一位网友如是问。其要求和目的是“目的是防止资料外泄及防病毒,但又不影响键盘及鼠标的正常使用”。能提这样的问题,这位网友八成是IT人员。如果是一般用户,能想到禁用光驱者,顶多是为了省电的笔记本用户。
就IT人员来说,从操作上讲在Mac上禁用U盘及光驱并不是个难题,但真要执行起来,要考虑的范围实在很广。几个月前,有网管报告,说文件服务器的硬盘快满了,并发现大概75%是jpg文件。我决不相信这75%的图片都和用户的工作有关,但是那么多的文件,又不可能去一一检查那些文件是否与工作相关。如果是抽查,又有失公平。C某O的度假照片存在文件服务器上可以不管,那部门经理们呢?如果放任他们,那又凭什么来查其他工作人员呢?无论企业或是事业单位,一般都不会给用户设置硬盘定额。于是,有人提出不如把多数机器的USB端口都关掉。可是,这合理么?这意味着将不支持照相机、摄像机以及USB存储,这不仅仅会影响用户正常的工作使用,更主要的,这是在试图抵挡技术发展的趋势。且不说一旦实施会面临多少用户的抱怨和反映,这种技术发展的趋势,你抵挡得了么?于是,干脆花几千块钱用于存储和备份,同时让程序员想办法弄个图片整理软件出来,帮助用户把选择、加工或整理之后的图片放到这个软件中来,而未经整理的图片将不保存在文件服务器上。妈的,这确实是没办法的办法。
阻止存储是一个方面,安全则是另一个方面。可是,禁用U盘及光驱是否就能达到防止资料外泄等安全目的呢?火线是否也应该禁?蓝牙呢?Airport呢?以太网呢?如果统统都禁,您的电脑是否就该叫做计算器或游戏机了?
言归正传,如果您是伟大的IT工作者,拥有Leopard或Tiger服务器,你可以通过Workgroup Manager,建立一个Computer Group (Leopard服务器)或Computer List(Tiger服务器),把要禁用的电脑加入到该电脑组中,然后修改该组的Media Access偏好设置,勾选Disc Media及Other Media下各项目中Require Authentication的所有选项,或者勾掉Allow的选项,这样,这些电脑中光驱或各种存储(U盘、火线盘等)及Disk Images都将得到合理的控制。当前,这么做时,您还要用每台电脑的目录访问中设置您服务器的Open LDAP服务。
如果您没有Leopard或Tiger服务器,您可以删除或停用每台机器内的以下三个文件来禁用U盘及光驱:
/系统/资源库/Extensions/IOUSBMassStorageClass.kext
/系统/资源库/Extensions/IOCDStorageFamily.kext
/系统/资源库/Extensions/IODVDStorageFamily.kext
可以使用终端或Shell Script来删除:
srm -rf /System/Library/Extensions/IOUSBMassStorageClass.kext
srm -rf /System/Library/Extensions/IOCDStorageFamily.kext
srm -rf /System/Library/Extensions/IODVDStorageFamily.kext
touch /System/Library/Extensions
reboot
注意:如果是通过终端输入来完成上述命令,要在每个命令前加上“sudo ”。
如果只是临时禁用光驱,也可以通过kextunload命令:
kextunload IOSCSIArchitectureModelFamily.kext/Contents/PlugIns/IOSCSIMultimediaCommandsDevice.kext
kextunload IOBDStorageFamily.kext
kextunload IODVDStorageFamily.kext
kextunload IOCDStorageFamily.kext
从恢复系统的角度来说,临时禁用比删除扩展要方便得多,因此如果将临时禁用命令写入Shell Script,并将该Script设置为Startup Script,每次当用户启动电脑时,系统自动停用光驱,而对于管理员来说,如需要恢复光驱,可在登录后,使用kextload命令恢复光驱,或对启动脚本(Startup Script)进行修改使下次启动时可使用光驱启动。
从硬件角度来说,可以直接把光驱的ATA接线拔下来或将整个光驱拆除。对于G4等旧款台式机,这样做比较方便。
对于一般用户,如果熟悉终端命令的方法,上述停用光驱的方法也比较适合,而拆除光驱或拔掉ATA接线或可意味着保修单作废。
当然,更简单的方法是用不干胶直接将光驱口贴上,并注明:“光驱已坏,勿用”。