凡事都是有利有弊的，就說vista 系統(tǒng)吧.它是非常智能的系統(tǒng)，它會記錄用戶的某些信息方便用戶下一次的操作.但是Vista的這些做法在方便了用戶的同時也為偷窺者提供了便利，一個有經(jīng)驗的偷窺者可以據(jù)此竊取用戶的私密信息，特別在公共電腦中要特別注意.那下文中小編就結(jié)合實例,詳解如何利用WindowsVista組策略保障USB設(shè)備的安全?

　　組策略最容易引起誤解的是它的名字──組策略并不是將策略運用到組中去的方法!與之相反的是，組策略通過將組策略鏈接到活動目錄容器(通常就是組織單元，但也包括域和站點)對象而施行于個體或單獨用戶賬戶以及計算機賬戶。這里的組策略對象，就是策略設(shè)置的集合。

　　雖然通過組策略來限制可移動設(shè)備并不是一個十分出色的網(wǎng)絡(luò)安全解決方案，因為一個已經(jīng)安裝了存儲設(shè)備(如安裝了一個USB驅(qū)動設(shè)備)的用戶，可以繼續(xù)使用它。不過我們還是可以進行一些細微的設(shè)置，這些設(shè)置可以允許你通過設(shè)備的ID來限制特定的可移動存儲設(shè)備。

　　很難說哪一種安全威脅對你的網(wǎng)絡(luò)數(shù)據(jù)影響最大。由于幾個原因，我趨向于認為可移動存儲設(shè)備，特別是USB驅(qū)動設(shè)備，應(yīng)該位于列表的頂部。原因1：USB儲存設(shè)備非常容易被忽略。第二個原因：有一個簡單的事實是，你可以將很大的數(shù)據(jù)(如多達4GB的數(shù)據(jù))存儲到一個USB驅(qū)動器上，這也就意味著用戶可以將同樣大的應(yīng)用程序帶到企業(yè)中。它還意味著用戶可以將多達4GB的數(shù)據(jù)從企業(yè)帶走。用戶可以訪問的任何數(shù)據(jù)都可以輕松地復(fù)制到這些驅(qū)動器上。而且USB設(shè)備本身體積很小，這使得用戶可以方便地將它帶入、帶出企業(yè)。

　　筆者曾與一些網(wǎng)管員談到USB儲存設(shè)備的安全風險問題。不過，這些網(wǎng)管員最通用的做法是禁用工作站上的USB端口。有一些較新的機器允許你通過BIOS禁用USB端口，不過大多數(shù)老機器并沒有提供這個能力。這種情況下，還有一種方案最常用，那就是用膠布將USB端口封住以此來阻止其使用。

　　雖然這些方法都可以起到一定的作用，不過，都有一些缺點。對于操作者來說，這些方法都是“勞動密集型”的吧，也就是說太難于實施。另外一個問題是禁用USB端口并沒有徹底地解決用戶訪問可移動媒體的問題。用戶可以輕松地使用FireWire硬盤驅(qū)動器、可移動的DVD驅(qū)動器作為另外一種選擇。

　　在所有的這些方法中,最大的弊端就在于永久性地禁用USB端口會使用戶沒法使用USB設(shè)備并且使得這些端口不能被支持的用戶訪問。此外，偶爾也會有一些合法的理由使得USB端口應(yīng)該可用。例如，有些工作需要用戶擁有一個連接到其PC上的USB掃描儀。

　　幸運的是，微軟的Windows Vista(還有其著名的Windows Server 2008 (Longhorn))一個重要目標就是就是給管理員控制工作站使用硬件的方法提供了更好的控制。現(xiàn)在我們可以借助于組策略來控制對可移動稿設(shè)備的訪問。

　　限制對USB存儲設(shè)備訪問的組策略設(shè)置目前只是在Windows Vista中可用。目前，這也就意味著你只能在本地計算機的層次上設(shè)置組策略。在Windows Server 2008發(fā)布之后，你就可以在域中、站點中或OU層次上設(shè)置這些組策略(當然，前提是你有一個Windows Server 2008的域控制器)。

　　要訪問必須的組策略設(shè)置，你必須打開“組策略對象編輯器”( Group Policy Object Editor)。因此，請單擊“開始”/“所有程序”/“附件”( 英文操作系統(tǒng)是Start / All Programs/ Accessories，筆者用得是英文系統(tǒng))。下一步，輸入MMC命令。這會使Windows打開一個空的微軟管理控制臺(Microsoft Management Console)。在控制臺打開后，從“文件(File)”菜單中選擇“添加/刪除管理單元”( Add / Remove Snap-In)。從管理單元列表中選擇組策略對象(Group Policy Object)選項，然后單擊“添加(Add)”按鈕。默認情況下，這個管理單元會連接到本地計算機策略(Local Computer policy)，因此直接單擊“確定(ok)”,然后單擊“完成(Finish)”即可。

　　本地計算機策略會被裝載到控制臺中。現(xiàn)在，導(dǎo)航到“計算機配置”　“管理模板”　“系統(tǒng)”　“設(shè)備安裝”　“設(shè)備安裝限制”(英文系統(tǒng)是找到 Computer Configuration 　 Administrative Templates 　 System 　 Device Installation 　 Device Installation Restrictions)。在如此操作時，細節(jié)窗格會顯示幾個與安裝硬件設(shè)備相關(guān)的幾個限制，如下圖所示：

　　有許多與限制設(shè)備安裝相關(guān)的設(shè)置。這些設(shè)置并非必然地、特定地與可移動設(shè)備相關(guān)聯(lián)，而是從總體上與硬件設(shè)備相關(guān)聯(lián)。這里的基本思想也就是，如果你限制了用戶安裝設(shè)備，也就阻止了任何你沒有專門啟用的設(shè)備。

　　關(guān)于可移動設(shè)備問題，你可以對兩項策略設(shè)置給予特別注意：第一項設(shè)置是“允許管理員覆蓋設(shè)備安裝限制”( Allow Administrators to Override Device Installation Restrictions)，如果你實施了任何的設(shè)備限制的設(shè)置，那么你有必要啟用這項設(shè)置。否則，即使管理員也不能在工作站上安裝任何的新硬件。

　　第二項重要的設(shè)置是“防止安裝可移動設(shè)備”( Prevent Installation of Removable Devices)。如果你啟用了這項設(shè)置，那么用戶就不能安裝可移動設(shè)備。如果一個用戶已經(jīng)在系統(tǒng)中使用了一個可移動設(shè)備，就會存在一個此可移動設(shè)備的驅(qū)動程序，因此用戶就會繼續(xù)使用它。不過，該用戶將絕不可能更新設(shè)備的驅(qū)動程序。

　　其實，我們通過Windows Vista可以設(shè)置的安全措施還有很多，這有待你去進一步去探索、發(fā)現(xiàn)。小編也期待更多的用戶來本網(wǎng)站與大家一同探討,趕緊加入到我們的隊伍吧.