Win Vista组策略保障USB设备安全

组策略最容易引起误解的是它的名字──组策略并不是将策略运用到组中去的方法！与之相反的是，组策略通过将组策略链接到活动目录容器(通常就是组织单元，但也包括域和站点)对象而施行于个体或单独用户账户以及计算机账户。这里的组策略对象，就是策略设置的集合。

虽然通过组策略来限制可移动设备并不是一个十分出色的网络安全解决方案，因为一个已经安装了存储设备(如安装了一个USB驱动设备)的用户，可以继续使用它。不过我们还是可以进行一些细微的设置，这些设置可以允许你通过设备的ID来限制特定的可移动存储设备。

很难说哪一种安全威胁对你的网络数据影响最大。由于几个原因，我趋向于认为可移动存储设备，特别是USB驱动设备，应该位于列表的顶部。原因1：USB储存设备非常容易被忽略。第二个原因：有一个简单的事实是，你可以将很大的数据(如多达4GB的数据)存储到一个USB驱动器上，这也就意味着用户可以将同样大的应用程序带到企业中。它还意味着用户可以将多达4GB的数据从企业带走。用户可以访问的任何数据都可以轻松地复制到这些驱动器上。而且USB设备本身体积很小，这使得用户可以方便地将它带入、带出企业。

笔者曾与一些网管员谈到USB储存设备的安全风险问题。不过，这些网管员最通用的做法是禁用工作站上的USB端口。有一些较新的机器允许你通过BIOS禁用USB端口，不过大多数老机器并没有提供这个能力。这种情况下，还有一种方案最常用，那就是用胶布将USB端口封住以此来阻止其使用。

虽然这些方法都可以起到一定的作用，不过，都有一些缺点。对于操作者来说，这些方法都是“劳动密集型的吧，也就是说太难于实施。另外一个问题是禁用USB端口并没有彻底地解决用户访问可移动媒体的问题。用户可以轻松地使用FireWire硬盘驱动器、可移动的DVD驱动器作为另外一种选择。

在所有的这些方法中,最大的弊端就在于永久性地禁用USB端口会使用户没法使用USB设备并且使得这些端口不能被支持的用户访问。此外，偶尔也会有一些合法的理由使得USB端口应该可用。例如，有些工作需要用户拥有一个连接到其PC上的USB扫描仪。

幸运的是，微软的Windows Vista(还有其著名的Windows Server 2008 (Longhorn))一个重要目标就是就是给管理员控制工作站使用硬件的方法提供了更好的控制。现在我们可以借助于组策略来控制对可移动稿设备的访问。

限制对USB存储设备访问的组策略设置目前只是在Windows Vista中可用。目前，这也就意味着你只能在本地计算机的层次上设置组策略。在Windows Server 2008发布之后，你就可以在域中、站点中或OU层次上设置这些组策略(当然，前提是你有一个Windows Server 2008的域控制器)。

要访问必须的组策略设置，你必须打开“组策略对象编辑器( Group Policy Object Editor)。因此，请单击“开始/“所有程序/“附件( 英文操作系统是Start / All Programs/ AccessorIEs，笔者用得是英文系统)。下一步，输入MMC命令。这会使Windows打开一个空的微软管理控制台(Microsoft Management Console)。在控制台打开后，从“文件(File)菜单中选择“添加/删除管理单元( Add / Remove Snap-In)。从管理单元列表中选择组策略对象(Group Policy Object)选项，然后单击“添加(Add)按钮。默认情况下，这个管理单元会连接到本地计算机策略(Local Computer policy)，因此直接单击“确定(ok),然后单击“完成(Finish)即可。

本地计算机策略会被装载到控制台中。现在，导航到“计算机配置　“管理模板　“系统　“设备安装　“设备安装限制(英文系统是找到 Computer Configuration Administrative Templates System Device Installation Device Installation Restrictions)。在如此操作时，细节窗格会显示几个与安装硬件设备相关的几个限制，如下图所示：

有许多与限制设备安装相关的设置。这些设置并非必然地、特定地与可移动设备相关联，而是从总体上与硬件设备相关联。这里的基本思想也就是，如果你限制了用户安装设备，也就阻止了任何你没有专门启用的设备。

关于可移动设备问题，你可以对两项策略设置给予特别注意：第一项设置是“允许管理员覆盖设备安装限制( Allow Administrators to Override Device Installation Restrictions)，如果你实施了任何的设备限制的设置，那么你有必要启用这项设置。否则，即使管理员也不能在工作站上安装任何的新硬件。

第二项重要的设置是“防止安装可移动设备( Prevent Installation of Removable Devices)。如果你启用了这项设置，那么用户就不能安装可移动设备。如果一个用户已经在系统中使用了一个可移动设备，就会存在一个此可移动设备的驱动程序，因此用户就会继续使用它。不过，该用户将绝不可能更新设备的驱动程序。

其实，我们通过Windows Vista可以设置的安全措施还有很多，这有待你去进一步去探索、发现。

要访问必须的组策略设置，你必须打开“组策略对象编辑器( Group Policy Object Editor)。因此，请单击“开始/“所有程序/“附件( 英文操作系统是Start / All Programs/ AccessorIEs，笔者用得是英文系统)。下一步，输入MMC命令。这会使Windows打开一个空的微软管理控制台(Microsoft Management Console)。在控制台打开后，从“文件(File)菜单中选择“添加/删除管理单元( Add / Remove Snap-In)。从管理单元列表中选择组策略对象(Group Policy Object)选项，然后单击“添加(Add)按钮。默认情况下，这个管理单元会连接到本地计算机策略(Local Computer policy)，因此直接单击“确定(ok),然后单击“完成(Finish)即可。

本地计算机策略会被装载到控制台中。现在，导航到“计算机配置　“管理模板　“系统　“设备安装　“设备安装限制(英文系统是找到 Computer Configuration Administrative Templates System Device Installation Device Installation Restrictions)。在如此操作时，细节窗格会显示几个与安装硬件设备相关的几个限制，如下图所示：

有许多与限制设备安装相关的设置。这些设置并非必然地、特定地与可移动设备相关联，而是从总体上与硬件设备相关联。这里的基本思想也就是，如果你限制了用户安装设备，也就阻止了任何你没有专门启用的设备。

关于可移动设备问题，你可以对两项策略设置给予特别注意：第一项设置是“允许管理员覆盖设备安装限制( Allow Administrators to Override Device Installation Restrictions)，如果你实施了任何的设备限制的设置，那么你有必要启用这项设置。否则，即使管理员也不能在工作站上安装任何的新硬件。

第二项重要的设置是“防止安装可移动设备( Prevent Installation of Removable Devices)。如果你启用了这项设置，那么用户就不能安装可移动设备。如果一个用户已经在系统中使用了一个可移动设备，就会存在一个此可移动设备的驱动程序，因此用户就会继续使用它。不过，该用户将绝不可能更新设备的驱动程序。

其实，我们通过Windows Vista可以设置的安全措施还有很多，这有待你去进一步去探索、发现。

如果你是Windows 2000或XP用户，那么你仔细看一下，在这里教大家一招金蝉脱窍而且只需要这一招就能克死所有病毒！如果你是新装的系统（或者是你能确认你的系统当前是无毒的），那就再好不过了，现在就立即就打开：“开始→程序→管理工具→计算机管理→本地用户和组→用户 ！

首先就是把超级管理员密码更改成十位数以上，然后再建立一个用户，把它的密码也设置成十位以上并且提升为超级管理员。这样做的目的是为了双保险：如果你忘记了其中一个密码，还有使用另一个超管密码登陆来挽回的余地，免得你被拒绝于系统之外；再者就是网上的黑客无法再通过猜测你系统超管密码的方式远程获得你系统的控制权而进行破坏。

接着再添加两个用户，比如用户名分别为：user1、user2；并且指定他们属于user组，好了，准备工作到这里就全部完成了，以后你除了必要的维护计算机外就不要使用超级管理员和user2登陆了。只使用user1登陆就可以了。

登陆之后上网的时候找到IE，并为它建立一个快捷方式到桌面上，右键单击快捷方式，选择“以其他用户方式运行点确定！要上网的时候就点这个快捷方式，它会跟你要用户名和密码这时候你就输入user2的用户名和密码！好了，现在你可以使用这个打开的窗口去上网了，可以随你便去放心的浏览任何恶毒的、恶意的、网站跟网页，而不必再担心中招了！

因为你当前的系统活动的用户时user1，而user2是不活动的用户，我们使用这个不活动的用户去上网时，无论多聪明的网站，通过ie得到的信息都将让它都将以为这个user2就是你当前活动的用户，如果它要在你浏览时用恶意代码对你的系统搞搞破坏的话根本就时行不通的，即使能行通，那么被修改掉的仅仅时use2的一个配置文件罢了，而很多恶意代码和病毒试图通过user2进行的破坏活动却都将失败，因为 user2根本就没运行，怎么能取得系统的操作权呢？？

既然取不得，也就对你无可奈何了。而他们更不可能跨越用户来操作，因为微软得配置本来就是各各用户之间是独立的，就象别人不可能跑到我家占据我睡觉用的床一样，它们无法占据user1的位置！

所以你只要能保证总是以这个user2用户做代理来上网（但却不要使用user2来登陆系统，因为如果那样的话，如果user2以前中过什么网页病毒，那么在user2登陆的同时，他们极有可能被激活！），那么无论你中多少网页病毒，全部都将是无法运行或被你当前的user1用户加载的，所以你当前的系统将永远无毒！

不过总有疏忽的时候，一个不小心中毒了怎么办？

不用担心，现在我们就可以来尽情的表演脱壳的技术了！

开始金蝉脱壳：

重新启动计算机，使用超级管理员登陆进入系统后什么程序都不要运行

你会惊奇的发现在的系统竟然表现的完全无毒！，那就再好不过了，现在就立即就打开：“开始→程序→管理工具→计算机管理→本地用户和组→用户 吧！

把里面的user1和user2两个用户权删掉吧，你只需要这么轻轻的一删就可以了，那么以前随着这两个用户而存在的病毒也就跟随着这两个用户的消失而一起去长眠了（好象是陪葬，呵呵！）。这么做过之后我保证你的win 2000就象新装的一个样，任何系统文件和系统进程里都完全是没有病毒的！

好！现在再重复开始的步骤从新建立user1和user2两个用户，让他们复活吧。他们复活是复活了，但是曾跟随了他们的病毒却是没这机会了，因为 win 2000重新建立用户的时候会重新分配给他们全新的配置，而这个配置是全新的也是不可能包含病毒的！

建立完成之后立即注销超级管理员，转如使用 user1登陆，继续你象做的事吧，你会发现你的系统如同全新了！以上方法可以周而复始的用，再加上经常的去打微软的补丁，几乎可以永远保证你的操作系统是无毒状态！只要你能遵循以下几条规辙：

一、任何时间都不以超级管理员的身份登陆系统除非你要进行系统级更新和维护、需要使用超级管理员身份的时候或是你需要添加和删除用户的时候。

二、必须使用超级管理员登陆的时候，保证不使用和运行任何除了操作系统自带的工具和程序之外的任何东西，而且所有维护都只通过开始菜单里的选项来完成，甚至连使用资源管理器去浏览硬盘都不！只做做用户和系统的管理和维护就立即退出，而决不多做逗留！（这也是微软的要求，微软最了解自己的东东，他的建议是正确的。浏览硬盘的事，在其他用户身份下你有大把的机会，在超级管理员的身份下还是不要了！！这应该事能完全作到的）。

上面的都做到了，那么排除了硬件和误操作原因、、病毒跟系统瘫痪都将与你无缘了……

在实际中，我发现经常使用的user1(普通用户)，很多软件无法使用，所以我建议改为超级用户，那样很多的软件都可以用的。

一般来说安装上杀毒软件是比较好的，因为据说该方法只可以防止IE漏洞的病毒。

本人计算机的设置：超级管理员一个(已经把默认的用户名改了)，超级用户一个，普通用户一个(并为他们设置上密码)，

它们均设置了密码，其他拥护已经停止使用。由于用默认桌面上的那个IE创的快捷方式“以其他用户方式运行无法选择(打上勾)，我发现任务栏上的启动那里的和开始→程序上的IE快捷方式可以，只要有可以打上勾的，我们就可以完成下一步的工作了。

要访问必须的组策略设置，你必须打开“组策略对象编辑器( Group Policy Object Editor)。因此，请单击“开始/“所有程序/“附件( 英文操作系统是Start / All Programs/ AccessorIEs，笔者用得是英文系统)。下一步，输入MMC命令。这会使Windows打开一个空的微软管理控制台(Microsoft Management Console)。在控制台打开后，从“文件(File)菜单中选择“添加/删除管理单元( Add / Remove Snap-In)。从管理单元列表中选择组策略对象(Group Policy Object)选项，然后单击“添加(Add)按钮。默认情况下，这个管理单元会连接到本地计算机策略(Local Computer policy)，因此直接单击“确定(ok),然后单击“完成(Finish)即可。

本地计算机策略会被装载到控制台中。现在，导航到“计算机配置　“管理模板　“系统　“设备安装　“设备安装限制(英文系统是找到 Computer Configuration Administrative Templates System Device Installation Device Installation Restrictions)。在如此操作时，细节窗格会显示几个与安装硬件设备相关的几个限制，如下图所示：

有许多与限制设备安装相关的设置。这些设置并非必然地、特定地与可移动设备相关联，而是从总体上与硬件设备相关联。这里的基本思想也就是，如果你限制了用户安装设备，也就阻止了任何你没有专门启用的设备。

关于可移动设备问题，你可以对两项策略设置给予特别注意：第一项设置是“允许管理员覆盖设备安装限制( Allow Administrators to Override Device Installation Restrictions)，如果你实施了任何的设备限制的设置，那么你有必要启用这项设置。否则，即使管理员也不能在工作站上安装任何的新硬件。

第二项重要的设置是“防止安装可移动设备( Prevent Installation of Removable Devices)。如果你启用了这项设置，那么用户就不能安装可移动设备。如果一个用户已经在系统中使用了一个可移动设备，就会存在一个此可移动设备的驱动程序，因此用户就会继续使用它。不过，该用户将绝不可能更新设备的驱动程序。

其实，我们通过Windows Vista可以设置的安全措施还有很多，这有待你去进一步去探索、发现。

要访问必须的组策略设置，你必须打开“组策略对象编辑器( Group Policy Object Editor)。因此，请单击“开始/“所有程序/“附件( 英文操作系统是Start / All Programs/ AccessorIEs，笔者用得是英文系统)。下一步，输入MMC命令。这会使Windows打开一个空的微软管理控制台(Microsoft Management Console)。在控制台打开后，从“文件(File)菜单中选择“添加/删除管理单元( Add / Remove Snap-In)。从管理单元列表中选择组策略对象(Group Policy Object)选项，然后单击“添加(Add)按钮。默认情况下，这个管理单元会连接到本地计算机策略(Local Computer policy)，因此直接单击“确定(ok),然后单击“完成(Finish)即可。

本地计算机策略会被装载到控制台中。现在，导航到“计算机配置　“管理模板　“系统　“设备安装　“设备安装限制(英文系统是找到 Computer Configuration Administrative Templates System Device Installation Device Installation Restrictions)。在如此操作时，细节窗格会显示几个与安装硬件设备相关的几个限制，如下图所示：

有许多与限制设备安装相关的设置。这些设置并非必然地、特定地与可移动设备相关联，而是从总体上与硬件设备相关联。这里的基本思想也就是，如果你限制了用户安装设备，也就阻止了任何你没有专门启用的设备。

关于可移动设备问题，你可以对两项策略设置给予特别注意：第一项设置是“允许管理员覆盖设备安装限制( Allow Administrators to Override Device Installation Restrictions)，如果你实施了任何的设备限制的设置，那么你有必要启用这项设置。否则，即使管理员也不能在工作站上安装任何的新硬件。

第二项重要的设置是“防止安装可移动设备( Prevent Installation of Removable Devices)。如果你启用了这项设置，那么用户就不能安装可移动设备。如果一个用户已经在系统中使用了一个可移动设备，就会存在一个此可移动设备的驱动程序，因此用户就会继续使用它。不过，该用户将绝不可能更新设备的驱动程序。

其实，我们通过Windows Vista可以设置的安全措施还有很多，这有待你去进一步去探索、发现。