萬盛學電腦網 >> 病毒防治 >> Vista組策略 保障USB設備的安全
Vista組策略 保障USB設備的安全
組策略最容易引起誤解的是它的名字──組策略並不是將策略運用到組中去的方法!與之相反的是,組策略通過將組策略鏈接到活動目錄容器(通常就是組織單元,但也包括域和站點)對象而施行於個體或單獨用戶賬戶以及計算機賬戶。這裡的組策略對象,就是策略設置的集合。
雖然通過組策略來限制可移動設備並不是一個十分出色的網絡安全解決方案,因為一個已經安裝了存儲設備(如安裝了一個USB驅動設備)的用戶,可以繼續使用它。不過我們還是可以進行一些細微的設置,這些設置可以允許你通過設備的ID來限制特定的可移動存儲設備。
很難說哪一種安全威脅對你的網絡數據影響最大。由於幾個原因,我趨向於認為可移動存儲設備,特別是USB驅動設備,應該位於列表的頂部。原因 1:USB儲存設備非常容易被忽略。第二個原因:有一個簡單的事實是,你可以將很大的數據(如多達4GB的數據)存儲到一個USB驅動器上,這也就意味著用戶可以將同樣大的應用程序帶到企業中。它還意味著用戶可以將多達4GB的數據從企業帶走。用戶可以訪問的任何數據都可以輕松地復制到這些驅動器上。而且 USB設備本身體積很小,這使得用戶可以方便地將它帶入、帶出企業。
筆者曾與一些網管員談到USB儲存設備的安全風險問題。不過,這些網管員最通用的做法是禁用工作站上的USB端口。有一些較新的機器允許你通過BIOS禁用USB端口,不過大多數老機器並沒有提供這個能力。這種情況下,還有一種方案最常用,那就是用膠布將USB端口封住以此來阻止其使用。
雖然這些方法都可以起到一定的作用,不過,都有一些缺點。對於操作者來說,這些方法都是“勞動密集型的吧,也就是說太難於實施。另外一個問題是禁用USB端口並沒有徹底地解決用戶訪問可移動媒體的問題。用戶可以輕松地使用FireWire硬盤驅動器、可移動的DVD驅動器作為另外一種選擇。
在所有的這些方法中,最大的弊端就在於永久性地禁用USB端口會使用戶沒法使用USB設備並且使得這些端口不能被支持的用戶訪問。此外,偶爾也會有一些合法的理由使得USB端口應該可用。例如,有些工作需要用戶擁有一個連接到其PC上的USB掃描儀。
幸運的是,微軟的Windows Vista(還有其著名的Windows Server 2008 (Longhorn))一個重要目標就是就是給管理員控制工作站使用硬件的方法提供了更好的控制。現在我們可以借助於組策略來控制對可移動稿設備的訪問。
限制對USB存儲設備訪問的組策略設置目前只是在Windows Vista中可用。目前,這也就意味著你只能在本地計算機的層次上設置組策略。在Windows Server 2008發布之後,你就可以在域中、站點中或OU層次上設置這些組策略(當然,前提是你有一個Windows Server 2008的域控制器)。
要訪問必須的組策略設置,你必須打開“組策略對象編輯器( Group Policy Object Editor)。因此,請單擊“開始/“所有程序/“附件( 英文操作系統是Start / All Programs/ AccessorIEs,筆者用得是英文系統)。下一步,輸入MMC命令。這會使Windows打開一個空的微軟管理控制台(Microsoft Management Console)。在控制台打開後,從“文件(File)菜單中選擇“添加/刪除管理單元( Add / Remove Snap-In)。從管理單元列表中選擇組策略對象(Group Policy Object)選項,然後單擊“添加(Add)按鈕。默認情況下,這個管理單元會連接到本地計算機策略(Local Computer policy),因此直接單擊“確定(ok),然後單擊“完成(Finish)即可。
本地計算機策略會被裝載到控制台中。現在,導航到“計算機配置 “管理模板 “系統 “設備安裝 “設備安裝限制(英文系統是找到 Computer Configuration Administrative Templates System Device Installation Device Installation Restrictions)。在如此操作時,細節窗格會顯示幾個與安裝硬件設備相關的幾個限制,如下圖A所示:
從上圖可以看出,有許多與限制設備安裝相關的設置。這些設置並非必然地、特定地與可移動設備相關聯,而是從總體上與硬件設備相關聯。這裡的基本思想也就是,如果你限制了用戶安裝設備,也就阻止了任何你沒有專門啟用的設備。
關於可移動設備問題,你可以對兩項策略設置給予特別注意:第一項設置是“允許管理員覆蓋設備安裝限制( Allow Administrators to Override Device Installation Restrictions),如果你實施了任何的設備限制的設置,那麼你有必要啟用這項設置。否則,即使管理員也不能在工作站上安裝任何的新硬件。
第二項重要的設置是“防止安裝可移動設備( Prevent Installation of Removable Devices)。如果你啟用了這項設置,那麼用戶就不能安裝可移動設備。如果一個用戶已經在系統中使用了一個可移動設備,就會存在一個此可移動設備的驅動程序,因此用戶就會繼續使用它。不過,該用戶將絕不可能更新設備的驅動程序。
其實,我們通過Windows Vista可以設置的安全措施還有很多,這有待你去進一步去探索、發現。
作者:木淼鑫
【賽迪網-IT技術報道】Websense發起一項關於網絡犯罪的調查。此項調查共有全球107位安全專家參與,其中四分之一的被調查者認為:那些嚴重洩漏客戶機密信息的企業的CEO或者董事會成員應該受到逮捕或監禁的懲罰,僅有3%的被訪者認為不應該有法律強制執行的懲罰措施。79%的被訪者認為企業如果發生了嚴重的資料洩漏事件應該被處以經濟制裁,而59%的被訪者還指出遭受損失的用戶和消費者理應得到相應的補償。96%的受訪者一致呼吁成立一個全球性組織,推動全球各國政府協同工作來打擊網絡犯罪。
調查結果:
?股東面臨數據洩漏防護的壓力:79%的被訪者認為企業在面對股東時承受著比去年更大的壓力,企業需要向股東介紹用來防護數據洩漏的措施和方法,以解釋如何實現以下幾個關鍵性數據的安全防護。
- 企業品牌及公司形象的維護(51%)
- 媒體對數據洩漏的報道壓力 (56%)
- 個人資料安全 (42%)
- 安全問題對股價的影響(34%)
?CEO和董事會成員的相關責任:對於CEO和董事會的責任,專家們意見高度一致,95%的受訪者認為企業的CEO和董事會對安全問題負有責任,其中又有26%的受訪者認為企業的CEO應當承擔最終責任。這意味著人們的觀點產生了標志性的轉變,2007年的調查顯示,74%的安全專家認為董事會應當負主要責任。去年,有21%的數據洩漏責任由IT部門來承擔,而在2008年這個數據已經降到5%。
?董事會的反作用力: 76%的被訪者認為大部分公司的董事會在安全防護方面會持反對意見,而不理會那些認為董事會應對企業數據安全負責的理論和觀點。
?數據洩漏防護不會被優先處理: 45%的受訪者認為企業不願意對數據洩漏采取防護措施的首要原因是因此所產生的成本,45%的受訪者則認為是大部分企業不將數據的安全防護作為最優先處理的事務。其他原因還包括:
- 除非出台相關法律規定,否則不會采取行動(22%)
- 過於復雜(21%)
- 認為沒必要采取行動(9%)
?建立保障制度以贏得客戶信任: 91%的受訪者認為引進一個公認的安全標准,將有助於提升客戶對企業形象和品牌的信任度。
Websense相關負責人指出:“本次調查表明:輿論開始普遍認為必須采取行動來打擊網絡犯罪和比以往規模更大的數據洩漏。我們非常希望能夠看到更多針對網絡犯罪而制定的法律法規和准則,尤其是那些保護個人數據的相關規定。董事會成員應當確保落實積極的、戰略性的防護措施,以使企業的核心機密信息不被那些基於網絡和郵件的安全攻擊而破壞和竊取,防止企業的敏感資料落入不法分子手中。”
這項調查研究中的107個受訪者來自15個國家。所有受訪者均是代表各個國家參加2008年3月6日和5月5日的網絡犯罪大會的安全專家,其中包括來自政府、公共組織和私營企業等社會各界的安全專家和負責企業風險控制、審計和法規的高級部門經理。
(責任編輯:李磊)
作者:李鐵軍
【賽迪網-IT技術報道】如果你用清理專家(下載)在你的電腦中檢測到名稱為troj.6to4ex的惡意軟件,當出現清除失敗時,請檢查你的電腦是否存在以下特征。
檢查是否存在以下文件:
1 = %sys32dir%/6to4ex.dll 2 = %sys32dir%/Ipripex.dll 3 = %windir%/iprep.exe4 = %sys32dir%/fsutk.dll 5 = %sys32dir%/liprip.dll
檢查注冊表是否存在以下鍵值
1 = HKEY_LOCAL_MacHINE/SYSTEM/CurrentControlSet/Services/6to4 2 = HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Iprip 3 = HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/{BF50AC63-19DA-487E-AD4A-0B452D823B59}4 = HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce的值為repst
