论文部分内容阅读
● 小U盘带来的大问题
U盘全称USB闪存盘,它是一个带有USB接口的无需物理驱动器的微型高容量移动存储产品,可以通过USB接口与计算机连接,实现即插即用。U盘因其方便、快捷正为人们津津乐道,但由它所引发的问题也接踵而来,特别是在学校机房这样的公共学习场所中,因计算机都配有USB接口,学生可以方便地插拔U盘,并在不预先通知管理员的情况下使用U盘,这就给病毒的蔓延造成可乘之机,也极易造成机房数据外泄、软件被突破等管理问题,这些问题往往使管理员很头疼。一方面,管理员不能将其全面禁用,因为很多时候维护也需使用U盘;另一方面,如果不禁用就容易形成安全隐患,造成机房管理混乱。那么如何才能做到二者兼顾,既让管理轻松,又能做到“按需分配”呢?
● 无功而返:初试几种禁U方法
首先我查到了网上的几种禁止U盘使用的方法。
方法一,BIOS设置法。这种方法就是通过BIOS设置,禁止USB接口,达到禁用USB设备的目的。再给BIOS设置密码,需要使用U盘时再进入BIOS设置打开USB接口,这样其他人就无法使用U盘了。但是,此种方种通杀USB设备,包括USB键盘和鼠标,结果证明该方法不可取。
方法二,文件控制法。禁止安装USB驱动程序,主要是通过对Usbstor.pnf和Usbstor.inf的文件用业内权限的设置达到禁止USB设备的目的,但此种方法只对未在计算机上使用过的USB设备有效,并且磁盘分区必须为Ntfs,也不可取。
方法三,注册表修改法。此种方法可分为两种,都是通过修改注册表编辑器下的相应键值来实现禁止USB设备的使用。
一是修改“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR”下的“Start”的DWORD值,将其改为十六进制数值“4”。重启生效后,当有人将USB存储设备连接到计算机时,虽然USB设备上的指示灯在正常闪烁,但在资源管理器中无法找到其盘符,因此也就无法使用USB设备了。但此种方法只对部分USB设备有效,不可取。
二是修改[HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ploicies\Explorer],新建二进制值“NoDrives”,根据需要隐藏相应的盘符,达到禁止使用USB设备的目的。此种方法虽未分配盘符,但却可以偷偷使用,禁用得不彻底,很容易突破。
以上几种方法虽然都能实现禁止USB设备的目的,但对于笔者的实际需要都是不尽完美,不能做到人性化的“按需分配”。
● 寻幽入微:可移动设备标识符
面对无计可施的局面,我冷静下来仔细分析,思考能不能从可移动设备的安装原理上下工夫。
我们先了解一下可移动设备的安装原理,Windows系统使用两种类型的标识符来控制设备安装和配置。两种标识符类型为:设备标识字符串(硬件ID)和设备安装程序类(全局唯一标识符GUID)。安装原理如下。
当Windows系统检测到一个从未在计算机上安装过的设备时,操作系统会查询该设备,检索其设备标识字符串列表。设备制造商通常会为一个设备分配多个设备标识字符串。Windows通过从设备中检索到的设备标识字符串与驱动程序包中包含的标识字符串相匹配,选择要安装哪个设备驱动程序包,完成设备的安装和配置。
了解了可移动设备的安装原理后,我发现可以在设备标识符上作文章,因为每个设备标识符(硬件ID)都是不一样的,我们只需知道要使用的可移动设备的标识符(硬件ID)就可以允许指定的可移动设备进行安装和使用,于是我打开了计算机的“设备管理器”,查看里面的硬件信息,找到了硬件ID值的选项,关键是用什么程序来管理控制硬件的ID,想到这,我眼前一亮,答案有了。
● 另辟蹊径:组策略的“按需分配”
我们都知道Windows的组策略,但是用过的人不是很多,组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。特别是在Windows 7系统中,已经开发了许多新的和增强的组策略功能和服务,保护计算机上驻留的数据、功能和服务。
打开组策略管理器(gpedit.msc),“计算机配置”项里的“设备安装”选项引起我的注意(“允许安装与下列设备ID相匹配的设备”和“禁止安装可移动设备”,如图1)。
随后我便有了解决的方案,即按可移动设备的安装原理,结合组策略来控制用户使用可移动设备。具体操作流程如图2。
图2对可移动设备的安装进行了详细判别,在实际的操作中,我们可以按照自己的需要选择组策略。
解决方案具体操作步骤如下。
1.记录允许安装的硬件ID
首先,我们要记录下允许安装的可移动设备的硬件ID,这里以金士顿U盘为例(其他可移动设备通用),插上U盘,打开“我的电脑”-右键-“设备管理器”,在树形目录下选择“磁盘驱动器”,找到我们刚安装上的U盘,右键-“属性”-“详细信息”,单击“属性”-“硬件ID”,把下面的值复制到文本文件中保存待用,同样再把兼容ID的值复制保存,完成后卸载U盘,如图3所示(有些杂牌的可移动设备需要兼容ID)。
2.设置禁止安装可移动设备
以管理员身份登录,打开组策略管理器(“开始”-“搜索程序和文件”-输入gpedit.msc),选择“计算机配置”-“管理模板”-“系统”-“设备安装”-“设备安装限制”-“禁止安装可移动设备”双击打开,选择“启用”,这样所有的可移动设备便都不可以安装使用了(如下页图4)。
3.设备管理员安装策略
选择“设备安装限制”下的“允许管理员忽略设备安装策略”双击打开,选择“启用”,这使管理员不受设备安装策略的限制,可以方便管理(如图5)。
4.设置允许安装的设备
选择“设备安装限制”下的“允许使用与下列设备ID相匹配的设备”双击打开,选择“启用”,然后点击“显示”,将我们第一步保存的硬件ID信息粘贴到其中,点“确定”(有的设备可能需要添加多个硬件ID,或添加兼容ID),如图6所示。
5.更新组策略
选择“开始”-“搜索程序和文件”-输入gpupdate/force,切换到测试用户(我的测试用户名称是“TEST”)重新登录,这时插上U盘,就会发现只有刚才指定的U盘可以正常使用,其他的U盘都不能使用(如图7、图8、图9)。
至此,笔者运用组策略实现了对指定可移动设备的安装使用,而其他未授权的可移动设备却不能安装使用,做到了“按需分配”。
● 防患于未然:组策略保护数据安全
“按需分配”的问题解决了,随意又看了看组策略“系统”中的其他选项,发现其中还有一项叫“可移动磁盘存储访问”,里面包括可移动磁盘、CD/DVD、软盘、磁盘、WPD设备的访问控制策略,看过选项后想想,这几个选项对保护计算机资料数据有着相当重要的作用,只要我们对上述几项组策略进行“启用”设置,就可以对可移动磁盘、光盘刻录机、软盘和WPD设备进行访问控制,即随意地读取、写入数据,执行文件都不能正常进行,达到保证机房计算机数据资料安全的目的,防患于未然(如图10)。
通过对组策略的应用,我们不仅可以随心所欲地安装、控制、使用可移动设备,做到“按需分配”,还能有效地管理可移动设备访问权限,从而使我们的机房管理更科学,安全措施更到位。
U盘全称USB闪存盘,它是一个带有USB接口的无需物理驱动器的微型高容量移动存储产品,可以通过USB接口与计算机连接,实现即插即用。U盘因其方便、快捷正为人们津津乐道,但由它所引发的问题也接踵而来,特别是在学校机房这样的公共学习场所中,因计算机都配有USB接口,学生可以方便地插拔U盘,并在不预先通知管理员的情况下使用U盘,这就给病毒的蔓延造成可乘之机,也极易造成机房数据外泄、软件被突破等管理问题,这些问题往往使管理员很头疼。一方面,管理员不能将其全面禁用,因为很多时候维护也需使用U盘;另一方面,如果不禁用就容易形成安全隐患,造成机房管理混乱。那么如何才能做到二者兼顾,既让管理轻松,又能做到“按需分配”呢?
● 无功而返:初试几种禁U方法
首先我查到了网上的几种禁止U盘使用的方法。
方法一,BIOS设置法。这种方法就是通过BIOS设置,禁止USB接口,达到禁用USB设备的目的。再给BIOS设置密码,需要使用U盘时再进入BIOS设置打开USB接口,这样其他人就无法使用U盘了。但是,此种方种通杀USB设备,包括USB键盘和鼠标,结果证明该方法不可取。
方法二,文件控制法。禁止安装USB驱动程序,主要是通过对Usbstor.pnf和Usbstor.inf的文件用业内权限的设置达到禁止USB设备的目的,但此种方法只对未在计算机上使用过的USB设备有效,并且磁盘分区必须为Ntfs,也不可取。
方法三,注册表修改法。此种方法可分为两种,都是通过修改注册表编辑器下的相应键值来实现禁止USB设备的使用。
一是修改“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR”下的“Start”的DWORD值,将其改为十六进制数值“4”。重启生效后,当有人将USB存储设备连接到计算机时,虽然USB设备上的指示灯在正常闪烁,但在资源管理器中无法找到其盘符,因此也就无法使用USB设备了。但此种方法只对部分USB设备有效,不可取。
二是修改[HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ploicies\Explorer],新建二进制值“NoDrives”,根据需要隐藏相应的盘符,达到禁止使用USB设备的目的。此种方法虽未分配盘符,但却可以偷偷使用,禁用得不彻底,很容易突破。
以上几种方法虽然都能实现禁止USB设备的目的,但对于笔者的实际需要都是不尽完美,不能做到人性化的“按需分配”。
● 寻幽入微:可移动设备标识符
面对无计可施的局面,我冷静下来仔细分析,思考能不能从可移动设备的安装原理上下工夫。
我们先了解一下可移动设备的安装原理,Windows系统使用两种类型的标识符来控制设备安装和配置。两种标识符类型为:设备标识字符串(硬件ID)和设备安装程序类(全局唯一标识符GUID)。安装原理如下。
当Windows系统检测到一个从未在计算机上安装过的设备时,操作系统会查询该设备,检索其设备标识字符串列表。设备制造商通常会为一个设备分配多个设备标识字符串。Windows通过从设备中检索到的设备标识字符串与驱动程序包中包含的标识字符串相匹配,选择要安装哪个设备驱动程序包,完成设备的安装和配置。
了解了可移动设备的安装原理后,我发现可以在设备标识符上作文章,因为每个设备标识符(硬件ID)都是不一样的,我们只需知道要使用的可移动设备的标识符(硬件ID)就可以允许指定的可移动设备进行安装和使用,于是我打开了计算机的“设备管理器”,查看里面的硬件信息,找到了硬件ID值的选项,关键是用什么程序来管理控制硬件的ID,想到这,我眼前一亮,答案有了。
● 另辟蹊径:组策略的“按需分配”
我们都知道Windows的组策略,但是用过的人不是很多,组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。特别是在Windows 7系统中,已经开发了许多新的和增强的组策略功能和服务,保护计算机上驻留的数据、功能和服务。
打开组策略管理器(gpedit.msc),“计算机配置”项里的“设备安装”选项引起我的注意(“允许安装与下列设备ID相匹配的设备”和“禁止安装可移动设备”,如图1)。
随后我便有了解决的方案,即按可移动设备的安装原理,结合组策略来控制用户使用可移动设备。具体操作流程如图2。
图2对可移动设备的安装进行了详细判别,在实际的操作中,我们可以按照自己的需要选择组策略。
解决方案具体操作步骤如下。
1.记录允许安装的硬件ID
首先,我们要记录下允许安装的可移动设备的硬件ID,这里以金士顿U盘为例(其他可移动设备通用),插上U盘,打开“我的电脑”-右键-“设备管理器”,在树形目录下选择“磁盘驱动器”,找到我们刚安装上的U盘,右键-“属性”-“详细信息”,单击“属性”-“硬件ID”,把下面的值复制到文本文件中保存待用,同样再把兼容ID的值复制保存,完成后卸载U盘,如图3所示(有些杂牌的可移动设备需要兼容ID)。
2.设置禁止安装可移动设备
以管理员身份登录,打开组策略管理器(“开始”-“搜索程序和文件”-输入gpedit.msc),选择“计算机配置”-“管理模板”-“系统”-“设备安装”-“设备安装限制”-“禁止安装可移动设备”双击打开,选择“启用”,这样所有的可移动设备便都不可以安装使用了(如下页图4)。
3.设备管理员安装策略
选择“设备安装限制”下的“允许管理员忽略设备安装策略”双击打开,选择“启用”,这使管理员不受设备安装策略的限制,可以方便管理(如图5)。
4.设置允许安装的设备
选择“设备安装限制”下的“允许使用与下列设备ID相匹配的设备”双击打开,选择“启用”,然后点击“显示”,将我们第一步保存的硬件ID信息粘贴到其中,点“确定”(有的设备可能需要添加多个硬件ID,或添加兼容ID),如图6所示。
5.更新组策略
选择“开始”-“搜索程序和文件”-输入gpupdate/force,切换到测试用户(我的测试用户名称是“TEST”)重新登录,这时插上U盘,就会发现只有刚才指定的U盘可以正常使用,其他的U盘都不能使用(如图7、图8、图9)。
至此,笔者运用组策略实现了对指定可移动设备的安装使用,而其他未授权的可移动设备却不能安装使用,做到了“按需分配”。
● 防患于未然:组策略保护数据安全
“按需分配”的问题解决了,随意又看了看组策略“系统”中的其他选项,发现其中还有一项叫“可移动磁盘存储访问”,里面包括可移动磁盘、CD/DVD、软盘、磁盘、WPD设备的访问控制策略,看过选项后想想,这几个选项对保护计算机资料数据有着相当重要的作用,只要我们对上述几项组策略进行“启用”设置,就可以对可移动磁盘、光盘刻录机、软盘和WPD设备进行访问控制,即随意地读取、写入数据,执行文件都不能正常进行,达到保证机房计算机数据资料安全的目的,防患于未然(如图10)。
通过对组策略的应用,我们不仅可以随心所欲地安装、控制、使用可移动设备,做到“按需分配”,还能有效地管理可移动设备访问权限,从而使我们的机房管理更科学,安全措施更到位。