實現目標
隨着 USB 接口設備的普及,給我們帶來方便之餘,伴隨着也帶來了不少風險,例如病毒、機密文件丟失等問題。現在有不少公司、企業,甚至是學校,爲了防止各種風險,都不希望員工使用 U 盤或者其他可移動存儲設備。傳統的做法都是將 USB 接口堵死,將其用玻璃膠封住,這樣子做,不僅破壞了硬件,導致其他 USB 設備無法使用,而且其工作量實在是大——如今的電腦動輒就有十來個 USB 接口,一個機房至少也有幾十臺計算機。
爲了兩全其美,我們可以考慮使用系統組策略來對 USB 設備實現封殺。
我們通過組策略,可以對下列情形實現控制:
● 只有指定類型的設備可以安裝,其他未指定設備一律無法安裝
● 只有指定的具體硬件可以安裝,其他未指定的硬件一律無法安裝
● 所有可移動設備都無法安裝
● 對於某些設備,限制用戶的讀取或者寫入操作
實現原理
限制對硬件的使用在 Windows 7 中有兩種方式:硬件類型(Device class)和硬件 ID(Device ID)。
● 硬件類型(Device class):用於描述設備用途的統一名稱。
● 硬件ID(Device ID):用於描述具體硬件設備的唯一代號。
通過限制“硬件類型”,可以做到對所有同類硬件的封殺。而通過限制“硬件 ID”,可以封殺指定設備。兩者結合使用,便可做出靈活強大的功能配置。
Windows 7中的組策略對硬件的管理,正是基於以上兩點來實現的。通過對組策略不同策略設置的調整,便可輕鬆實現各種限制功能。
運行“組策略編輯器”:在開始菜單中的搜索框輸入 gpedit.msc 即可。
實現過程
(1)禁止使用 USB 可移動存儲設備
將“組策略編輯器”分類導航定位到
| 計算機配置 -> 管理模板 -> 系統 -> 可移動存儲訪問 |
定位“組策略編輯器”至“可移動存儲訪問”
在右側選擇組策略條目:
| 所有可移動存儲類:拒絕所有權限 |
雙擊進行編輯。
所有可移動存儲類:拒絕所有權限
該組策略的默認配置是“未配置”,我們將其啓動,選擇“已啓用”即可完成配置。此配置是立即生效的,無需對系統進行重新啓動。
驗證
經過上述配置,我將手頭的 U 盤插入電腦,系統可正常識別設備。打開“資源管理器”,查看盤符:
盤符狀態
可以看到此時我的 U 盤盤符不再顯示容量信息等。嘗試雙擊打開:
被拒絕訪問
此時,由於我們在組策略中禁止了所有有關可移動存儲設備的權限,便順利實現了對可移動存儲設備的封殺。
(2)允許或禁止使用指定設備
一些情況下,並不需要對所有設備進行統一的封殺。例如,備份專用的移動硬盤等。因此,需要靈活實現組策略的配置,就需要用到限制設備 ID 的做法。
將“組策略編輯器”定位到:
| 計算機配置 -> 管理模板 -> 系統 -> 設備安裝 -> 設備安裝限制 |
設備安裝限制
通過對“設備安裝限制”下的
|
允許安裝與下列設備 ID 相匹配的設備 阻止安裝與下列任何設備 ID 相匹配的設備 |
便可實現我們的目標要求。
設備 ID:
| 設備 ID,即設備的永久唯一標識符。設備 ID 可用於識別或查找設備。 |
先將希望被阻止的設備連接至計算機,然後使用“設備管理器”查看其設備 ID。打開“設備管理器”(可以在開始菜單搜索框中輸入:devmgmt.msc),在設備列表中找到需要被阻止的設備,並右鍵單擊打開“屬性”窗口,在“屬性”窗口中查看:詳細信息 -> 屬性:
設備屬性中的設備屬性
在“屬性”下拉菜單中可以選擇“硬件 ID ”或者“設備類 GUID”。我們在具體“值”上單擊右鍵將其複製。打開“組策略編輯器”,配置剛纔前文定位到的組策略條目。
例如,我在“設備管理器”中將我剛纔使用的 U 盤的“硬件 ID”複製了下來,在組策略中,我選擇了“阻止安裝與下列任何設備 ID相匹配的設備”,配置時,首先勾選“已啓用”:
啓用該組策略並配置
接下來,單擊“顯示”按鈕,將剛纔複製的“硬件 ID”填入:
填入“硬件 ID”
點擊“確定”即可。如果該設備已經在本機安裝過,那麼,還需要勾選“也適用於匹配已安裝的設備”。
勾選“也適用於匹配已安裝的設備”
此時,再次插入我剛纔的 U 盤,系統會提示設備已被組策略所禁止。
設備安裝被策略阻止
此時,對指定設備的阻止就配置完畢。
其他限制功能
使用同樣的方法,可以實現對一類設備的特殊管理,只需使用其“設備類 GUID”配合不同的組策略管理條目即可。
在組策略中,剛纔我們使用的那兩個分類下,還有諸多條目可以控制光驅、軟驅、磁帶機等設備。用戶可以通過不同的策略配置以實現更加豐富靈活多變的管理。
本文出自 “馬睿的技術博客” 博客,請務必保留此出處http://marui.blog.51cto.com/1034148/325249