USB 接口设备的普及,一方面给我们的工作和生活带来了便捷,另一方面也带来了不少风险,例如病毒、机密文件丢失等问题。现在有不少公司、企业,甚至是学校,为了防止各种风险,都不希望员工使用 U 盘或者其他可移动存储设备。传统的做法都是将 USB 接口堵死,将其用玻璃胶封住,这不仅破坏了硬件,导致其他 USB 设备无法使用,甚至还增加了大量的工作——如今的电脑动辄就有十来个 USB 接口,一个机房至少也有几十台计算机。
为了达到两全其美的效果,我们考虑使用系统组策略来对 USB 设备实现封杀。
我们通过组策略,可以对下列情形实现控制:
● 只有指定类型的设备可以安装,其他未指定设备一律无法安装
● 只有指定的具体硬件可以安装,其他未指定的硬件一律无法安装
● 所有可移动设备都无法安装
● 对于某些设备,限制用户的读取或者写入操作
实现原理
限制对硬件的使用在 Windows 7 中有两种方式:硬件类型(Device class)和硬件 ID(Device ID)。
● 硬件类型(Device class):用于描述设备用途的统一名称。
● 硬件ID(Device ID):用于描述具体硬件设备的{wy}代号。
通过限制“硬件类型”,可以做到对所有同类硬件的封杀。而通过限制“硬件 ID”,可以封杀指定设备。两者结合使用,便可做出灵活强大的功能配置。
Windows 7中的组策略对硬件的管理,正是基于以上两点来实现的。通过对组策略不同策略设置的调整,便可轻松实现各种限制功能。
运行“组策略编辑器”:在开始菜单中的搜索框输入 gpedit.msc 即可。
实现过程
(1)禁止使用 USB 可移动存储设备
将“组策略编辑器”分类导航定位到: 计算机配置 -> 管理模板 -> 系统 -> 可移动存储访问
定位“组策略编辑器”至“可移动存储访问”
在右侧选择组策略条目:所有可移动存储类:拒绝所有权限
双击进行编辑。
所有可移动存储类:拒绝所有权限
该组策略的默认配置是“未配置”,我们将其启动,选择“已启用”即可完成配置。此配置是立即生效的,无需对系统进行重新启动。
验证
经过上述配置,我将手头的 U 盘插入电脑,系统可正常识别设备。打开“资源管理器”,查看盘符:
盘符状态
可以看到此时我的 U 盘盘符不再显示容量信息等。尝试双击打开:
被拒绝访问
此时,由于我们在组策略中禁止了所有有关可移动存储设备的权限,便顺利实现了对可移动存储设备的封杀。
(2)允许或禁止使用指定设备
一些情况下,并不需要对所有设备进行统一的封杀。例如,备份专用的移动硬盘等。因此,需要灵活实现组策略的配置,就需要用到限制设备 ID 的做法。
将“组策略编辑器”定位到: 计算机配置 -> 管理模板 -> 系统 -> 设备安装 -> 设备安装限制
设备安装限制
通过对“设备安装限制”下的
允许安装与下列设备 ID 相匹配的设备
阻止安装与下列任何设备 ID 相匹配的设备
便可实现我们的目标要求。
设备 ID:
设备 ID,即设备的{yj}{wy}标识符。设备 ID 可用于识别或查找设备。
先将希望被阻止的设备连接至计算机,然后使用“设备管理器”查看其设备 ID。打开“设备管理器”(可以在开始菜单搜索框中输入:devmgmt.msc),在设备列表中找到需要被阻止的设备,并右键单击打开“属性”窗口,在“属性”窗口中查看:详细信息 -> 属性:
设备属性中的设备属性
在“属性”下拉菜单中可以选择“硬件 ID ”或者“设备类 GUID”。我们在具体“值”上单击右键将其复制。打开“组策略编辑器”,配置刚才前文定位到的组策略条目。
例如,我在“设备管理器”中将我刚才使用的 U 盘的“硬件 ID”复制了下来,在组策略中,我选择了“阻止安装与下列任何设备 ID相匹配的设备”,配置时,首先勾选“已启用”:
启用该组策略并配置
接下来,单击“显示”按钮,将刚才复制的“硬件 ID”填入:
填入“硬件 ID”
点击“确定”即可。如果该设备已经在本机安装过,那么,还需要勾选“也适用于匹配已安装的设备”。
勾选“也适用于匹配已安装的设备”
此时,再次插入我刚才的 U 盘,系统会提示设备已被组策略所禁止。
设备安装被策略阻止
此时,对指定设备的阻止就配置完毕。
其他限制功能
使用同样的方法,可以实现对一类设备的特殊管理,只需使用其“设备类 GUID”配合不同的组策略管理条目即可。
在组策略中,刚才我们使用的那两个分类下,还有诸多条目可以控制光驱、软驱、磁带机等设备。用户可以通过不同的策略配置以实现更加丰富灵活多变的管理。
网络设计会影响公司IP网络的运行。TechTarget专家Cormac Long推出的这个系列讲座将给您提供IP网络设计的综合方案,从最基本的原则到复杂的技术都会向您做详细的讲解。
“授人以鱼,不如授人以渔。”的确如此。而在忙碌的IT世界里,这也适用于脚本化管理:“给人一个有用的脚本,不如教他自己写脚本。”
虽然“无线局域网”和“Wi - Fi”常常交换使用。但是无线局域网(WLAN)和Wi – Fi之间是有区别的,基本上在这里Wi - Fi是无线局域网类型中的一种。无线局域网是指移动用户可以通过无线(电台)连接的任何局域网(LAN);而Wi - Fi(简称“无线保真”)是无线局域网中的一种类型的术语,它使用于规范的802.11无线协议家庭。
在本手册中,我们讲述了服务器虚拟化与nac安全, 整合nac与网络安全工具,以及将nac措施扩展到网络安全设备等用户最为关心的技术,希望本手册能对您有所帮助。
网络在不断地进步。除了处理电子邮件、文件传输和重要的业务交易,网络同时也在进行着语音传递、视频会议和视频监控等相关业务处理,帮助企事业单位减少开支并提高效率。但这都不是凭空产生的。所有这些新网络应用都需要一定的基础架构支持。如果要实现xxx的通话,数据包丢失、延迟和抖动都是必须严格禁止的。而随着应用负载加大和用户要求增加,这样的需求会变得越来越苛刻。
