Win Vista組策略保障USB設(shè)備安全
組策略最容易引起誤解的是它的名字──組策略并不是將策略運(yùn)用到組中去的方法!與之相反的是,組策略通過(guò)將組策略鏈接到活動(dòng)目錄容器(通常就是組織單元,但也包括域和站點(diǎn))對(duì)象而施行于個(gè)體或單獨(dú)用戶賬戶以及計(jì)算機(jī)賬戶。這里的組策略對(duì)象,就是策略設(shè)置的集合。
雖然通過(guò)組策略來(lái)限制可移動(dòng)設(shè)備并不是一個(gè)十分出色的網(wǎng)絡(luò)安全解決方案,因?yàn)橐粋€(gè)已經(jīng)安裝了存儲(chǔ)設(shè)備(如安裝了一個(gè)USB驅(qū)動(dòng)設(shè)備)的用戶,可以繼續(xù)使用它。不過(guò)我們還是可以進(jìn)行一些細(xì)微的設(shè)置,這些設(shè)置可以允許你通過(guò)設(shè)備的ID來(lái)限制特定的可移動(dòng)存儲(chǔ)設(shè)備。
很難說(shuō)哪一種安全威脅對(duì)你的網(wǎng)絡(luò)數(shù)據(jù)影響最大。由于幾個(gè)原因,我趨向于認(rèn)為可移動(dòng)存儲(chǔ)設(shè)備,特別是USB驅(qū)動(dòng)設(shè)備,應(yīng)該位于列表的頂部。原因1:USB儲(chǔ)存設(shè)備非常容易被忽略。第二個(gè)原因:有一個(gè)簡(jiǎn)單的事實(shí)是,你可以將很大的數(shù)據(jù)(如多達(dá)4GB的數(shù)據(jù))存儲(chǔ)到一個(gè)USB驅(qū)動(dòng)器上,這也就意味著用戶可以將同樣大的應(yīng)用程序帶到企業(yè)中。它還意味著用戶可以將多達(dá)4GB的數(shù)據(jù)從企業(yè)帶走。用戶可以訪問(wèn)的任何數(shù)據(jù)都可以輕松地復(fù)制到這些驅(qū)動(dòng)器上。而且USB設(shè)備本身體積很小,這使得用戶可以方便地將它帶入、帶出企業(yè)。
筆者曾與一些網(wǎng)管員談到USB儲(chǔ)存設(shè)備的安全風(fēng)險(xiǎn)問(wèn)題。不過(guò),這些網(wǎng)管員最通用的做法是禁用工作站上的USB端口。有一些較新的機(jī)器允許你通過(guò)BIOS禁用USB端口,不過(guò)大多數(shù)老機(jī)器并沒(méi)有提供這個(gè)能力。這種情況下,還有一種方案最常用,那就是用膠布將USB端口封住以此來(lái)阻止其使用。
雖然這些方法都可以起到一定的作用,不過(guò),都有一些缺點(diǎn)。對(duì)于操作者來(lái)說(shuō),這些方法都是“勞動(dòng)密集型的吧,也就是說(shuō)太難于實(shí)施。另外一個(gè)問(wèn)題是禁用USB端口并沒(méi)有徹底地解決用戶訪問(wèn)可移動(dòng)媒體的問(wèn)題。用戶可以輕松地使用FireWire硬盤驅(qū)動(dòng)器、可移動(dòng)的DVD驅(qū)動(dòng)器作為另外一種選擇。
在所有的這些方法中,最大的弊端就在于永久性地禁用USB端口會(huì)使用戶沒(méi)法使用USB設(shè)備并且使得這些端口不能被支持的用戶訪問(wèn)。此外,偶爾也會(huì)有一些合法的理由使得USB端口應(yīng)該可用。例如,有些工作需要用戶擁有一個(gè)連接到其PC上的USB掃描儀。
幸運(yùn)的是,微軟的Windows Vista(還有其著名的Windows Server 2008 (Longhorn))一個(gè)重要目標(biāo)就是就是給管理員控制工作站使用硬件的方法提供了更好的控制。現(xiàn)在我們可以借助于組策略來(lái)控制對(duì)可移動(dòng)稿設(shè)備的訪問(wèn)。
限制對(duì)USB存儲(chǔ)設(shè)備訪問(wèn)的組策略設(shè)置目前只是在Windows Vista中可用。目前,這也就意味著你只能在本地計(jì)算機(jī)的層次上設(shè)置組策略。在Windows Server 2008發(fā)布之后,你就可以在域中、站點(diǎn)中或OU層次上設(shè)置這些組策略(當(dāng)然,前提是你有一個(gè)Windows Server 2008的域控制器)。
要訪問(wèn)必須的組策略設(shè)置,你必須打開(kāi)“組策略對(duì)象編輯器( Group Policy Object Editor)。因此,請(qǐng)單擊“開(kāi)始/“所有程序/“附件( 英文操作系統(tǒng)是Start / All Programs/ AccessorIEs,筆者用得是英文系統(tǒng))。下一步,輸入MMC命令。這會(huì)使Windows打開(kāi)一個(gè)空的微軟管理控制臺(tái)(Microsoft Management Console)。在控制臺(tái)打開(kāi)后,從“文件(File)菜單中選擇“添加/刪除管理單元( Add / Remove Snap-In)。從管理單元列表中選擇組策略對(duì)象(Group Policy Object)選項(xiàng),然后單擊“添加(Add)按鈕。默認(rèn)情況下,這個(gè)管理單元會(huì)連接到本地計(jì)算機(jī)策略(Local Computer policy),因此直接單擊“確定(ok),然后單擊“完成(Finish)即可。
本地計(jì)算機(jī)策略會(huì)被裝載到控制臺(tái)中。現(xiàn)在,導(dǎo)航到“計(jì)算機(jī)配置 “管理模板 “系統(tǒng) “設(shè)備安裝 “設(shè)備安裝限制(英文系統(tǒng)是找到 Computer Configuration Administrative Templates System Device Installation Device Installation Restrictions)。在如此操作時(shí),細(xì)節(jié)窗格會(huì)顯示幾個(gè)與安裝硬件設(shè)備相關(guān)的幾個(gè)限制,如下圖所示:
有許多與限制設(shè)備安裝相關(guān)的設(shè)置。這些設(shè)置并非必然地、特定地與可移動(dòng)設(shè)備相關(guān)聯(lián),而是從總體上與硬件設(shè)備相關(guān)聯(lián)。這里的基本思想也就是,如果你限制了用戶安裝設(shè)備,也就阻止了任何你沒(méi)有專門啟用的設(shè)備。
關(guān)于可移動(dòng)設(shè)備問(wèn)題,你可以對(duì)兩項(xiàng)策略設(shè)置給予特別注意:第一項(xiàng)設(shè)置是“允許管理員覆蓋設(shè)備安裝限制( Allow Administrators to Override Device Installation Restrictions),如果你實(shí)施了任何的設(shè)備限制的設(shè)置,那么你有必要啟用這項(xiàng)設(shè)置。否則,即使管理員也不能在工作站上安裝任何的新硬件。
第二項(xiàng)重要的設(shè)置是“防止安裝可移動(dòng)設(shè)備( Prevent Installation of Removable Devices)。如果你啟用了這項(xiàng)設(shè)置,那么用戶就不能安裝可移動(dòng)設(shè)備。如果一個(gè)用戶已經(jīng)在系統(tǒng)中使用了一個(gè)可移動(dòng)設(shè)備,就會(huì)存在一個(gè)此可移動(dòng)設(shè)備的驅(qū)動(dòng)程序,因此用戶就會(huì)繼續(xù)使用它。不過(guò),該用戶將絕不可能更新設(shè)備的驅(qū)動(dòng)程序。
其實(shí),我們通過(guò)Windows Vista可以設(shè)置的安全措施還有很多,這有待你去進(jìn)一步去探索、發(fā)現(xiàn)。
要訪問(wèn)必須的組策略設(shè)置,你必須打開(kāi)“組策略對(duì)象編輯器( Group Policy Object Editor)。因此,請(qǐng)單擊“開(kāi)始/“所有程序/“附件( 英文操作系統(tǒng)是Start / All Programs/ AccessorIEs,筆者用得是英文系統(tǒng))。下一步,輸入MMC命令。這會(huì)使Windows打開(kāi)一個(gè)空的微軟管理控制臺(tái)(Microsoft Management Console)。在控制臺(tái)打開(kāi)后,從“文件(File)菜單中選擇“添加/刪除管理單元( Add / Remove Snap-In)。從管理單元列表中選擇組策略對(duì)象(Group Policy Object)選項(xiàng),然后單擊“添加(Add)按鈕。默認(rèn)情況下,這個(gè)管理單元會(huì)連接到本地計(jì)算機(jī)策略(Local Computer policy),因此直接單擊“確定(ok),然后單擊“完成(Finish)即可。
本地計(jì)算機(jī)策略會(huì)被裝載到控制臺(tái)中。現(xiàn)在,導(dǎo)航到“計(jì)算機(jī)配置 “管理模板 “系統(tǒng) “設(shè)備安裝 “設(shè)備安裝限制(英文系統(tǒng)是找到 Computer Configuration Administrative Templates System Device Installation Device Installation Restrictions)。在如此操作時(shí),細(xì)節(jié)窗格會(huì)顯示幾個(gè)與安裝硬件設(shè)備相關(guān)的幾個(gè)限制,如下圖所示:
有許多與限制設(shè)備安裝相關(guān)的設(shè)置。這些設(shè)置并非必然地、特定地與可移動(dòng)設(shè)備相關(guān)聯(lián),而是從總體上與硬件設(shè)備相關(guān)聯(lián)。這里的基本思想也就是,如果你限制了用戶安裝設(shè)備,也就阻止了任何你沒(méi)有專門啟用的設(shè)備。
關(guān)于可移動(dòng)設(shè)備問(wèn)題,你可以對(duì)兩項(xiàng)策略設(shè)置給予特別注意:第一項(xiàng)設(shè)置是“允許管理員覆蓋設(shè)備安裝限制( Allow Administrators to Override Device Installation Restrictions),如果你實(shí)施了任何的設(shè)備限制的設(shè)置,那么你有必要啟用這項(xiàng)設(shè)置。否則,即使管理員也不能在工作站上安裝任何的新硬件。
第二項(xiàng)重要的設(shè)置是“防止安裝可移動(dòng)設(shè)備( Prevent Installation of Removable Devices)。如果你啟用了這項(xiàng)設(shè)置,那么用戶就不能安裝可移動(dòng)設(shè)備。如果一個(gè)用戶已經(jīng)在系統(tǒng)中使用了一個(gè)可移動(dòng)設(shè)備,就會(huì)存在一個(gè)此可移動(dòng)設(shè)備的驅(qū)動(dòng)程序,因此用戶就會(huì)繼續(xù)使用它。不過(guò),該用戶將絕不可能更新設(shè)備的驅(qū)動(dòng)程序。
其實(shí),我們通過(guò)Windows Vista可以設(shè)置的安全措施還有很多,這有待你去進(jìn)一步去探索、發(fā)現(xiàn)。
如果你是Windows 2000或XP用戶,那么你仔細(xì)看一下,在這里教大家一招金蟬脫竅而且只需要這一招就能克死所有病毒!如果你是新裝的系統(tǒng)(或者是你能確認(rèn)你的系統(tǒng)當(dāng)前是無(wú)毒的),那就再好不過(guò)了,現(xiàn)在就立即就打開(kāi):“開(kāi)始→程序→管理工具→計(jì)算機(jī)管理→本地用戶和組→用戶 !
首先就是把超級(jí)管理員密碼更改成十位數(shù)以上,然后再建立一個(gè)用戶,把它的密碼也設(shè)置成十位以上并且提升為超級(jí)管理員。這樣做的目的是為了雙保險(xiǎn):如果你忘記了其中一個(gè)密碼,還有使用另一個(gè)超管密碼登陸來(lái)挽回的余地,免得你被拒絕于系統(tǒng)之外;再者就是網(wǎng)上的黑客無(wú)法再通過(guò)猜測(cè)你系統(tǒng)超管密碼的方式遠(yuǎn)程獲得你系統(tǒng)的控制權(quán)而進(jìn)行破壞。
接著再添加兩個(gè)用戶,比如用戶名分別為:user1、user2;并且指定他們屬于user組,好了,準(zhǔn)備工作到這里就全部完成了,以后你除了必要的維護(hù)計(jì)算機(jī)外就不要使用超級(jí)管理員和user2登陸了。只使用user1登陸就可以了。
登陸之后上網(wǎng)的時(shí)候找到IE,并為它建立一個(gè)快捷方式到桌面上,右鍵單擊快捷方式,選擇“以其他用戶方式運(yùn)行點(diǎn)確定!要上網(wǎng)的時(shí)候就點(diǎn)這個(gè)快捷方式,它會(huì)跟你要用戶名和密碼這時(shí)候你就輸入user2的用戶名和密碼!好了,現(xiàn)在你可以使用這個(gè)打開(kāi)的窗口去上網(wǎng)了,可以隨你便去放心的瀏覽任何惡毒的、惡意的、網(wǎng)站跟網(wǎng)頁(yè),而不必再擔(dān)心中招了!
因?yàn)槟惝?dāng)前的系統(tǒng)活動(dòng)的用戶時(shí)user1,而user2是不活動(dòng)的用戶,我們使用這個(gè)不活動(dòng)的用戶去上網(wǎng)時(shí),無(wú)論多聰明的網(wǎng)站,通過(guò)ie得到的信息都將讓它都將以為這個(gè)user2就是你當(dāng)前活動(dòng)的用戶,如果它要在你瀏覽時(shí)用惡意代碼對(duì)你的系統(tǒng)搞搞破壞的話根本就時(shí)行不通的,即使能行通,那么被修改掉的僅僅時(shí)use2的一個(gè)配置文件罷了,而很多惡意代碼和病毒試圖通過(guò)user2進(jìn)行的破壞活動(dòng)卻都將失敗,因?yàn)?user2根本就沒(méi)運(yùn)行,怎么能取得系統(tǒng)的操作權(quán)呢??
既然取不得,也就對(duì)你無(wú)可奈何了。而他們更不可能跨越用戶來(lái)操作,因?yàn)槲④浀门渲帽緛?lái)就是各各用戶之間是獨(dú)立的,就象別人不可能跑到我家占據(jù)我睡覺(jué)用的床一樣,它們無(wú)法占據(jù)user1的位置!
所以你只要能保證總是以這個(gè)user2用戶做代理來(lái)上網(wǎng)(但卻不要使用user2來(lái)登陸系統(tǒng),因?yàn)槿绻菢拥脑挘绻鹵ser2以前中過(guò)什么網(wǎng)頁(yè)病毒,那么在user2登陸的同時(shí),他們極有可能被激活!),那么無(wú)論你中多少網(wǎng)頁(yè)病毒,全部都將是無(wú)法運(yùn)行或被你當(dāng)前的user1用戶加載的,所以你當(dāng)前的系統(tǒng)將永遠(yuǎn)無(wú)毒!
不過(guò)總有疏忽的時(shí)候,一個(gè)不小心中毒了怎么辦?
不用擔(dān)心,現(xiàn)在我們就可以來(lái)盡情的表演脫殼的技術(shù)了!
開(kāi)始金蟬脫殼:
重新啟動(dòng)計(jì)算機(jī),使用超級(jí)管理員登陸進(jìn)入系統(tǒng)后什么程序都不要運(yùn)行
你會(huì)驚奇的發(fā)現(xiàn)在的系統(tǒng)竟然表現(xiàn)的完全無(wú)毒!,那就再好不過(guò)了,現(xiàn)在就立即就打開(kāi):“開(kāi)始→程序→管理工具→計(jì)算機(jī)管理→本地用戶和組→用戶 吧!
把里面的user1和user2兩個(gè)用戶權(quán)刪掉吧,你只需要這么輕輕的一刪就可以了,那么以前隨著這兩個(gè)用戶而存在的病毒也就跟隨著這兩個(gè)用戶的消失而一起去長(zhǎng)眠了(好象是陪葬,呵呵!)。這么做過(guò)之后我保證你的win 2000就象新裝的一個(gè)樣,任何系統(tǒng)文件和系統(tǒng)進(jìn)程里都完全是沒(méi)有病毒的!
好!現(xiàn)在再重復(fù)開(kāi)始的步驟從新建立user1和user2兩個(gè)用戶,讓他們復(fù)活吧。他們復(fù)活是復(fù)活了,但是曾跟隨了他們的病毒卻是沒(méi)這機(jī)會(huì)了,因?yàn)?win 2000重新建立用戶的時(shí)候會(huì)重新分配給他們?nèi)碌呐渲茫@個(gè)配置是全新的也是不可能包含病毒的!
建立完成之后立即注銷超級(jí)管理員,轉(zhuǎn)如使用 user1登陸,繼續(xù)你象做的事吧,你會(huì)發(fā)現(xiàn)你的系統(tǒng)如同全新了!以上方法可以周而復(fù)始的用,再加上經(jīng)常的去打微軟的補(bǔ)丁,幾乎可以永遠(yuǎn)保證你的操作系統(tǒng)是無(wú)毒狀態(tài)!只要你能遵循以下幾條規(guī)轍:
一、任何時(shí)間都不以超級(jí)管理員的身份登陸系統(tǒng)除非你要進(jìn)行系統(tǒng)級(jí)更新和維護(hù)、需要使用超級(jí)管理員身份的時(shí)候或是你需要添加和刪除用戶的時(shí)候。
二、必須使用超級(jí)管理員登陸的時(shí)候,保證不使用和運(yùn)行任何除了操作系統(tǒng)自帶的工具和程序之外的任何東西,而且所有維護(hù)都只通過(guò)開(kāi)始菜單里的選項(xiàng)來(lái)完成,甚至連使用資源管理器去瀏覽硬盤都不!只做做用戶和系統(tǒng)的管理和維護(hù)就立即退出,而決不多做逗留!(這也是微軟的要求,微軟最了解自己的東東,他的建議是正確的。瀏覽硬盤的事,在其他用戶身份下你有大把的機(jī)會(huì),在超級(jí)管理員的身份下還是不要了!!這應(yīng)該事能完全作到的)。
上面的都做到了,那么排除了硬件和誤操作原因、、病毒跟系統(tǒng)癱瘓都將與你無(wú)緣了……
在實(shí)際中,我發(fā)現(xiàn)經(jīng)常使用的user1(普通用戶),很多軟件無(wú)法使用,所以我建議改為超級(jí)用戶,那樣很多的軟件都可以用的。
一般來(lái)說(shuō)安裝上殺毒軟件是比較好的,因?yàn)閾?jù)說(shuō)該方法只可以防止IE漏洞的病毒。
本人計(jì)算機(jī)的設(shè)置:超級(jí)管理員一個(gè)(已經(jīng)把默認(rèn)的用戶名改了),超級(jí)用戶一個(gè),普通用戶一個(gè)(并為他們?cè)O(shè)置上密碼),
它們均設(shè)置了密碼,其他擁護(hù)已經(jīng)停止使用。由于用默認(rèn)桌面上的那個(gè)IE創(chuàng)的快捷方式“以其他用戶方式運(yùn)行無(wú)法選擇(打上勾),我發(fā)現(xiàn)任務(wù)欄上的啟動(dòng)那里的和開(kāi)始→程序上的IE快捷方式可以,只要有可以打上勾的,我們就可以完成下一步的工作了。
要訪問(wèn)必須的組策略設(shè)置,你必須打開(kāi)“組策略對(duì)象編輯器( Group Policy Object Editor)。因此,請(qǐng)單擊“開(kāi)始/“所有程序/“附件( 英文操作系統(tǒng)是Start / All Programs/ AccessorIEs,筆者用得是英文系統(tǒng))。下一步,輸入MMC命令。這會(huì)使Windows打開(kāi)一個(gè)空的微軟管理控制臺(tái)(Microsoft Management Console)。在控制臺(tái)打開(kāi)后,從“文件(File)菜單中選擇“添加/刪除管理單元( Add / Remove Snap-In)。從管理單元列表中選擇組策略對(duì)象(Group Policy Object)選項(xiàng),然后單擊“添加(Add)按鈕。默認(rèn)情況下,這個(gè)管理單元會(huì)連接到本地計(jì)算機(jī)策略(Local Computer policy),因此直接單擊“確定(ok),然后單擊“完成(Finish)即可。
本地計(jì)算機(jī)策略會(huì)被裝載到控制臺(tái)中。現(xiàn)在,導(dǎo)航到“計(jì)算機(jī)配置 “管理模板 “系統(tǒng) “設(shè)備安裝 “設(shè)備安裝限制(英文系統(tǒng)是找到 Computer Configuration Administrative Templates System Device Installation Device Installation Restrictions)。在如此操作時(shí),細(xì)節(jié)窗格會(huì)顯示幾個(gè)與安裝硬件設(shè)備相關(guān)的幾個(gè)限制,如下圖所示:
有許多與限制設(shè)備安裝相關(guān)的設(shè)置。這些設(shè)置并非必然地、特定地與可移動(dòng)設(shè)備相關(guān)聯(lián),而是從總體上與硬件設(shè)備相關(guān)聯(lián)。這里的基本思想也就是,如果你限制了用戶安裝設(shè)備,也就阻止了任何你沒(méi)有專門啟用的設(shè)備。
關(guān)于可移動(dòng)設(shè)備問(wèn)題,你可以對(duì)兩項(xiàng)策略設(shè)置給予特別注意:第一項(xiàng)設(shè)置是“允許管理員覆蓋設(shè)備安裝限制( Allow Administrators to Override Device Installation Restrictions),如果你實(shí)施了任何的設(shè)備限制的設(shè)置,那么你有必要啟用這項(xiàng)設(shè)置。否則,即使管理員也不能在工作站上安裝任何的新硬件。
第二項(xiàng)重要的設(shè)置是“防止安裝可移動(dòng)設(shè)備( Prevent Installation of Removable Devices)。如果你啟用了這項(xiàng)設(shè)置,那么用戶就不能安裝可移動(dòng)設(shè)備。如果一個(gè)用戶已經(jīng)在系統(tǒng)中使用了一個(gè)可移動(dòng)設(shè)備,就會(huì)存在一個(gè)此可移動(dòng)設(shè)備的驅(qū)動(dòng)程序,因此用戶就會(huì)繼續(xù)使用它。不過(guò),該用戶將絕不可能更新設(shè)備的驅(qū)動(dòng)程序。
其實(shí),我們通過(guò)Windows Vista可以設(shè)置的安全措施還有很多,這有待你去進(jìn)一步去探索、發(fā)現(xiàn)。
要訪問(wèn)必須的組策略設(shè)置,你必須打開(kāi)“組策略對(duì)象編輯器( Group Policy Object Editor)。因此,請(qǐng)單擊“開(kāi)始/“所有程序/“附件( 英文操作系統(tǒng)是Start / All Programs/ AccessorIEs,筆者用得是英文系統(tǒng))。下一步,輸入MMC命令。這會(huì)使Windows打開(kāi)一個(gè)空的微軟管理控制臺(tái)(Microsoft Management Console)。在控制臺(tái)打開(kāi)后,從“文件(File)菜單中選擇“添加/刪除管理單元( Add / Remove Snap-In)。從管理單元列表中選擇組策略對(duì)象(Group Policy Object)選項(xiàng),然后單擊“添加(Add)按鈕。默認(rèn)情況下,這個(gè)管理單元會(huì)連接到本地計(jì)算機(jī)策略(Local Computer policy),因此直接單擊“確定(ok),然后單擊“完成(Finish)即可。
本地計(jì)算機(jī)策略會(huì)被裝載到控制臺(tái)中。現(xiàn)在,導(dǎo)航到“計(jì)算機(jī)配置 “管理模板 “系統(tǒng) “設(shè)備安裝 “設(shè)備安裝限制(英文系統(tǒng)是找到 Computer Configuration Administrative Templates System Device Installation Device Installation Restrictions)。在如此操作時(shí),細(xì)節(jié)窗格會(huì)顯示幾個(gè)與安裝硬件設(shè)備相關(guān)的幾個(gè)限制,如下圖所示:
有許多與限制設(shè)備安裝相關(guān)的設(shè)置。這些設(shè)置并非必然地、特定地與可移動(dòng)設(shè)備相關(guān)聯(lián),而是從總體上與硬件設(shè)備相關(guān)聯(lián)。這里的基本思想也就是,如果你限制了用戶安裝設(shè)備,也就阻止了任何你沒(méi)有專門啟用的設(shè)備。
關(guān)于可移動(dòng)設(shè)備問(wèn)題,你可以對(duì)兩項(xiàng)策略設(shè)置給予特別注意:第一項(xiàng)設(shè)置是“允許管理員覆蓋設(shè)備安裝限制( Allow Administrators to Override Device Installation Restrictions),如果你實(shí)施了任何的設(shè)備限制的設(shè)置,那么你有必要啟用這項(xiàng)設(shè)置。否則,即使管理員也不能在工作站上安裝任何的新硬件。
第二項(xiàng)重要的設(shè)置是“防止安裝可移動(dòng)設(shè)備( Prevent Installation of Removable Devices)。如果你啟用了這項(xiàng)設(shè)置,那么用戶就不能安裝可移動(dòng)設(shè)備。如果一個(gè)用戶已經(jīng)在系統(tǒng)中使用了一個(gè)可移動(dòng)設(shè)備,就會(huì)存在一個(gè)此可移動(dòng)設(shè)備的驅(qū)動(dòng)程序,因此用戶就會(huì)繼續(xù)使用它。不過(guò),該用戶將絕不可能更新設(shè)備的驅(qū)動(dòng)程序。
其實(shí),我們通過(guò)Windows Vista可以設(shè)置的安全措施還有很多,這有待你去進(jìn)一步去探索、發(fā)現(xiàn)。
網(wǎng)公網(wǎng)安備