Vista下的组策略 如何保障USB设备安全

2016-02-19 15:44 6 1 收藏

今天图老师小编要跟大家分享Vista下的组策略 如何保障USB设备安全,精心挑选的过程简单易学,喜欢的朋友一起来学习吧!

【 tulaoshi.com - Windows XP教程 】

凡事都是有利有弊的,就说vista 系统吧.它是非常智能的系统,它会记录用户的某些信息方便用户下一次的操作.但是Vista的这些做法在方便了用户的同时也为偷窥者提供了便利,一个有经验的偷窥者可以据此窃取用户的私密信息,特别在公共电脑中要特别注意.那下文中图老师小编就结合实例,详解如何利用WindowsVista组策略保障USB设备的安全?

组策略最容易引起误解的是它的名字──组策略并不是将策略运用到组中去的方法!与之相反的是,组策略通过将组策略链接到活动目录容器(通常就是组织单元,但也包括域和站点)对象而施行于个体或单独用户账户以及计算机账户。这里的组策略对象,就是策略设置的集合。

虽然通过组策略来限制可移动设备并不是一个十分出色的网络安全解决方案,因为一个已经安装了存储设备(如安装了一个USB驱动设备)的用户,可以继续使用它。不过我们还是可以进行一些细微的设置,这些设置可以允许你通过设备的ID来限制特定的可移动存储设备。

很难说哪一种安全威胁对你的网络数据影响最大。由于几个原因,我趋向于认为可移动存储设备,特别是USB驱动设备,应该位于列表的顶部。原因1:USB储存设备非常容易被忽略。第二个原因:有一个简单的事实是,你可以将很大的数据(如多达4GB的数据)存储到一个USB驱动器上,这也就意味着用户可以将同样大的应用程序带到企业中。它还意味着用户可以将多达4GB的数据从企业带走。用户可以访问的任何数据都可以轻松地复制到这些驱动器上。而且USB设备本身体积很小,这使得用户可以方便地将它带入、带出企业。

笔者曾与一些网管员谈到USB储存设备的安全风险问题。不过,这些网管员最通用的做法是禁用工作站上的USB端口。有一些较新的机器允许你通过BIOS禁用USB端口,不过大多数老机器并没有提供这个能力。这种情况下,还有一种方案最常用,那就是用胶布将USB端口封住以此来阻止其使用。

虽然这些方法都可以起到一定的作用,不过,都有一些缺点。对于操作者来说,这些方法都是劳动密集型的吧,也就是说太难于实施。另外一个问题是禁用USB端口并没有彻底地解决用户访问可移动媒体的问题。用户可以轻松地使用FireWire硬盘驱动器、可移动的DVD驱动器作为另外一种选择。

在所有的这些方法中,最大的弊端就在于永久性地禁用USB端口会使用户没法使用USB设备并且使得这些端口不能被支持的用户访问。此外,偶尔也会有一些合法的理由使得USB端口应该可用。例如,有些工作需要用户拥有一个连接到其PC上的USB扫描仪。

幸运的是,微软的Windows Vista(还有其著名的Windows Server 2008 (Longhorn))一个重要目标就是就是给管理员控制工作站使用硬件的方法提供了更好的控制。现在我们可以借助于组策略来控制对可移动稿设备的访问。

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com)

限制对USB存储设备访问的组策略设置目前只是在Windows Vista中可用。目前,这也就意味着你只能在本地计算机的层次上设置组策略。在Windows Server 2008发布之后,你就可以在域中、站点中或OU层次上设置这些组策略(当然,前提是你有一个Windows Server 2008的域控制器)。

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com)

要访问必须的组策略设置,你必须打开组策略对象编辑器( Group Policy Object Editor)。因此,请单击开始/所有程序/附件( 英文操作系统是Start / All Programs/ Accessories,笔者用得是英文系统)。下一步,输入MMC命令。这会使Windows打开一个空的微软管理控制台(Microsoft Management Console)。在控制台打开后,从文件(File)菜单中选择添加/删除管理单元( Add / Remove Snap-In)。从管理单元列表中选择组策略对象(Group Policy Object)选项,然后单击添加(Add)按钮。默认情况下,这个管理单元会连接到本地计算机策略(Local Computer policy),因此直接单击确定(ok),然后单击完成(Finish)即可。

本地计算机策略会被装载到控制台中。现在,导航到计算机配置管理模板系统设备安装设备安装限制(英文系统是找到 Computer Configuration Administrative Templates System Device Installation Device Installation Restrictions)。在如此操作时,细节窗格会显示几个与安装硬件设备相关的几个限制,如下图所示:

有许多与限制设备安装相关的设置。这些设置并非必然地、特定地与可移动设备相关联,而是从总体上与硬件设备相关联。这里的基本思想也就是,如果你限制了用户安装设备,也就阻止了任何你没有专门启用的设备。

关于可移动设备问题,你可以对两项策略设置给予特别注意:第一项设置是允许管理员覆盖设备安装限制( Allow Administrators to Override Device Installation Restrictions),如果你实施了任何的设备限制的设置,那么你有必要启用这项设置。否则,即使管理员也不能在工作站上安装任何的新硬件。

第二项重要的设置是防止安装可移动设备( Prevent Installation of Removable Devices)。如果你启用了这项设置,那么用户就不能安装可移动设备。如果一个用户已经在系统中使用了一个可移动设备,就会存在一个此可移动设备的驱动程序,因此用户就会继续使用它。不过,该用户将绝不可能更新设备的驱动程序。

其实,我们通过Windows Vista可以设置的安全措施还有很多,这有待你去进一步去探索、发现。图老师小编也期待更多的用户来本网站与大家一同探讨,赶紧加入到我们的队伍吧.

来源:http://www.tulaoshi.com/n/20160219/1610302.html

延伸阅读
标签: windows 操作系统
六、IE设置手到擒来 微软的Internet Explorer让我们可以轻松地在互联网上遨游,但要想用好Internet Explorer,则必须将它配置好。在IE浏览器的“Internet选项”窗口中,提供了比较全面的设置选项(例如:“首页”、“临时文件夹”、“安全级别”和“分级审查”等项目),但部分高级功能没有提供,而通过组策略即可轻松实现这些功能...
标签: windows 操作系统
在本篇技术指南中,将概要介绍你如何修改最重要的组策略安全设置。 你可以在采用Windows XP、2000和Server 2003操作系统的本地计算机上使用这些方法,或者在Server 2003和2000中的OU域名级上使用这些方法。为了简明扼要和提供最新的信息,我准备介绍一下如何设置基于Windows Server 2003的域名。请记住,这些只是你在你的域名中能够...
标签: 电脑入门
组策略 对于系统管理员的重要性已经不言而喻了,那 windows7 下的组策略都有什么功能呢?下文了给出了详细的描述。 电脑用户对于组策略一词已经不陌生了吧,组策略则是将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。也就是说,修改组策略就是修改注册表中的配置。下面我们就在Windows7系统...
标签: 电脑入门
在当您在系统中安全删除USB装置以后,会发现USB装置上的LED唆使灯还是常亮的。实际上这个效果是在Vistaa系统时才改变的,之前的XP系统都是安全删除以后LED灯就会灭掉。当时微软对系统做了一个变化,并沿用至今。如果您觉得删除USB装置以后,亮灯碍眼,那今天就来教教大家如何灭掉它。 在XP系统时期,如果您安全删除了USB装置,USB装置就停止通...
标签: windows 操作系统
利用 Windows Vista 自带的 组策略对象编辑器 ,可以很方便的实现 对指定分区的隐藏和限制 ,操作也并不复杂。不过这一功能在家庭版本中并未提供。 打开运行对话框,手工输入gpedit.msc进入组策略对象编辑器,选择用户配置,依次定位到用户配置→管理模板→Windows组件→Windows资源管理器,启动了组策略后,我们就可以按...

经验教程

40

收藏

99
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部