Vista组策略保障移动储存设备的安全使用

通过组策略限制可移动设备不是一个很好的网络安全解决方案，因为安装了存储设备(如USB驱动程序)的用户可以继续使用它。但是，我们仍然可以进行一些微妙的设置，允许您通过ID来限制特定的可移动存储设备。

很难说哪种安全威胁影响了你的网络数据。出于几个原因，我倾向于认为移动存储设备，尤其是USB驱动设备，应该在列表的顶部。

原因:USB存储设备容易被忽视。第二个原因:有一个简单的事实，您可以在USB驱动器上存储非常大的数据(例如高达4GB的数据)，这意味着用户可以将相同的大型应用程序带到企业。这也意味着用户可以从企业中带走高达4GB的数据。用户可以访问的任何数据都可以很容易地复制到这些驱动器上。而且USB设备本身很小，方便用户带进带出企业。

笔者曾经和一些网络管理员聊过USB存储设备的安全隐患。然而，这些网络管理员最常见的做法是禁用工作站上的USB端口。一些较新的机器允许您通过BIOS禁用USB端口，但大多数较旧的机器不提供此功能。在这种情况下，还有一种方案是最常用的，就是用胶带封住USB口，防止其使用。

这些方法虽然能起到一定的作用，但都有一些缺点。对于运营商来说，这些方法都是“劳动密集型”的，也就是实施难度太大。另一个问题是，禁用USB端口并不能完全解决用户访问可移动介质的问题。用户可以轻松地使用FireWire硬盘驱动器和可移动DVD驱动器作为另一种选择。

在所有这些方法中，缺点是永久禁用USB端口将阻止用户使用USB设备，并使支持的用户无法访问这些端口。此外，偶尔也有合理的理由说明USB端口应该可用。例如，一些工作要求用户将USB扫描仪连接到他们的PC。

幸运的是，微软的Windows vista(及其Windows Server 2008 (Longhorn))的一个重要目标是为管理员提供更好的控制，使他们能够控制工作站使用硬件的方式。现在，我们可以使用组策略来控制对便携式文档设备的访问。

限制访问USB存储设备的组策略设置目前仅在Windows Vista中可用。目前，这意味着您只能在本地计算机级别设置组策略。Windows Server 2008发布后，您可以在域、站点或ou级别设置这些组策略(当然，前提是您拥有Windows Server 2008的域控制器)。

要访问必要的组策略设置，您必须打开组策略对象编辑器。所以请点击开始/所有程序/附件(英文操作系统为开始/所有程序/附件，作者使用英文系统)。接下来，输入MMC命令。这将导致Windows打开一个空 Microsoft管理控制台。打开控制台后，从文件菜单中选择添加/删除管理单元。从管理单元列表中选择组策略对象选项，然后单击添加按钮。默认情况下，此管理单元将连接到本地计算机策略，所以只需单击“确定”,然后单击“完成”。

本地计算机策略被加载到控制台中。现在，导航到计算机配置|管理模板|系统|设备安装|设备安装限制(对于英语系统，找到计算机配置|管理模板|系统|设备安装|设备安装限制)。执行此操作时，详细信息窗格将显示与安装硬件设备相关的一些限制。

从上图可以看出，限制设备安装相关的设置有很多。这些设置不一定专门与可移动设备相关联，但通常与硬件设备相关联。这里的基本思想是，如果您限制用户安装设备，您也将阻止任何您没有特别启用的设备。

关于可移动设备的问题，可以特别注意两个策略设置:第一个设置是“允许管理员覆盖设备安装限制”。如果您实施任何设备限制，您需要启用此设置。否则，即使是管理员也不能在工作站上安装任何新硬件。

第二个重要的设置是“防止安装可移动设备”。如果启用此设置，用户将无法安装可移动设备。如果用户在系统中使用了一个便携设备，那么这个便携设备将有一个驱动程序，因此用户将继续使用它。但是，该用户将永远无法更新设备的驱动程序。

其实我们可以通过Windows Vista设置的安全措施还有很多，需要你去进一步探索和发现。