限。
3. 如果計算機上已經安裝過USB 存儲設備，請將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR 注冊表項中的'Start '值設為4

第一種、禁用BIOS的相關設定
·優點：設定容易，做法簡單
·缺點：BIOS的管理密碼可能被破解
在主板的BIOS設定里，我們可以將USB端口的功能，設定為禁用。由于設定十分容易，做法簡單，因此成為企業經常用來管理USB設備的手段。為了防止員工自行進入BIOS重新啟用USB端口的功能，一般在完成設定之后，IT人員會同時設定BIOS的管理密碼，只有相關獲得授權的人員才能訪問、更改BIOS設定。 
需要特別注意的是：BIOS與USB端口相關設定的名稱與位置，往往隨品牌的不同，而有所差異，甚至沒有這方面的設定。 
此外BIOS的管理密碼并非設定之后，就無法破解。只要進行主板放電操作，也就是將主板上的紐扣電池取出后、再重新放回，BIOS密碼就會恢復成默認值，而員工就能趁機進入BIOS更改設定。不過，對企業來說，一般都不允許員工私自拆裝公司所配發的電腦，而只要非IT部門的人員，在進行類似的動作時，就很容易引起其他人的注意。而在機密數據外泄事件發生后，此人自然會成為公司重點排查的可疑對象。 圖1

 

在主板的BIOS設定里，我們可以將USB端口的功能設定為禁用。

第二種、貼上易碎貼紙
·優點：用肉眼就可以分辨電腦的USB端口有無使用過的跡象
·缺點：貼紙不小心破碎時，容易引發不必要的誤會
這種做法經常見于高科技園區的許多IT企業，適用對象多半針對企業的來訪者，較少使用在內部的員工電腦。 
來訪者將筆記本電腦攜入辦公區之前，門口的接待人員會在該臺電腦的USB端口與網絡端口上，粘貼一張易碎貼紙，以確認來訪者在進入企業內部的這段時間里，是否曾經通過這些通用接口聯接外設設備，或者存取數據。 
用易碎貼紙控制USB，好處在于只要通過肉眼，就可以分辨電腦的連接端口是否曾經使用過，可是，一旦貼紙因為各種原因而產生破裂，就很容易造成誤會。這時，IT人員有權檢查來訪者的電腦，看硬盤里是否存放了本企業的機密數據，在確認無異狀之后，才會放行，讓來訪者把筆記本電腦帶走。

第三種、移除主板上的USB跳線的連接線
·優點：使USB端口功能達到真正的完全失效。
·缺點：管理上欠缺彈性，日后重新啟用USB端口功能的時候，需要打開電腦機箱，插回跳線的連接線。
移除主板上跳線（Jumper）的連接線，同樣能夠實現禁用主板上的USB端口的功能。不同于在BIOS將USB端口功能設定禁用，跳線的連接線之后，USB端口的功能達到真正的完全失效，不但無法讀取USB設備，同時不能通過USB給連接在電腦上的USB外設供電。 
當企業因為業務上的需求，而要啟用USB端口功能的時候，就必須先將電腦機箱打開、將跳線的連接線插回去，做法上較為麻煩。

第四種、用熱熔膠堵住端口
·優點：可徹底封鎖USB
·缺點：USB端口硬件隨之失效，無法使用
也有許多企業，尤其是政府機關、安全機構，經常是以熱熔膠等填充物堵住電腦的USB端口，不讓員工使用，一旦封鎖之后，即無法再連接任何的USB外設設備。 
這是一種破壞性的封鎖方式，當填充物注入USB孔時，USB接口也會隨之損壞，而永久無法使用。

第五種、插上專用適配卡或硬件鎖
·優點：重新啟用時，不需要拆掉硬件，或者重新開機，原有的電腦操作不會因此中斷或改變
·缺點：管理彈性較差
有一些現成的硬件設備，能夠幫助企業管理USB的使用。市面上有一種適配卡式的產品，插在主板上的PCI插槽之后，USB等外設連接端口的功能就會隨之失效。產品本身附有一個遙控器，如果日后還有使用USB的需求，只要按下遙控器上的按鈕，連接端口的功能就會開放，同時不影響電腦目前正在執行中的電腦操作。 
還一種是硬件鎖，可以鎖住電腦上的連接接口，但根據使用需求而取下，恢復USB端口的功能，不像使用熱熔膠灌入USB插口時，會造成硬件界面的損壞。某些品牌電腦的廠商就推出了這樣的產品設計，讓習慣采購同品牌電腦的企業作為選購配件；另外，在一些電腦賣場也能找到具有類似功能的產品。

第六種、利用員工群組原則，集中控制
·優點：適用于大量電腦環境，可批量強制實施，統一設定
·缺點：人性化不足，管理彈性較差
員工人數稍有規模的企業，一般都會在內部架設Windows Active Directory（AD）服務器，并將所有電腦加入網域，以便實施統一控制。有了這樣的集中管理環境，IT人員就可以在一臺電腦中處理完所有員工電腦的控制措施，不用像前面幾種方式一樣，需要到每一臺電腦手動設定。 
企業可以通過設定群組對象原則（GPO）的方式，在AD服務器的管理界面執行相關的設置，接著將規則發送到所有員工的電腦中，就可以關閉外設設備的使用權限。不只是USB儲存設備，企業也可以使用相同方式控制光驅、LS-120，以及軟驅的使用。

第七種、修改電腦Windows系統的特定注冊表項
·優點：設置簡單
·缺點：對于了解電腦操作的人來說，效果有限
對于連接過USB儲存設備的電腦，可以利用修改注冊表設置的方式，禁止員工在電腦上使用USB儲存設備。開啟Windows的登錄編輯程序，在“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceUSBSTOR”的項目下找到Start數值，點選開啟之后，將數值由預設的3，修改為4，就能將USB儲存設備設置為禁用。此種做法，對于知道如何修改注冊表的員工來說，隨時可以將注冊表項設置恢復成默認值，繼續在電腦上使用USB儲存設備。 如果企業有使用Windows Vista，則可以群組設置中，將移除式磁盤驅動器的項目設置為拒絕授予讀寫權限。

 

直接修改電腦內的特定注冊表項，也可以達到USB禁用的效果，合適少量電腦的封鎖。

第八種、刪除USB儲存設備的驅動程序
·優點：可針對不同USB設備個別控制
·缺點：僅能針對先前未曾連接USB儲存設備的電腦
適用于未曾連接過任何USB儲存設備的電腦。在“C:WINDOWSinf”路徑下，可以找到usbstor.inf、usbstor.PNF兩個安裝信息文檔，這是Windows系統用來辨識USB儲存設備的驅動程序。 
我們可以針對這兩個文檔設置存取權限，修改文件名稱，或者直接刪除文檔，就可以讓讓員工無法在自己電腦上使用USB儲存設備。相同的做法，也能用于打印機、網絡攝像頭等USB設備的管理。 

第九種、采用外部設備控制產品的解決方案
·優點：可根據需求開放一部分的功能，具備良好的管理彈性
·缺點：無法防止員工以編輯修改的方式將機密數據外流
企業對于USB的管理需求往往不只是單純的開與關而己，而是希望根據實際需求來決定要開放什么樣的功能，在此種情況下，就需要導入外部設備的控制產品來達成這項目的。 
這類產品通常會通過安裝在用戶電腦上的代理程序實施管理，而且能夠整合Windows AD、LDAP等目錄服務，讓同一部門、相同群組的電腦套用相同的規則做管理，省去個別調整設置的麻煩。 
除了設置開關之外，這類產品對于外設的插口，可以提供相當精細的管理功能，對于USB儲存設備，可以設置成只讀屬性，只能閱覽移動U盤里的數據，但不可以執行寫入的動作，對于智能型手機，這類員工工作上經常使用到的設備，通過某些這類型的產品，可以只允許電腦與手機之間交換通訊簿，與行事歷，但不能將電腦里的數據復制到手機上的記憶卡里。 
企業可以在員工將數據寫入USB儲存設備的時候，可以備份到指定的儲存空間，供企業日后稽查檢查之用，不過也有企業為了避免數據儲存上的麻煩，只是記錄文檔的傳輸動作，將此臺電腦何時傳送了什么樣的文檔記錄起來，不過這樣一來，對于員工以編輯修改的方式將機密數據外流的做法，產品就無法有效地加以管理。 
除了市面上的產品之外，網絡上也有許多免費版本的USB控制軟件，比如USB Blocker，不過，也要注意某些工具有可能是廣告軟件或間諜軟件。 
和付費產品相比，這一類控制產品的功能比較少見，采用與否，需視企業實際需求與部署規模而定。 

第十種、將重要文檔予以加密
·優點：可讓員工正常使用USB端口，并能防止設備遺失
·缺點：一旦密鑰遺失，就無法開啟移動U盤里的文檔
控制的對象以文檔為主，而非USB端口本身，當數據寫入USB儲存設備的時候，可以通過應用程序進行加密，限制擁有解密密鑰的人才能開啟該文檔，防止USB儲存設備遺失之后，里頭存放的機密數據遭到盜取。 

第十一種、借助SSL VPN或終端服務
·優點：可防止機密數據通過網絡復制到遠程電腦的磁盤驅動器
·缺點：防護范圍有限
安全廠商的SSL VPN設備提供一種稱為虛擬桌面的應用服務，當員工從外部網絡連接內部網絡之后，電腦上的屏幕畫面就會自動切換成虛擬桌面，任何存取或修改數據的動作都必須在此區域進行。 
而Windows Server的終端服務，是一種可供多人同時執行遠程服務器上應用的程序環境，這類型解決方案有一項功能是允許聯機階段，將員工端本機電腦上的磁盤驅動器、打印機等設備自動聯機，成為遠程電腦上的網絡磁盤驅動器，有可能會因此形成機密外泄通道。該怎么防護？我們可以在本地端電腦設置相關的本機群組原則──關閉磁盤重新導向的功能，禁止員工將遠程電腦上的機密數據下載。 

第十二種、實施DLP數據丟失防范解決方案
·優點：可以有效防止機密資料通過各種途徑外流，同時無需封鎖USB端口功能
·缺點：對于非Windows平臺的控制效果較差
DLP數據丟失防范是更進一步的機密數據安全保護方案，功能上不但包含外部設備控制的功能，更結合數據過濾的方式，從文檔內容著手，在不影響USB端口功能的情況下，將含有機密內容的數據攔阻下來，不允許復制到USB儲存設備，或者通過網絡傳送出去。