员工私设USB Wifi的技术管控方法

内网安全等级高、数据敏感性强，公司往往会实行较为严格的准入控制措施。然而“堡垒最易从内部突破”，部分员工出于不可告人的目的，采取私设USB Wifi的方式，为违规接入提供了便利又隐蔽的手段。如果我们不及时有效扼制，将会给公司带来数据安全的重大损失。

这里，我搜集了一些常用的技术管控方法，希望能够帮到有需要的读者。

首先是免费的方法，主要包括以下两种：

• 一是通过注册表禁用USB。USB Wifi要通过USB接入，禁用USB也就使得USB Wifi无法使用。

# 禁用USB的脚本
@echo off
COPY %WINDIR%/inf/usbstor.inf %WINDIR%/usbstor.inf
COPY %WINDIR%/inf/usbstor.PNF %WINDIR%/usbstor.PNF
reg add "HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/USBSTOR" /v Start /t reg_dword /d 4 /f

注意：采取这种方法，如果员工懂技术，USB很可能被再次打开

• 二是修改核心业务系统的服务器ttl值。USB wifi相当于内网的二级路由，如果我们将服务器的ttl值设置为1，服务器流出的数据包经过路由后，ttl值则减1变为0。这样的话，USB Wifi就会直接丢弃该数据包，所以通过USB Wifi违规接入的终端也就无法使用内网的业务系统了。

注意：如果内网本身就是多跳，ttl的值也要相应的修改

其次是收费的方法，对于财大气粗的公司来说，购买合适的商业产品能够有效规避风险，这里简单介绍三种：

• 一是购买具有终端管控功能的网管系统，它能够发现USB Wifi在终端生成的无线网卡，同时进行报警和禁用处理。
• 二是在终端机箱外再加装一层外罩并锁好，让员工终端的USB接口彻底无法使用。
• 三是使用无线侦测工具。比如通过科来的无线检查工具实时检查USB Wifi使用情况，出现问题及时整改。