凡事都是有利有弊的，就說vista 系統(tǒng)吧.它是非常智能的系統(tǒng)，它會記錄用戶的某些信息方便用戶下一次的操作.但是Vista的這些做法在方便了用戶的同時也為偷窺者提供了便利，一個有經(jīng)驗的偷窺者可以據(jù)此竊取用戶的私密信息，特別在公共電腦中要特別注意.那下文中小編就結(jié)合實例,詳解如何利用WindowsVista組策略保障USB設(shè)備的安全?

　　組策略最容易引起誤解的是它的名字──組策略并不是將策略運(yùn)用到組中去的方法!與之相反的是，組策略通過將組策略鏈接到活動目錄容器(通常就是組織單元，但也包括域和站點(diǎn))對象而施行于個體或單獨(dú)用戶賬戶以及計算機(jī)賬戶。這里的組策略對象，就是策略設(shè)置的集合。

　　雖然通過組策略來限制可移動設(shè)備并不是一個十分出色的網(wǎng)絡(luò)安全解決方案，因為一個已經(jīng)安裝了存儲設(shè)備(如安裝了一個USB驅(qū)動設(shè)備)的用戶，可以繼續(xù)使用它。不過我們還是可以進(jìn)行一些細(xì)微的設(shè)置，這些設(shè)置可以允許你通過設(shè)備的ID來限制特定的可移動存儲設(shè)備。

　　很難說哪一種安全威脅對你的網(wǎng)絡(luò)數(shù)據(jù)影響最大。由于幾個原因，我趨向于認(rèn)為可移動存儲設(shè)備，特別是USB驅(qū)動設(shè)備，應(yīng)該位于列表的頂部。原因1：USB儲存設(shè)備非常容易被忽略。第二個原因：有一個簡單的事實是，你可以將很大的數(shù)據(jù)(如多達(dá)4GB的數(shù)據(jù))存儲到一個USB驅(qū)動器上，這也就意味著用戶可以將同樣大的應(yīng)用程序帶到企業(yè)中。它還意味著用戶可以將多達(dá)4GB的數(shù)據(jù)從企業(yè)帶走。用戶可以訪問的任何數(shù)據(jù)都可以輕松地復(fù)制到這些驅(qū)動器上。而且USB設(shè)備本身體積很小，這使得用戶可以方便地將它帶入、帶出企業(yè)。

　　筆者曾與一些網(wǎng)管員談到USB儲存設(shè)備的安全風(fēng)險問題。不過，這些網(wǎng)管員最通用的做法是禁用工作站上的USB端口。有一些較新的機(jī)器允許你通過BIOS禁用USB端口，不過大多數(shù)老機(jī)器并沒有提供這個能力。這種情況下，還有一種方案最常用，那就是用膠布將USB端口封住以此來阻止其使用。

　　雖然這些方法都可以起到一定的作用，不過，都有一些缺點(diǎn)。對于操作者來說，這些方法都是“勞動密集型”的吧，也就是說太難于實施。另外一個問題是禁用USB端口并沒有徹底地解決用戶訪問可移動媒體的問題。用戶可以輕松地使用FireWire硬盤驅(qū)動器、可移動的DVD驅(qū)動器作為另外一種選擇。

　　在所有的這些方法中,最大的弊端就在于永久性地禁用USB端口會使用戶沒法使用USB設(shè)備并且使得這些端口不能被支持的用戶訪問。此外，偶爾也會有一些合法的理由使得USB端口應(yīng)該可用。例如，有些工作需要用戶擁有一個連接到其PC上的USB掃描儀。

　　幸運(yùn)的是，微軟的Windows Vista(還有其著名的Windows Server 2008 (Longhorn))一個重要目標(biāo)就是就是給管理員控制工作站使用硬件的方法提供了更好的控制。現(xiàn)在我們可以借助于組策略來控制對可移動稿設(shè)備的訪問。

　　限制對USB存儲設(shè)備訪問的組策略設(shè)置目前只是在Windows Vista中可用。目前，這也就意味著你只能在本地計算機(jī)的層次上設(shè)置組策略。在Windows Server 2008發(fā)布之后，你就可以在域中、站點(diǎn)中或OU層次上設(shè)置這些組策略(當(dāng)然，前提是你有一個Windows Server 2008的域控制器)。

　　要訪問必須的組策略設(shè)置，你必須打開“組策略對象編輯器”( Group Policy Object Editor)。因此，請單擊“開始”/“所有程序”/“附件”( 英文操作系統(tǒng)是Start / All Programs/ Accessories，筆者用得是英文系統(tǒng))。下一步，輸入MMC命令。這會使Windows打開一個空的微軟管理控制臺(Microsoft Management Console)。在控制臺打開后，從“文件(File)”菜單中選擇“添加/刪除管理單元”( Add / Remove Snap-In)。從管理單元列表中選擇組策略對象(Group Policy Object)選項，然后單擊“添加(Add)”按鈕。默認(rèn)情況下，這個管理單元會連接到本地計算機(jī)策略(Local Computer policy)，因此直接單擊“確定(ok)”,然后單擊“完成(Finish)”即可。

　　本地計算機(jī)策略會被裝載到控制臺中。現(xiàn)在，導(dǎo)航到“計算機(jī)配置”　“管理模板”　“系統(tǒng)”　“設(shè)備安裝”　“設(shè)備安裝限制”(英文系統(tǒng)是找到 Computer Configuration 　 Administrative Templates 　 System 　 Device Installation 　 Device Installation Restrictions)。在如此操作時，細(xì)節(jié)窗格會顯示幾個與安裝硬件設(shè)備相關(guān)的幾個限制，如下圖所示：

　　有許多與限制設(shè)備安裝相關(guān)的設(shè)置。這些設(shè)置并非必然地、特定地與可移動設(shè)備相關(guān)聯(lián)，而是從總體上與硬件設(shè)備相關(guān)聯(lián)。這里的基本思想也就是，如果你限制了用戶安裝設(shè)備，也就阻止了任何你沒有專門啟用的設(shè)備。

　　關(guān)于可移動設(shè)備問題，你可以對兩項策略設(shè)置給予特別注意：第一項設(shè)置是“允許管理員覆蓋設(shè)備安裝限制”( Allow Administrators to Override Device Installation Restrictions)，如果你實施了任何的設(shè)備限制的設(shè)置，那么你有必要啟用這項設(shè)置。否則，即使管理員也不能在工作站上安裝任何的新硬件。

　　第二項重要的設(shè)置是“防止安裝可移動設(shè)備”( Prevent Installation of Removable Devices)。如果你啟用了這項設(shè)置，那么用戶就不能安裝可移動設(shè)備。如果一個用戶已經(jīng)在系統(tǒng)中使用了一個可移動設(shè)備，就會存在一個此可移動設(shè)備的驅(qū)動程序，因此用戶就會繼續(xù)使用它。不過，該用戶將絕不可能更新設(shè)備的驅(qū)動程序。

　　其實，我們通過Windows Vista可以設(shè)置的安全措施還有很多，這有待你去進(jìn)一步去探索、發(fā)現(xiàn)。小編也期待更多的用戶來本網(wǎng)站與大家一同探討,趕緊加入到我們的隊伍吧.