Win Vista組策略保障USB設(shè)備安全
組策略最容易引起誤解的是它的名字──組策略并不是將策略運用到組中去的方法!與之相反的是,組策略通過將組策略鏈接到活動目錄容器(通常就是組織單元,但也包括域和站點)對象而施行于個體或單獨用戶賬戶以及計算機賬戶。這里的組策略對象,就是策略設(shè)置的集合。
雖然通過組策略來限制可移動設(shè)備并不是一個十分出色的網(wǎng)絡(luò)安全解決方案,因為一個已經(jīng)安裝了存儲設(shè)備(如安裝了一個USB驅(qū)動設(shè)備)的用戶,可以繼續(xù)使用它。不過我們還是可以進行一些細微的設(shè)置,這些設(shè)置可以允許你通過設(shè)備的ID來限制特定的可移動存儲設(shè)備。
很難說哪一種安全威脅對你的網(wǎng)絡(luò)數(shù)據(jù)影響最大。由于幾個原因,我趨向于認為可移動存儲設(shè)備,特別是USB驅(qū)動設(shè)備,應該位于列表的頂部。原因1:USB儲存設(shè)備非常容易被忽略。第二個原因:有一個簡單的事實是,你可以將很大的數(shù)據(jù)(如多達4GB的數(shù)據(jù))存儲到一個USB驅(qū)動器上,這也就意味著用戶可以將同樣大的應用程序帶到企業(yè)中。它還意味著用戶可以將多達4GB的數(shù)據(jù)從企業(yè)帶走。用戶可以訪問的任何數(shù)據(jù)都可以輕松地復制到這些驅(qū)動器上。而且USB設(shè)備本身體積很小,這使得用戶可以方便地將它帶入、帶出企業(yè)。
筆者曾與一些網(wǎng)管員談到USB儲存設(shè)備的安全風險問題。不過,這些網(wǎng)管員最通用的做法是禁用工作站上的USB端口。有一些較新的機器允許你通過BIOS禁用USB端口,不過大多數(shù)老機器并沒有提供這個能力。這種情況下,還有一種方案最常用,那就是用膠布將USB端口封住以此來阻止其使用。
雖然這些方法都可以起到一定的作用,不過,都有一些缺點。對于操作者來說,這些方法都是“勞動密集型的吧,也就是說太難于實施。另外一個問題是禁用USB端口并沒有徹底地解決用戶訪問可移動媒體的問題。用戶可以輕松地使用FireWire硬盤驅(qū)動器、可移動的DVD驅(qū)動器作為另外一種選擇。
在所有的這些方法中,最大的弊端就在于永久性地禁用USB端口會使用戶沒法使用USB設(shè)備并且使得這些端口不能被支持的用戶訪問。此外,偶爾也會有一些合法的理由使得USB端口應該可用。例如,有些工作需要用戶擁有一個連接到其PC上的USB掃描儀。
幸運的是,微軟的Windows Vista(還有其著名的Windows Server 2008 (Longhorn))一個重要目標就是就是給管理員控制工作站使用硬件的方法提供了更好的控制。現(xiàn)在我們可以借助于組策略來控制對可移動稿設(shè)備的訪問。
限制對USB存儲設(shè)備訪問的組策略設(shè)置目前只是在Windows Vista中可用。目前,這也就意味著你只能在本地計算機的層次上設(shè)置組策略。在Windows Server 2008發(fā)布之后,你就可以在域中、站點中或OU層次上設(shè)置這些組策略(當然,前提是你有一個Windows Server 2008的域控制器)。
要訪問必須的組策略設(shè)置,你必須打開“組策略對象編輯器( Group Policy Object Editor)。因此,請單擊“開始/“所有程序/“附件( 英文操作系統(tǒng)是Start / All Programs/ AccessorIEs,筆者用得是英文系統(tǒng))。下一步,輸入MMC命令。這會使Windows打開一個空的微軟管理控制臺(Microsoft Management Console)。在控制臺打開后,從“文件(File)菜單中選擇“添加/刪除管理單元( Add / Remove Snap-In)。從管理單元列表中選擇組策略對象(Group Policy Object)選項,然后單擊“添加(Add)按鈕。默認情況下,這個管理單元會連接到本地計算機策略(Local Computer policy),因此直接單擊“確定(ok),然后單擊“完成(Finish)即可。
本地計算機策略會被裝載到控制臺中。現(xiàn)在,導航到“計算機配置 “管理模板 “系統(tǒng) “設(shè)備安裝 “設(shè)備安裝限制(英文系統(tǒng)是找到 Computer Configuration Administrative Templates System Device Installation Device Installation Restrictions)。在如此操作時,細節(jié)窗格會顯示幾個與安裝硬件設(shè)備相關(guān)的幾個限制,如下圖所示:
有許多與限制設(shè)備安裝相關(guān)的設(shè)置。這些設(shè)置并非必然地、特定地與可移動設(shè)備相關(guān)聯(lián),而是從總體上與硬件設(shè)備相關(guān)聯(lián)。這里的基本思想也就是,如果你限制了用戶安裝設(shè)備,也就阻止了任何你沒有專門啟用的設(shè)備。
關(guān)于可移動設(shè)備問題,你可以對兩項策略設(shè)置給予特別注意:第一項設(shè)置是“允許管理員覆蓋設(shè)備安裝限制( Allow Administrators to Override Device Installation Restrictions),如果你實施了任何的設(shè)備限制的設(shè)置,那么你有必要啟用這項設(shè)置。否則,即使管理員也不能在工作站上安裝任何的新硬件。
第二項重要的設(shè)置是“防止安裝可移動設(shè)備( Prevent Installation of Removable Devices)。如果你啟用了這項設(shè)置,那么用戶就不能安裝可移動設(shè)備。如果一個用戶已經(jīng)在系統(tǒng)中使用了一個可移動設(shè)備,就會存在一個此可移動設(shè)備的驅(qū)動程序,因此用戶就會繼續(xù)使用它。不過,該用戶將絕不可能更新設(shè)備的驅(qū)動程序。
其實,我們通過Windows Vista可以設(shè)置的安全措施還有很多,這有待你去進一步去探索、發(fā)現(xiàn)。
要訪問必須的組策略設(shè)置,你必須打開“組策略對象編輯器( Group Policy Object Editor)。因此,請單擊“開始/“所有程序/“附件( 英文操作系統(tǒng)是Start / All Programs/ AccessorIEs,筆者用得是英文系統(tǒng))。下一步,輸入MMC命令。這會使Windows打開一個空的微軟管理控制臺(Microsoft Management Console)。在控制臺打開后,從“文件(File)菜單中選擇“添加/刪除管理單元( Add / Remove Snap-In)。從管理單元列表中選擇組策略對象(Group Policy Object)選項,然后單擊“添加(Add)按鈕。默認情況下,這個管理單元會連接到本地計算機策略(Local Computer policy),因此直接單擊“確定(ok),然后單擊“完成(Finish)即可。
本地計算機策略會被裝載到控制臺中。現(xiàn)在,導航到“計算機配置 “管理模板 “系統(tǒng) “設(shè)備安裝 “設(shè)備安裝限制(英文系統(tǒng)是找到 Computer Configuration Administrative Templates System Device Installation Device Installation Restrictions)。在如此操作時,細節(jié)窗格會顯示幾個與安裝硬件設(shè)備相關(guān)的幾個限制,如下圖所示:
有許多與限制設(shè)備安裝相關(guān)的設(shè)置。這些設(shè)置并非必然地、特定地與可移動設(shè)備相關(guān)聯(lián),而是從總體上與硬件設(shè)備相關(guān)聯(lián)。這里的基本思想也就是,如果你限制了用戶安裝設(shè)備,也就阻止了任何你沒有專門啟用的設(shè)備。
關(guān)于可移動設(shè)備問題,你可以對兩項策略設(shè)置給予特別注意:第一項設(shè)置是“允許管理員覆蓋設(shè)備安裝限制( Allow Administrators to Override Device Installation Restrictions),如果你實施了任何的設(shè)備限制的設(shè)置,那么你有必要啟用這項設(shè)置。否則,即使管理員也不能在工作站上安裝任何的新硬件。
第二項重要的設(shè)置是“防止安裝可移動設(shè)備( Prevent Installation of Removable Devices)。如果你啟用了這項設(shè)置,那么用戶就不能安裝可移動設(shè)備。如果一個用戶已經(jīng)在系統(tǒng)中使用了一個可移動設(shè)備,就會存在一個此可移動設(shè)備的驅(qū)動程序,因此用戶就會繼續(xù)使用它。不過,該用戶將絕不可能更新設(shè)備的驅(qū)動程序。
其實,我們通過Windows Vista可以設(shè)置的安全措施還有很多,這有待你去進一步去探索、發(fā)現(xiàn)。
如果你是Windows 2000或XP用戶,那么你仔細看一下,在這里教大家一招金蟬脫竅而且只需要這一招就能克死所有病毒!如果你是新裝的系統(tǒng)(或者是你能確認你的系統(tǒng)當前是無毒的),那就再好不過了,現(xiàn)在就立即就打開:“開始→程序→管理工具→計算機管理→本地用戶和組→用戶 !
首先就是把超級管理員密碼更改成十位數(shù)以上,然后再建立一個用戶,把它的密碼也設(shè)置成十位以上并且提升為超級管理員。這樣做的目的是為了雙保險:如果你忘記了其中一個密碼,還有使用另一個超管密碼登陸來挽回的余地,免得你被拒絕于系統(tǒng)之外;再者就是網(wǎng)上的黑客無法再通過猜測你系統(tǒng)超管密碼的方式遠程獲得你系統(tǒng)的控制權(quán)而進行破壞。
接著再添加兩個用戶,比如用戶名分別為:user1、user2;并且指定他們屬于user組,好了,準備工作到這里就全部完成了,以后你除了必要的維護計算機外就不要使用超級管理員和user2登陸了。只使用user1登陸就可以了。
登陸之后上網(wǎng)的時候找到IE,并為它建立一個快捷方式到桌面上,右鍵單擊快捷方式,選擇“以其他用戶方式運行點確定!要上網(wǎng)的時候就點這個快捷方式,它會跟你要用戶名和密碼這時候你就輸入user2的用戶名和密碼!好了,現(xiàn)在你可以使用這個打開的窗口去上網(wǎng)了,可以隨你便去放心的瀏覽任何惡毒的、惡意的、網(wǎng)站跟網(wǎng)頁,而不必再擔心中招了!
因為你當前的系統(tǒng)活動的用戶時user1,而user2是不活動的用戶,我們使用這個不活動的用戶去上網(wǎng)時,無論多聰明的網(wǎng)站,通過ie得到的信息都將讓它都將以為這個user2就是你當前活動的用戶,如果它要在你瀏覽時用惡意代碼對你的系統(tǒng)搞搞破壞的話根本就時行不通的,即使能行通,那么被修改掉的僅僅時use2的一個配置文件罷了,而很多惡意代碼和病毒試圖通過user2進行的破壞活動卻都將失敗,因為 user2根本就沒運行,怎么能取得系統(tǒng)的操作權(quán)呢??
既然取不得,也就對你無可奈何了。而他們更不可能跨越用戶來操作,因為微軟得配置本來就是各各用戶之間是獨立的,就象別人不可能跑到我家占據(jù)我睡覺用的床一樣,它們無法占據(jù)user1的位置!
所以你只要能保證總是以這個user2用戶做代理來上網(wǎng)(但卻不要使用user2來登陸系統(tǒng),因為如果那樣的話,如果user2以前中過什么網(wǎng)頁病毒,那么在user2登陸的同時,他們極有可能被激活!),那么無論你中多少網(wǎng)頁病毒,全部都將是無法運行或被你當前的user1用戶加載的,所以你當前的系統(tǒng)將永遠無毒!
不過總有疏忽的時候,一個不小心中毒了怎么辦?
不用擔心,現(xiàn)在我們就可以來盡情的表演脫殼的技術(shù)了!
開始金蟬脫殼:
重新啟動計算機,使用超級管理員登陸進入系統(tǒng)后什么程序都不要運行
你會驚奇的發(fā)現(xiàn)在的系統(tǒng)竟然表現(xiàn)的完全無毒!,那就再好不過了,現(xiàn)在就立即就打開:“開始→程序→管理工具→計算機管理→本地用戶和組→用戶 吧!
把里面的user1和user2兩個用戶權(quán)刪掉吧,你只需要這么輕輕的一刪就可以了,那么以前隨著這兩個用戶而存在的病毒也就跟隨著這兩個用戶的消失而一起去長眠了(好象是陪葬,呵呵!)。這么做過之后我保證你的win 2000就象新裝的一個樣,任何系統(tǒng)文件和系統(tǒng)進程里都完全是沒有病毒的!
好!現(xiàn)在再重復開始的步驟從新建立user1和user2兩個用戶,讓他們復活吧。他們復活是復活了,但是曾跟隨了他們的病毒卻是沒這機會了,因為 win 2000重新建立用戶的時候會重新分配給他們?nèi)碌呐渲茫@個配置是全新的也是不可能包含病毒的!
建立完成之后立即注銷超級管理員,轉(zhuǎn)如使用 user1登陸,繼續(xù)你象做的事吧,你會發(fā)現(xiàn)你的系統(tǒng)如同全新了!以上方法可以周而復始的用,再加上經(jīng)常的去打微軟的補丁,幾乎可以永遠保證你的操作系統(tǒng)是無毒狀態(tài)!只要你能遵循以下幾條規(guī)轍:
一、任何時間都不以超級管理員的身份登陸系統(tǒng)除非你要進行系統(tǒng)級更新和維護、需要使用超級管理員身份的時候或是你需要添加和刪除用戶的時候。
二、必須使用超級管理員登陸的時候,保證不使用和運行任何除了操作系統(tǒng)自帶的工具和程序之外的任何東西,而且所有維護都只通過開始菜單里的選項來完成,甚至連使用資源管理器去瀏覽硬盤都不!只做做用戶和系統(tǒng)的管理和維護就立即退出,而決不多做逗留!(這也是微軟的要求,微軟最了解自己的東東,他的建議是正確的。瀏覽硬盤的事,在其他用戶身份下你有大把的機會,在超級管理員的身份下還是不要了!!這應該事能完全作到的)。
上面的都做到了,那么排除了硬件和誤操作原因、、病毒跟系統(tǒng)癱瘓都將與你無緣了……
在實際中,我發(fā)現(xiàn)經(jīng)常使用的user1(普通用戶),很多軟件無法使用,所以我建議改為超級用戶,那樣很多的軟件都可以用的。
一般來說安裝上殺毒軟件是比較好的,因為據(jù)說該方法只可以防止IE漏洞的病毒。
本人計算機的設(shè)置:超級管理員一個(已經(jīng)把默認的用戶名改了),超級用戶一個,普通用戶一個(并為他們設(shè)置上密碼),
它們均設(shè)置了密碼,其他擁護已經(jīng)停止使用。由于用默認桌面上的那個IE創(chuàng)的快捷方式“以其他用戶方式運行無法選擇(打上勾),我發(fā)現(xiàn)任務欄上的啟動那里的和開始→程序上的IE快捷方式可以,只要有可以打上勾的,我們就可以完成下一步的工作了。
要訪問必須的組策略設(shè)置,你必須打開“組策略對象編輯器( Group Policy Object Editor)。因此,請單擊“開始/“所有程序/“附件( 英文操作系統(tǒng)是Start / All Programs/ AccessorIEs,筆者用得是英文系統(tǒng))。下一步,輸入MMC命令。這會使Windows打開一個空的微軟管理控制臺(Microsoft Management Console)。在控制臺打開后,從“文件(File)菜單中選擇“添加/刪除管理單元( Add / Remove Snap-In)。從管理單元列表中選擇組策略對象(Group Policy Object)選項,然后單擊“添加(Add)按鈕。默認情況下,這個管理單元會連接到本地計算機策略(Local Computer policy),因此直接單擊“確定(ok),然后單擊“完成(Finish)即可。
本地計算機策略會被裝載到控制臺中。現(xiàn)在,導航到“計算機配置 “管理模板 “系統(tǒng) “設(shè)備安裝 “設(shè)備安裝限制(英文系統(tǒng)是找到 Computer Configuration Administrative Templates System Device Installation Device Installation Restrictions)。在如此操作時,細節(jié)窗格會顯示幾個與安裝硬件設(shè)備相關(guān)的幾個限制,如下圖所示:
有許多與限制設(shè)備安裝相關(guān)的設(shè)置。這些設(shè)置并非必然地、特定地與可移動設(shè)備相關(guān)聯(lián),而是從總體上與硬件設(shè)備相關(guān)聯(lián)。這里的基本思想也就是,如果你限制了用戶安裝設(shè)備,也就阻止了任何你沒有專門啟用的設(shè)備。
關(guān)于可移動設(shè)備問題,你可以對兩項策略設(shè)置給予特別注意:第一項設(shè)置是“允許管理員覆蓋設(shè)備安裝限制( Allow Administrators to Override Device Installation Restrictions),如果你實施了任何的設(shè)備限制的設(shè)置,那么你有必要啟用這項設(shè)置。否則,即使管理員也不能在工作站上安裝任何的新硬件。
第二項重要的設(shè)置是“防止安裝可移動設(shè)備( Prevent Installation of Removable Devices)。如果你啟用了這項設(shè)置,那么用戶就不能安裝可移動設(shè)備。如果一個用戶已經(jīng)在系統(tǒng)中使用了一個可移動設(shè)備,就會存在一個此可移動設(shè)備的驅(qū)動程序,因此用戶就會繼續(xù)使用它。不過,該用戶將絕不可能更新設(shè)備的驅(qū)動程序。
其實,我們通過Windows Vista可以設(shè)置的安全措施還有很多,這有待你去進一步去探索、發(fā)現(xiàn)。
要訪問必須的組策略設(shè)置,你必須打開“組策略對象編輯器( Group Policy Object Editor)。因此,請單擊“開始/“所有程序/“附件( 英文操作系統(tǒng)是Start / All Programs/ AccessorIEs,筆者用得是英文系統(tǒng))。下一步,輸入MMC命令。這會使Windows打開一個空的微軟管理控制臺(Microsoft Management Console)。在控制臺打開后,從“文件(File)菜單中選擇“添加/刪除管理單元( Add / Remove Snap-In)。從管理單元列表中選擇組策略對象(Group Policy Object)選項,然后單擊“添加(Add)按鈕。默認情況下,這個管理單元會連接到本地計算機策略(Local Computer policy),因此直接單擊“確定(ok),然后單擊“完成(Finish)即可。
本地計算機策略會被裝載到控制臺中。現(xiàn)在,導航到“計算機配置 “管理模板 “系統(tǒng) “設(shè)備安裝 “設(shè)備安裝限制(英文系統(tǒng)是找到 Computer Configuration Administrative Templates System Device Installation Device Installation Restrictions)。在如此操作時,細節(jié)窗格會顯示幾個與安裝硬件設(shè)備相關(guān)的幾個限制,如下圖所示:
有許多與限制設(shè)備安裝相關(guān)的設(shè)置。這些設(shè)置并非必然地、特定地與可移動設(shè)備相關(guān)聯(lián),而是從總體上與硬件設(shè)備相關(guān)聯(lián)。這里的基本思想也就是,如果你限制了用戶安裝設(shè)備,也就阻止了任何你沒有專門啟用的設(shè)備。
關(guān)于可移動設(shè)備問題,你可以對兩項策略設(shè)置給予特別注意:第一項設(shè)置是“允許管理員覆蓋設(shè)備安裝限制( Allow Administrators to Override Device Installation Restrictions),如果你實施了任何的設(shè)備限制的設(shè)置,那么你有必要啟用這項設(shè)置。否則,即使管理員也不能在工作站上安裝任何的新硬件。
第二項重要的設(shè)置是“防止安裝可移動設(shè)備( Prevent Installation of Removable Devices)。如果你啟用了這項設(shè)置,那么用戶就不能安裝可移動設(shè)備。如果一個用戶已經(jīng)在系統(tǒng)中使用了一個可移動設(shè)備,就會存在一個此可移動設(shè)備的驅(qū)動程序,因此用戶就會繼續(xù)使用它。不過,該用戶將絕不可能更新設(shè)備的驅(qū)動程序。
其實,我們通過Windows Vista可以設(shè)置的安全措施還有很多,這有待你去進一步去探索、發(fā)現(xiàn)。
網(wǎng)公網(wǎng)安備