禁止将数据写入 USB 驱动器的主要原因之一（我曾经向我解释过）不是为了防止员工窃取敏感信息。如果他们想这样做，他们将没有尽头的变通方法，最多只能在 A4 纸上打印 QR 码。

相反，它是为了防止员工善意地将敏感信息保存在 USB 驱动器上，只是让这些 USB 驱动器丢失或被盗。

通常在这种情况下，您会发现可以将数据保存在特定的加密拇指驱动器上，以防被盗或丢失时无法解密：例如生物特征锁定驱动器（*）或将“看到”的加密文件系统作为物理固定硬盘驱动器而不是可移动硬盘驱动器，从而规避“无法写入可移动驱动器”安全策略。

Windows 7+ 具有显式设置，可以将 BitLocked 设备（可能使用公司密钥）与普通 USB 设备区别对待。

（就我而言，前段时间是 Windows XP Pro SP3，我有一个带有 TrueCrypt 卷的 USB 密钥，我被允许在家里做一些工作。我被命令不要将文件复制到任何地方否则，不要将 USB 驱动器用于任何其他目的。这种预防措施显然是针对意外泄漏，而不是故意泄漏）。

出于同样的原因，一些流行的文件共享站点，或允许文件共享的站点和应用程序，可能会被公司防火墙阻止。同样，与其说是阻止间谍活动，不如说是为了防止人们对公司信息变得过于粗心（至少在当权者看来）。

（*） 笔记

生物识别锁拇指驱动器和（尤其是）硬盘不一定是安全的- 甚至不一定是加密的，或正确加密的。如果内存可以与锁定部分物理分离（对于大多数 HDD 外壳来说很容易，对于许多 USB 拇指驱动器来说可以想象），那么有人可以尝试直接读取它，也许只是为了“回收”内存本身。毕竟，万一失败，发现者将失去一些时间。一旦他或她掌握了可读内存，简单的好奇心可能足以偷看，甚至可能在重新格式化和重新利用之前尝试解密它。幸运的是，该设备很容易受到攻击，只需在谷歌上搜索其品牌和型号即可让人们恢复必要的工具和/或知识。

除了 Iserni 所说的，现在的记忆棒可以保存大量数据。

将 64GB 的敏感数据转移到云提供商可能需要很长时间，并且很可能会触发防火墙规则集以查找过度上传。在任何情况下，上传都会被记录下来。

将 64GB 下载到 USB3 记忆棒会快很多，而且不会靠近任何公司防火墙。当记忆棒装满时，它可以滑入口袋。在数据被用于针对他们或他们的客户之前，公司甚至都不知道他们做了什么。

在许多情况下，此类策略与使用某种形式的审查软件相结合，以阻止对已知云存储提供商和网络邮件站点列表的访问，同时阻止 ftp 端口（以及通过 IM 传输文件）。

当然，推出自己的解决方法很简单：有一次我在家里有一台 ftp 服务器在 80 端口上运行了几天；我的托管服务提供商的网络邮件并不广为人知；而且我确信有现成的解决方案允许通过 http 上传。正如您所说，企业使用 GitHub 令人担忧（尽管许多雇主对此持谨慎态度，并且它可以根据每个用户仅对开发人员开放，从而减少了威胁面）。并非每个（甚至是故意的）数据泄漏源都非常复杂，意外的来源可能是登录技能最低的人。

许多大型组织都有这样的限制。我已经能够绕过我测试过的每一个。

目的是用户不能批量提取数据。据了解，人们可以通过拍摄屏幕，甚至只是记忆它来泄露少量数据。但是泄露一些细节和窃取 10GB 的个人数据数据库是有区别的。我认为这是一个好的意图，但它永远无法完美地完成。

为了安全地做到这一点，一个好的开始是：

• 阻止所有本地可移动媒体：USB、CD 刻录机、存储卡、火线、eSATA 等等。
• 限制网络泄露：这通常通过阻止代理上的所有网络邮件和文件共享服务来完成。还配置笔记本电脑，以便当他们在组织之外时，他们所要做的就是 VPN 回到基地。

通常我可以通过将文件上传到我自己的网站来绕过网络渗透。代理不知道它是一个文件共享站点，所以它通过了。另一种技术是将外部组织的笔记本电脑连接到办公室网络，然后直接从公司计算机复制到外部笔记本电脑 - 绕过代理。此外，企业电子邮件系统几乎总是允许绕过，尽管文件大小限制和日志记录降低了风险。否则，请获得计算机的管理员权限并禁用限制。

如果组织有一个 Citrix 风格的远程工作系统——当你可以从你的家庭计算机连接时——这通常可以用来泄露数据。我记得有一个阻止本地驱动器，这是一个好的开始，但允许远程 USB，因此您可以将 USB 记忆棒插入您的家庭计算机，并将其安装在 Citrix 服务器上 - 允许您批量窃取数据。

这种设置的问题之一是人们对 USB 记忆棒、可写 CD 等有合法需求。简单的方法是制定一个流程，将有业务需求的人添加到例外列表中。更高级的方法是数据丢失防护 (DLP)，这是一项非常有趣的技术。讨论更多可能是另一个问题的最佳选择。