U盘工具加密方法

一、NTFS格式是安全基础
默认情况下，U盘的磁盘格式都为FAT，而我们只要把它转化为NTFS格式，就可使U盘也可
以使用NTFS下的权限、配额等安全设置了。转换方法很简单，只要在插入U盘后，在“运
行”对话框中输入“convert j: /fs:NTFS /x”命令（这里“j:”是本机U盘的盘符，“
/x”表示强行卸载卷），回车后就能在资源管理器中看到U盘已转化为NTFS分区。接下来，我们就可在此基础上打造各具安全特色的U盘了。

由于NTFS磁盘格式的特性所限，16MB容量的U盘是无法完成转换的。而如果使用Convert
命令时提示无法转换，那么可先将U盘拔下，重新插入后再执行命令即可。

U盘格成NTFS方法：

第一种方法：
打开 命令提示符窗口。
在命令提示符窗口，请键入：
convert drive_letter:/fs:ntfs
例如：转换D盘可输入convert D:/fs:ntfs
注意
要打开“命令提示符”窗口，请单击“开始”，指向“程序”，指向“附件”，然后单击“命令提示符”。
使用此命令，您可以将 FAT 或 FAT32 卷转化为 NTFS。
这种转换方法，原来盘里的文件不会产生变化，但过程是不可逆的，即不能使文件不产生任何变化从fat32转换为ntfs格式
在操作过程中可能会遇动几次问你Y or N的问题，全部选择Y就是了，有可能需要重启计算机才能完成转换过程，都有提示的。

第二种方法：
1、将U盘插入计算机USB接口；
2、打开“我的电脑”，右击代表U盘的盘符，选择“属性”；
3、在“常规”选项页中，看看你的U盘“文件系统”，你的U盘一定是FAT32文件系统，想变成NTFS文件系统吗？
4、当你格式化的时候发现，文件系统的下拉框中只有FAT32和FAT两种文件系统格式可供选择，而没有你想要的NTFS。
请按下面步骤操作，可使你的U盘具有NTFS文件系统：
1、打开“我的电脑”；
2、右击代表U盘的盘符，选择属性；
3、选择“硬件”选项页，在“名称”中选择你的U盘，单击属性；
4、在打开的“属性”对话框中，选择“策略”，再选择“为提高性能而优化”；
5、“确定”退出，重启电脑；
6、电脑重启后格式化U盘，就可选择NTFS文件系统格式化U盘了

二、我的U盘会认人
U盘上都有只读切换开关，它可使U盘变为只读，从而更好的保护U盘资料。不过这个路人
皆知的方法显然无法全面保护U盘内的资料，现在借助NTFS的权限功能，我们来打造一款
真正安全的只读U盘。
打开“我的电脑”，单击菜单栏中的“工具→文件夹选项→查看”命令，去除“高级设
置”选项下“简单文件共享”的选中状态。现在，右击U盘选择“属性”，在打开的窗口
中转到“安全”选项卡，将“组和用户列表”下Everyone的权限设置为“只读”、“读
取和运行”、“列出文件夹目录”，然后单击“添加”将自己使用的帐户名（本例为LCR
）添加到“组和用户”列表中，并设置权限为“完全控制”。

好了，现在单击确定后退出，你会发现U盘除了自己外，其他人都无法再向U盘内写入或
限，所以该U盘并不会妨碍到其他人的使用 (但只能读，而且由于所有权的原因，即使将
U盘拿到其它电脑上使用，也是无法更改权限的)。
如果是你的Windows XP系统打了最新的SP2补丁，那么可依次展开注册表的“HKEY_LOCAL
_ MACHINE\SYSTEM\CurrentControlSet\Control”子键，然后在该分支下新建一个名为
“StorageDevicePolicies”的子项。接着在右侧窗口中新建一个名为“WriteProtect
”的DWORD值，并设置其值为“1”。如此也可使U盘变为只读，自己使用时则将该键值删
除。不过这个设置是对本机所有用户生效的，无法像NTFS权限一样进行灵活细致的权限
设置。


三、我的U盘“六亲不认”
为了使U盘更安全，我们还可将U盘打造的“六亲不认”。基本操作同上，在“安全”选
项卡窗口中，将所有用户都删除，这样U盘插到任何一台电脑上都无法使用。而因为权限
设置是保存在U盘和系统的帐户中的，所以如果自己要访问如此设置的U盘时，在不同电
脑上就还需要进行不同的设置操作。
1.在本机上使用。虽然没有任何用户可以访问，但是本机系统管理员可有更改权限，因
此可以系统管理员的身份登录，即可打开“安全”选项，并将自己的帐户添加到用户列
表中（权限为完全控制），从而达到对U盘进行操作的目的。
2.在其它电脑上使用。访问U盘必须先取得所有权，以系统管理员的身份登录其它电脑后
，这时插入U盘系统会提示你无法访问U盘，但可以更改U盘所有权。同上，打开“安全”
选项卡后，单击“高级”，在弹出窗口单击“所有者”选项卡，将所有者更改为当前用
户LCR，然后将权限设置为“完全控制”即可。

如果你的U盘使用的是FAT分区，那么也有方法实现在本机禁止使用U盘。方法是展开注册
表的“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR”子键，然
后将右侧窗口中的“Start”值，更改为“4”。这样当U盘插入电脑时，系统就不会提示
发现新硬件，自然也就无法使用U盘了。在自己使用时，将键值更改回去即可，如此便能
防止它人在我们的电脑上使用U盘。


四、U盘写入容量我控制
上述方法似乎有些太过绝对，在很多时候我们的U盘还是会经常借给他人使用。所以最好
还是通过设置，使其他人只能对一定的磁盘容量进行操作会比较好，现在我们就利用NTF
S磁盘配额来实现。同上，在U盘的属性窗口中选择“配额”选项卡，勾选“启用配额管
理”和“拒绝将磁盘空间给超过配额限制的用户”两项。单击“配额项”，在弹出窗口
中单击“配额→新建配额项”，接着按提示为本机或本网络其它用户设置相应的配额项
。这样，当本机其他用户要在本机使用这个U盘时，其所能使用的空间就是我
们在配额项中所限制的容量。

上述配额限制操作只能在本机生效，如果想在任何电脑上达到同样的效果，可借助权限
变相来实现。比如128MB的U盘需要限制他人只使用100MB，可先建立一个文件夹，然后拷
入28MB的数据，同时将该文件夹设置为“隐藏”属性，“权限”则设为只有自己才能读
取，这样其他人就只能使用100MB的容量了。


五、U盘访问要密码
现在有一些高级的加密U盘，它可通过密码限制来阻止他人访问。下面我们也手动打造一
个需要密码才能访问的U盘，其原理是利用TweakUI来更改U盘的自动播放命令。


步骤1：先复制一个小容量的jpg和wav格式文件到U盘中，接着将U盘权限设置成仅允许当
前帐户（LCR）完全控制。现在，打开记事本输入下列内容并保存为lock.bat批处理，放
在c:\目录下。
rem 注意：要访问U盘请运行桌面“打开U盘”并输入正确的密码
@cacls j:\ /e /r LCR
@pause
命令解释：运行Cacls命令，将j:（U盘）权限修改为拒绝LCR访问。
现在，再建立一个批处理unlock.bat，并将它发送到桌面，其快捷方式名称为“打开U盘
”，内容如下：
@echo off
@runas /user:LCR "cacls j:\ /g LCR:f"
命令解释：重新以LCR身份运行cacls命令，将U盘完全控制权赋予LCR。

步骤2：运行TweakUI，依次展开“我的电脑→自动播放”，在“类型”项下勾选“激活
可移动媒体的自动播放”。在“操作”项单击“创建”，然后按提示新建一个名为“访
问U盘”的自动播放接口，单击“更改程序”，选择“c:\lock.bat”，在“支持的媒体
”列表中勾选“混合内容”。因为系统是根据自动检测到的文件类型来弹出播
放窗口的，所以之前我们在U盘中放入了图像和音乐文件，这样系统就检测其为混合内容
，并自动执行lock.bat文件，取消LCR的访问权限。

步骤3：右击U盘选择“属性”，在打开的窗口中，单击“自动播放”选项卡，然后选择
“混合文档”，接着在操作栏中选择“选择一个操作来执行”项，并在列表内选中“访
问U盘” 

六、常用禁U盘方法
1. 禁用主板usb设备- 管理员在CMOS设置里将USB设备禁用，并且设置BIOS密码，这样U盘插到电脑上以后，电脑也不会识别。这种方法有它的局限性，就是不仅禁用了U盘，同时也禁用了其他的usb设备，比如usb鼠标，usb光驱等。所以这种方法管理员一般不会用，除非这台电脑非常重要，值得他舍弃掉整个usb总线的功能。但是这种屏蔽也可以破解，即便设置了密码。整个BIOS设置都存放在CMOS芯片里，而COMS的记忆作用是靠主板上的一个电容供电的。电容的电来源于主板电池，所以，只要把主板电池卸下来，用一根导线将原来装电池的地方正负极短接，瞬间就能清空整个CMOS设置，包括BIOS的密码。随后只需安回电池，自己重新设置一下CMOS，就可以使用usb设备了。（当然，这需要打开机箱，一般众目睽睽之下不大适用~~）。

2. 修改注册表项，启用usb移动存储设备-打开注册表文件，依次展开"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbehci”或者“HKEY\LOCAL\MACHINESYSTEM\CurrentControlSet\Services\USBSTOR”双击右面的“Start”键，把编辑窗口中的“数值数据”改为“2”，把基数选择为“十六进制”就可以了。改好后注销重登录就可以看见结果了。为了防止别人用相同的方法来破解，可以删除或者改名注册表编辑器程序。 提示：“Start”这个键是USB设备的工作开关，默认设置为“3”表示手动，“2”是表示自动，“4”是表示停用。

3. 在computer management里将removable storage的使用权限禁止-computer management是一个windows管理组件，可以在控制面板——管理工具——计算机管理打开。在该工具窗口中storage—— removable storage——property中，general项，可以控制系统托盘是否显示security则可以管理移动存储设备的使用权限。在 security中将普通用户的使用权限降低，就可以达到禁用u盘的目的。破解的方法也很简单，管理员降低普通用户移动存储设备的使用权限，但未必禁用 computer management的使用权限。普通用户可以通过这个工具解除usb移动存储设备的使用权限 限制。另外，值得一提的是，如果u盘插到电脑上后可以驱动，但是我的电脑里却没有盘符，很有可能是管理员改动了u盘的默认盘符，使得我的电脑不能识别。这种情况，可以在removable storage中看到u盘驱动器。可以在u盘驱动器属性设置里为u盘重新分配一个盘符，再重新插拔一次u盘，就可以在我的电脑里看到u盘的盘符了。

4. 出于管理目的经常做的，是将移动存储设备使用权限禁用配合屏蔽U盘图标- 如采用这种方法，即使改动了移动存储设备的使用权限，安装驱动后，在我的电脑里仍然看不到u盘的图标，即使为U盘重新分配盘符后仍然看不到。这种情况是因为管理员修改了注册表，屏蔽了除硬盘驱动器之外的所有盘符（以前在机房，光驱也常通过这种办法屏蔽）。懂得修改注册表的可以用regedit找到 HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Policies\Explorer子键，将双字节项"NoDrives"的键值改为0或者将"NoDrives"项删掉。注销一下再次登录，就能发现U盘图标了。

5.首先，在Windows的资源管理器中进人“C:WINDOWS\inf”文件夹，找到并选中名为“Usbstor.pnf”和“Usbstor.inf”的文件，单击鼠标右键并在弹出的菜单中选择“属性”。
接着，在打开的属性窗口中单击“安全”选项卡，在“组或用户名称”框中选中“zhong”账户，并在“zhong的权限”列表中选中“完全控制”下面的“拒绝”复选框。
完成了以上设置后，zhong这个用户环境就无法在USB设备连接到电脑后，自动安装USB设备的驱动程序了，这样就达到了禁用的目的。

此方法对于已完成安装的USB设备在未删除前不会被禁止。

6.如果是Vista或Win7用户，那么只需依次执行如下操作，即可禁用USB设备：
首先，使用“Gpedit.msc”命令打开“组策略”工具。
接着.依次展开“计算机配置"一“管理摸板”—“系统”—“可移动存储访问”，并在右侧的窗格中选择“所有可移动存储类拒绝所有权限”项。
在双击此项目后，在弹出.的如图所示属性窗口中选择“已启用”项。