USB設備雖然便攜,但其中也包涵許多風險。如電腦不夠安全會使病毒乘虛而入,從而引起機密文件丟失等問題。爲了防止各種風險,各公司都不希望員工使用 U 盤或者其他可移動存儲設備。甚至有不少公司、企業,甚至是學校,傳統的做法都是將 USB 接口堵死,將其用玻璃膠封住。這樣做不僅破壞了硬件,而且會導致其他 USB 設備無法使用,也增加了很大的工作量。目前的筆記本及PC機主板,至少有4個USB接口... 漂亮的電腦直接就給整容了...
有沒有比這個方式更好的辦法呢?答案是有。接下來就說說用組策略封殺USB端口這些事兒。
我們通過組策略,可以做以下這些事兒:
● 允許指定類型的設備可以安裝,拒絕未指定軟件
● 允許指定的具體硬件可以安裝,拒絕未指定的硬件
● 限制某些設備用戶的讀取或者寫入操作
● 拒絕所有可移動設備
實驗原理
●通過對組策略不同策略設置的調整,便可輕鬆實現各種限制功能。
●通過限制“硬件類型(Device class)”,可以做到對所有同類硬件的封殺。
●通過限制“硬件 ID(Device ID):”,可以封殺指定設備。
●兩者結合使用,便可做出靈活強大的功能配置。
實驗開始
在win7系統中,單擊左下角開始,輸入gpedit.msc 調出組策略。
(1)禁止使用 USB 可移動存儲設備
依次展開 計算機配置 -> 管理模板 -> 系統 -> 可移動存儲訪問
雙擊進行編輯 所有可移動存儲類:拒絕所有權限
此時我的U盤和虛擬光驅盤符不再顯示容量信息等。嘗試雙擊打開:被拒絕訪問
(2)允許或禁止使用指定設備
有時,並不需要對所有設備進行統一的封殺。例如,備份專用的移動硬盤等。因此,需要靈活實現組策略的配置,就需要用到限制設備 ID 的做法。
依次展開 計算機配置 -> 管理模板 -> 系統 -> 設備安裝 -> 設備安裝限制
允許安裝與下列設備 ID 相匹配的設備,阻止安裝與下列任何設備 ID 相匹配的設備
先將希望被阻止的設備連接至計算機,然後使用“設備管理器”查看其設備 ID。打開“設備管理器”(可以在開始菜單搜索框中輸入:devmgmt.msc),在設備列表中找到需要被阻止的設備,並右鍵單擊打開“屬性”窗口,在“屬性”窗口中查看:詳細信息 -> 屬性:
設備屬性中的設備屬性
在“屬性”下拉菜單中可以選擇“硬件 ID ”或者“設備類 GUID”。我們在具體“值”上單擊右鍵將其複製。打開“組策略編輯器”,配置剛纔前文定位到的組策略條目。
例如,我在“設備管理器”中將我剛纔使用的 U 盤的“硬件 ID”複製了下來,在組策略中,我選擇了“阻止安裝與下列任何設備 ID相匹配的設備”,配置時,首先勾選“已啓用”:單擊“顯示”按鈕,將剛纔複製的“硬件 ID”填入:
啓用該組策略並配置
點擊“確定”即可。如果該設備已經在本機安裝過,那麼,還需要勾選“也適用於匹配已安裝的設備”。
勾選“也適用於匹配已安裝的設備”
此時,再次插入我剛纔的 U 盤,系統會提示設備已被組策略所禁止。
設備安裝被策略阻止
使用同樣的方法,可以實現對一類設備的特殊管理,只需使用其“設備類 GUID”配合不同的組策略管理條目即可。
在組策略中,剛纔我們使用的那兩個分類下,還有諸多條目可以控制光驅、軟驅、磁帶機等設備。用戶可以通過不同的策略配置以實現更加豐富靈活多變的管理。