想要控制USB端口的数据传输，我们收集了目前可行的所有做法，总共归纳为3大类、12种方式。 
第1大类是物理封锁，又可细分成完全禁用、弹性禁用，以及贴标签检查；第2类是修改操作系统设定，从Windows环境着手修改；第3类手段更全面，如果企业想获得最高的控制弹性，以专用的外设控制解决方案，或搭配其它安全方案的管理手段联合控制，即可达到要求。而这里要特别注意的是，企业是否真正需要大量个人端电脑控制与监视能力，如果确有需求，那么企业多半须要花钱采购、配置特定的设备。 1. bios 中禁用，在Advance Chip Setting 里，关闭USB ON Board 选项，可以通过debug ，放电，或者软件等方法破解bios 密码
2. 文件权限，如果计算机上尚未安装USB 存储设备，向用户或组分配对%SystemRoot%InfUsbstor.pnf 和 %SystemRoot%InfUsbstor.inf 两个文件的'拒绝'权限。
3. 如果计算机上已经安装过USB 存储设备，请将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR 注册表项中的'Start '值设为4

第一种、禁用BIOS的相关设定
·优点：设定容易，做法简单
·缺点：BIOS的管理密码可能被破解
在主板的BIOS设定里，我们可以将USB端口的功能，设定为禁用。由于设定十分容易，做法简单，因此成为企业经常用来管理USB设备的手段。为了防止员工自行进入BIOS重新启用USB端口的功能，一般在完成设定之后，IT人员会同时设定BIOS的管理密码，只有相关获得授权的人员才能访问、更改BIOS设定。 
需要特别注意的是：BIOS与USB端口相关设定的名称与位置，往往随品牌的不同，而有所差异，甚至没有这方面的设定。 
此外BIOS的管理密码并非设定之后，就无法破解。只要进行主板放电操作，也就是将主板上的纽扣电池取出后、再重新放回，BIOS密码就会恢复成默认值，而员工就能趁机进入BIOS更改设定。不过，对企业来说，一般都不允许员工私自拆装公司所配发的电脑，而只要非IT部门的人员，在进行类似的动作时，就很容易引起其他人的注意。而在机密数据外泄事件发生后，此人自然会成为公司重点排查的可疑对象。 图1

 

在主板的BIOS设定里，我们可以将USB端口的功能设定为禁用。

第二种、贴上易碎贴纸
·优点：用肉眼就可以分辨电脑的USB端口有无使用过的迹象
·缺点：贴纸不小心破碎时，容易引发不必要的误会
这种做法经常见于高科技园区的许多IT企业，适用对象多半针对企业的来访者，较少使用在内部的员工电脑。 
来访者将笔记本电脑携入办公区之前，门口的接待人员会在该台电脑的USB端口与网络端口上，粘贴一张易碎贴纸，以确认来访者在进入企业内部的这段时间里，是否曾经通过这些通用接口联接外设设备，或者存取数据。 
用易碎贴纸控制USB，好处在于只要通过肉眼，就可以分辨电脑的连接端口是否曾经使用过，可是，一旦贴纸因为各种原因而产生破裂，就很容易造成误会。这时，IT人员有权检查来访者的电脑，看硬盘里是否存放了本企业的机密数据，在确认无异状之后，才会放行，让来访者把笔记本电脑带走。