U盘是大家最常用的移动存储设备,不过它的即插即用特性在给我们带来方便同时,也带来了极大的安全隐患。一款没有加密功能的U盘,在借给他人使用或不慎丢失时,其中所保存的资料将很容易被查看或删除。而要想避免这种情况发生,你只要稍加动手,不需使用任何软件,即可将普通U盘打造得“固若金汤”,不相信的朋友就随我一起来吧!
一、NTFS格式是安全基础
默认情况下,U盘的磁盘格式都为FAT,而我们只要把它转化为NTFS格式,就可使U盘也可以使用NTFS下的权限、配额等安全设置了。转换方法很简单,只要在插入U盘后,在“运行”对话框中输入“convert j: /fs:NTFS /x”命令(这里“j:”是本机U盘的盘符,“/x”表示强行卸载卷),回车后就能在资源管理器中看到U盘已转化为NTFS分区。接下来,我们就可在此基础上打造各具安全特色的U盘了。
由于NTFS磁盘格式的特性所限,16MB容量的U盘是无法完成转换的。而如果使用Convert命令时提示无法转换,那么可先将U盘拔下,重新插入后再执行命令即可。
二、我的U盘会认人
U盘上都有只读切换开关,它可使U盘变为只读,从而更好的保护U盘资料。不过这个路人皆知的方法显然无法全面保护U盘内的资料,现在借助NTFS的权限功能,我们来打造一款真正安全的只读U盘。
打开“我的电脑”,单击菜单栏中的“工具→文件夹选项→查看”命令,去除“高级设置”选项下“简单文件共享”的选中状态。现在,右击U盘选择“属性”,在打开的窗口中转到“安全”选项卡,将“组和用户列表”下Everyone的权限设置为“只读”、“读取和运行”、“列出文件夹目录”,然后单击“添加”将自己使用的帐户名(本例为LCR)添加到“组和用户”列表中,并设置权限为“完全控制”。
好了,现在单击确定后退出,你会发现U盘除了自己外,其他人都无法再向U盘内写入或删除任何文件,这样一个只读U盘便打造成功了。因为每个用户都拥有“读取和运行”权限,所以该U盘并不会妨碍到其他人的使用 (但只能读,而且由于所有权的原因,即使将U盘拿到其它电脑上使用,也是无法更改权限的)。
如果是你的Windows XP系统打了最新的SP2补丁,那么可依次展开注册表的“HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet \Control”子键,然后在该分支下新建一个名为“StorageDevice Policies”的子项。接着在右侧窗口中新建一个名为“WriteProtect”的DWORD值,并设置其值为“1”。如此也可使U盘变为只读,自己使用时则将该键值删除。不过这个设置是对本机所有用户生效的,无法像NTFS权限一样进行灵活细致的权限设置。
三、我的U盘“六亲不认”
为了使U盘更安全,我们还可将U盘打造的“六亲不认”。基本操作同上,在“安全”选项卡窗口中,将所有用户都删除,这样U盘插到任何一台电脑上都无法使用。而因为权限设置是保存在U盘和系统的帐户中的,所以如果自己要访问如此设置的U盘时,在不同电脑上就还需要进行不同的设置操作。
1.在本机上使用。虽然没有任何用户可以访问,但是本机系统管理员可有更改权限,因此可以系统管理员的身份登录,即可打开“安全”选项,并将自己的帐户添加到用户列表中(权限为完全控制),从而达到对U盘进行操作的目的。
2.在其它电脑上使用。访问U盘必须先取得所有权,以系统管理员的身份登录其它电脑后,这时插入U盘系统会提示你无法访问U盘,但可以更改U盘所有权。同上,打开“安全”选项卡后,单击“高级”,在弹出窗口单击“所有者”选项卡,将所有者更改为当前用户LCR,然后将权限设置为“完全控制”即可。
如果你的U盘使用的是FAT分区,那么也有方法实现在本机禁止使用U盘。方法是展开注册表的“HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\USBSTOR”子键,然后将右侧窗口中的“Start”值,更改为“4”。这样当U盘插入电脑时,系统就不会提示发现新硬件,自然也就无法使用U盘了。在自己使用时,将键值更改回去即可,如此便能防止它人在我们的电脑上使用U盘。
四、U盘写入容量我控制
上述方法似乎有些太过绝对,在很多时候我们的U盘还是会经常借给他人使用。所以最好还是通过设置,使其他人只能对一定的磁盘容量进行操作会比较好,现在我们就利用NTFS磁盘配额来实现。同上,在U盘的属性窗口中选择“配额”选项卡,勾选“启用配额管理”和“拒绝将磁盘空间给超过配额限制的用户”两项。单击“配额项”,在弹出窗口中单击“配额→新建配额项”,接着按提示为本机或本网络其它用户设置相应的配额项。这样,当本机其他用户要在本机使用这个U盘时,其所能使用的空间就是我们在配额项中所限制的容量。
上述配额限制操作只能在本机生效,如果想在任何电脑上达到同样的效果,可借助权限变相来实现。比如128MB的U盘需要限制他人只使用100MB,可先建立一个文件夹,然后拷入28MB的数据,同时将该文件夹设置为“隐藏”属性,“权限”则设为只有自己才能读取,这样其他人就只能使用100MB的容量了。
五、U盘访问要密码
现在有一些高级的加密U盘,它可通过密码限制来阻止他人访问。下面我们也手动打造一个需要密码才能访问的U盘,其原理是利用TweakUI来更改U盘的自动播放命令。
步骤1:先复制一个小容量的jpg和wav格式文件到U盘中,接着将U盘权限设置成仅允许当前帐户(LCR)完全控制。现在,打开记事本输入下列内容并保存为lock.bat批处理,放在c:\目录下。
rem 注意:要访问U盘请运行桌面“打开U盘”并输入正确的密码
@cacls j:\ /e /r LCR
@pause
命令解释:运行Cacls命令,将j:(U盘)权限修改为拒绝LCR访问。
现在,再建立一个批处理unlock.bat,并将它发送到桌面,其快捷方式名称为“打开U盘”,内容如下:
@echo off
@runas /userCR "cacls j:\ /g LCR:f"
命令解释:重新以LCR身份运行cacls命令,将U盘完全控制权赋予LCR。
步骤2:运行TweakUI,依次展开“我的电脑→自动播放”,在“类型”项下勾选“激活可移动媒体的自动播放”。在“操作”项单击“创建”,然后按提示新建一个名为“访问U盘”的自动播放接口,单击“更改程序”,选择“c:\lock.bat”,在“支持的媒体”列表中勾选“混合内容”。因为系统是根据自动检测到的文件类型来弹出播放窗口的,所以之前我们在U盘中放入了图像和音乐文件,这样系统就检测其为混合内容,并自动执行lock.bat文件,取消LCR的访问权限。
步骤3:右击U盘选择“属性”,在打开的窗口中,单击“自动播放”选项卡,然后选择“混合文档”,接着在操作栏中选择“选择一个操作来执行”项,并在列表内选中“访问U盘”。
经过以上设置,当该U盘插入电脑中时,系统就会运行lock.bat批处理,从而将当前用户权限设置为拒绝访问。而如果要访问U盘,则可以运行桌面的“打开U盘”快捷方式,由于“runas”命令需要输入密码,这就等于巧妙的为U盘设置了保护密码一样。