萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> Win Vista組策略保障USB設備安全

Win Vista組策略保障USB設備安全

  組策略最容易引起誤解的是它的名字──組策略並不是將策略運用到組中去的方法!與之相反的是,組策略通過將組策略鏈接到活動目錄容器(通常就是組織單元,但也包括域和站點)對象而施行於個體或單獨用戶賬戶以及計算機賬戶。這裡的組策略對象,就是策略設置的集合。

  雖然通過組策略來限制可移動設備並不是一個十分出色的網絡安全解決方案,因為一個已經安裝了存儲設備(如安裝了一個USB驅動設備)的用戶,可以繼續使用它。不過我們還是可以進行一些細微的設置,這些設置可以允許你通過設備的ID來限制特定的可移動存儲設備。

  很難說哪一種安全威脅對你的網絡數據影響最大。由於幾個原因,我趨向於認為可移動存儲設備,特別是USB驅動設備,應該位於列表的頂部。原因1:USB儲存設備非常容易被忽略。第二個原因:有一個簡單的事實是,你可以將很大的數據(如多達4GB的數據)存儲到一個USB驅動器上,這也就意味著用戶可以將同樣大的應用程序帶到企業中。它還意味著用戶可以將多達4GB的數據從企業帶走。用戶可以訪問的任何數據都可以輕松地復制到這些驅動器上。而且USB設備本身體積很小,這使得用戶可以方便地將它帶入、帶出企業。

  筆者曾與一些網管員談到USB儲存設備的安全風險問題。不過,這些網管員最通用的做法是禁用工作站上的USB端口。有一些較新的機器允許你通過BIOS禁用USB端口,不過大多數老機器並沒有提供這個能力。這種情況下,還有一種方案最常用,那就是用膠布將USB端口封住以此來阻止其使用。

  雖然這些方法都可以起到一定的作用,不過,都有一些缺點。對於操作者來說,這些方法都是“勞動密集型的吧,也就是說太難於實施。另外一個問題是禁用USB端口並沒有徹底地解決用戶訪問可移動媒體的問題。用戶可以輕松地使用FireWire硬盤驅動器、可移動的DVD驅動器作為另外一種選擇。

  在所有的這些方法中,最大的弊端就在於永久性地禁用USB端口會使用戶沒法使用USB設備並且使得這些端口不能被支持的用戶訪問。此外,偶爾也會有一些合法的理由使得USB端口應該可用。例如,有些工作需要用戶擁有一個連接到其PC上的USB掃描儀。

  幸運的是,微軟的Windows Vista(還有其著名的Windows Server 2008 (Longhorn))一個重要目標就是就是給管理員控制工作站使用硬件的方法提供了更好的控制。現在我們可以借助於組策略來控制對可移動稿設備的訪問。

  限制對USB存儲設備訪問的組策略設置目前只是在Windows Vista中可用。目前,這也就意味著你只能在本地計算機的層次上設置組策略。在Windows Server 2008發布之後,你就可以在域中、站點中或OU層次上設置這些組策略(當然,前提是你有一個Windows Server 2008的域控制器)。

  要訪問必須的組策略設置,你必須打開“組策略對象編輯器( Group Policy Object Editor)。因此,請單擊“開始/“所有程序/“附件( 英文操作系統是Start / All Programs/ AccessorIEs,筆者用得是英文系統)。下一步,輸入MMC命令。這會使Windows打開一個空的微軟管理控制台(Microsoft Management Console)。在控制台打開後,從“文件(File)菜單中選擇“添加/刪除管理單元( Add / Remove Snap-In)。從管理單元列表中選擇組策略對象(Group Policy Object)選項,然後單擊“添加(Add)按鈕。默認情況下,這個管理單元會連接到本地計算機策略(Local Computer policy),因此直接單擊“確定(ok),然後單擊“完成(Finish)即可。

  本地計算機策略會被裝載到控制台中。現在,導航到“計算機配置 “管理模板 “系統 “設備安裝 “設備安裝限制(英文系統是找到 Computer Configuration Administrative Templates System Device Installation Device Installation Restrictions)。在如此操作時,細節窗格會顯示幾個與安裝硬件設備相關的幾個限制,如下圖所示:

  有許多與限制設備安裝相關的設置。這些設置並非必然地、特定地與可移動設備相關聯,而是從總體上與硬件設備相關聯。這裡的基本思想也就是,如果你限制了用戶安裝設備,也就阻止了任何你沒有專門啟用的設備。

  關於可移動設備問題,你可以對兩項策略設置給予特別注意:第一項設置是“允許管理員覆蓋設備安裝限制( Allow Administrators to Override Device Installation Restrictions),如果你實施了任何的設備限制的設置,那麼你有必要啟用這項設置。否則,即使管理員也不能在工作站上安裝任何的新硬件。

  第二項重要的設置是“防止安裝可移動設備( Prevent Installation of Removable Devices)。如果你啟用了這項設置,那麼用戶就不能安裝可移動設備。如果一個用戶已經在系統中使用了一個可移動設備,就會存在一個此可移動設備的驅動程序,因此用戶就會繼續使用它。不過,該用戶將絕不可能更新設備的驅動程序。

  其實,我們通過Windows Vista可以設置的安全措施還有很多,這有待你去進一步去探索、發現。

  要訪問必須的組策略設置,你必須打開“組策略對象編輯器( Group Policy Object Editor)。因此,請單擊“開始/“所有程序/“附件( 英文操作系統是Start / All Programs/ AccessorIEs,筆者用得是英文系統)。下一步,輸入MMC命令。這會使Windows打開一個空的微軟管理控制台(Microsoft Management Console)。在控制台打開後,從“文件(File)菜單中選擇“添加/刪除管理單元( Add / Remove Snap-In)。從管理單元列表中選擇組策略對象(Group Policy Object)選項,然後單擊“添加(Add)按鈕。默認情況下,這個管理單元會連接到本地計算機策略(Local Computer policy),因此直接單擊“確定(ok),然後單擊“完成(Finish)即可。

  本地計算機策略會被裝載到控制台中。現在,導航到“計算機配置 “管理模板 “系統 “設備安裝 “設備安裝限制(英文系統是找到 Computer Configuration Administrative Templates System Device Installation Device Installation Restrictions)。在如此操作時,細節窗格會顯示幾個與安裝硬件設備相關的幾個限制,如下圖所示:

  有許多與限制設備安裝相關的設置。這些設置並非必然地、特定地與可移動設備相關聯,而是從總體上與硬件設備相關聯。這裡的基本思想也就是,如果你限制了用戶安裝設備,也就阻止了任何你沒有專門啟用的設備。

  關於可移動設備問題,你可以對兩項策略設置給予特別注意:第一項設置是“允許管理員覆蓋設備安裝限制( Allow Administrators to Override Device Installation Restrictions),如果你實施了任何的設備限制的設置,那麼你有必要啟用這項設置。否則,即使管理員也不能在工作站上安裝任何的新硬件。

  第二項重要的設置是“防止安裝可移動設備( Prevent Installation of Removable Devices)。如果你啟用了這項設置,那麼用戶就不能安裝可移動設備。如果一個用戶已經在系統中使用了一個可移動設備,就會存在一個此可移動設備的驅動程序,因此用戶就會繼續使用它。不過,該用戶將絕不可能更新設備的驅動程序。

  其實,我們通過Windows Vista可以設置的安全措施還有很多,這有待你去進一步去探索、發現。

  如果你是Windows 2000或XP用戶,那麼你仔細看一下,在這裡教大家一招金蟬脫竅而且只需要這一招就能克死所有病毒!如果你是新裝的系統(或者是你能確認你的系統當前是無毒的),那就再好不過了,現在就立即就打開:“開始→程序→管理工具→計算機管理→本地用戶和組→用戶 !

  首先就是把超級管理員密碼更改成十位數以上,然後再建立一個用戶,把它的密碼也設置成十位以上並且提升為超級管理員。這樣做的目的是為了雙保險:如果你忘記了其中一個密碼,還有使用另一個超管密碼登陸來挽回的余地,免得你被拒絕於系統之外;再者就是網上的黑客無法再通過猜測你系統超管密碼的方式遠程獲得你系統的控制權而進行破壞。

  接著再添加兩個用戶,比如用戶名分別為:user1、user2;並且指定他們屬於user組,好了,准備工作到這裡就全部完成了,以後你除了必要的維護計算機外就不要使用超級管理員和user2登陸了。只使用user1登陸就可以了。

  登陸之後上網的時候找到IE,並為它建立一個快捷方式到桌面上,右鍵單擊快捷方式,選擇“以其他用戶方式運行點確定!要上網的時候就點這個快捷方式,它會跟你要用戶名和密碼這時候你就輸入user2的用戶名和密碼!好了,現在你可以使用這個打開的窗口去上網了,可以隨你便去放心的浏覽任何惡毒的、惡意的、網站跟網頁,而不必再擔心中招了!

  因為你當前的系統活動的用戶時user1,而user2是不活動的用戶,我們使用這個不活動的用戶去上網時,無論多聰明的網站,通過ie得到的信息都將讓它都將以為這個user2就是你當前活動的用戶,如果它要在你浏覽時用惡意代碼對你的系統搞搞破壞的話根本就時行不通的,即使能行通,那麼被修改掉的僅僅時use2的一個配置文件罷了,而很多惡意代碼和病毒試圖通過user2進行的破壞活動卻都將失敗,因為 user2根本就沒運行,怎麼能取得系統的操作權呢??

  既然取不得,也就對你無可奈何了。而他們更不可能跨越用戶來操作,因為微軟得配置本來就是各各用戶之間是獨立的,就象別人不可能跑到我家占據我睡覺用的床

copyright © 萬盛學電腦網 all rights reserved