可移動(dòng)設(shè)備的控制與實(shí)現(xiàn)

翟哲

摘要：USB可移動(dòng)設(shè)備所造成病毒蔓延、數(shù)據(jù)外泄等問題日益嚴(yán)重。對(duì)USB移動(dòng)設(shè)備進(jìn)行有效控制，可以很好地保護(hù)USB移動(dòng)存儲(chǔ)設(shè)備的安全。文中介紹了控制USB移動(dòng)設(shè)備的幾種方法，分析已有方法的弊端，提出了利用組策略這種方法，完美地解決了有選擇性的禁用USB移動(dòng)設(shè)備問題，做到了人性化的管理。

關(guān)鍵詞：USB移動(dòng)設(shè)備；組策略；硬件ID

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）26-6253-04

Abstract：USB mobile devices， the problems caused by the spread of the virus， data leakage is more and more serious. To control the USB mobile device， can guarantee the USB mobile storage devices， effective security. This paper introduces several methods to control USB， the disadvantages of the existing methods， this method is proposed by using group policy， the perfect solution to the problem of disabling the USB mobile device， do the humanization of "distribution according to need.

Key words： USB mobile devices； Group Policy； Hard disk ID

在信息飛速發(fā)展時(shí)代，人們要進(jìn)行大量信息存儲(chǔ)和信息交換。優(yōu)盤作為USB移動(dòng)設(shè)備中的一種，它具有價(jià)格低、速度快、支持熱插拔、存儲(chǔ)容量大、體積小、連接靈活等優(yōu)點(diǎn)，已廣泛應(yīng)用到了各種各樣的場(chǎng)面。但任何事物都具有兩面性。它在帶來方便的同時(shí)也帶來了一些安全風(fēng)險(xiǎn)，特別是在高校機(jī)房這樣的公共學(xué)習(xí)環(huán)境中，因計(jì)算機(jī)都配有USB接口，學(xué)生很方便地插拔優(yōu)盤，極易造成軟件被破壞、計(jì)算機(jī)病毒被擴(kuò)散、數(shù)據(jù)被泄露等問題。這就給機(jī)房維護(hù)員造成了維護(hù)上的負(fù)擔(dān)，因此在某些環(huán)境下需要禁止優(yōu)盤的使用。尤其是學(xué)校承擔(dān)的國(guó)家級(jí)考試，使用計(jì)算機(jī)進(jìn)行的各種無紙化考試，為了防止考生作弊、考題泄露和計(jì)算機(jī)病毒侵入考試系統(tǒng)就需要禁用優(yōu)盤的使用。而另一方面是管理員還要用優(yōu)盤對(duì)機(jī)房機(jī)器進(jìn)行維護(hù)。所以，有選擇性的禁用優(yōu)盤對(duì)管理員來說是非常重要的。這樣才能做到人性化的管理。

2 USB移動(dòng)設(shè)備的基本思路

因?yàn)閣indows7系統(tǒng)使用全局唯一標(biāo)記符（GUID）和設(shè)備標(biāo)記字符串（硬件ID）兩種類型來管理設(shè)備配置與安裝[4]，所以在windows7操作系統(tǒng)中，當(dāng)系統(tǒng)未在電腦上安裝此設(shè)備時(shí)，它將會(huì)檢測(cè)并查詢?cè)撛O(shè)備，然后在計(jì)算機(jī)上自動(dòng)檢索其設(shè)備標(biāo)記字符串列表。制造商在生產(chǎn)設(shè)備時(shí)，一般都會(huì)為一個(gè)設(shè)備分配多個(gè)設(shè)備標(biāo)記字符串。如果驅(qū)動(dòng)程序包中包含的標(biāo)記字符串與在Windows7中通過從設(shè)備中檢索到設(shè)備標(biāo)記字符串相搭配，那么就選擇要安裝的設(shè)備驅(qū)動(dòng)程序包，從而完成該設(shè)備的安裝。因?yàn)榘惭b到計(jì)算機(jī)上的每個(gè)硬件編號(hào)（設(shè)備標(biāo)記符）都是不一樣的，所以我們只需知道要使用的硬件編號(hào)（設(shè)備標(biāo)記符），那么就可以按照指定的可移動(dòng)設(shè)備進(jìn)行使用和安裝。在電腦的“設(shè)備管理器”找到了硬件編號(hào)的值，下面我們就用組策略技術(shù)來管理控制硬件編號(hào)。

3 使用組策略來實(shí)現(xiàn)有選擇性的管理U盤

Windows7組策略[6]其實(shí)是一個(gè)另類的注冊(cè)表編輯器，主要是管理員為計(jì)算機(jī)和用戶服務(wù)的，它既能控制網(wǎng)絡(luò)資源，又能控制應(yīng)用程序及操作系統(tǒng)行為的一種機(jī)制。這種技術(shù)可以實(shí)現(xiàn)各種策略的設(shè)置，如：軟件策略、計(jì)算機(jī)策略和用戶策略等。 組策略還可以將系統(tǒng)中重要的配置集合成各種配置模塊，供計(jì)算機(jī)管理員直接使用，從而達(dá)到方便管理計(jì)算機(jī)的目的[7]。

掌握了可移動(dòng)硬盤的基本想法，然后再結(jié)合組策略來控制用戶使用USB移動(dòng)存儲(chǔ)設(shè)備。 具體操作步驟如下。通過步驟可以了解該方法是如何有選擇性的禁用U盤的，當(dāng)然，在實(shí)際操作中，也可以按照自己的需要選擇相應(yīng)的策略[8]。

3.1 組策略控制可移動(dòng)設(shè)備的操作步驟

1） 將移動(dòng)設(shè)備插入電腦上，檢測(cè)到新設(shè)備。

2） 先判定用戶是否是管理員？若是進(jìn)入下一步，否則進(jìn)入到第四步。

3） 問是否啟用“允許管理員忽略設(shè)備安裝限制策略”策略？若選擇是，就允許安裝USB設(shè)備。否則進(jìn)入到下一步。

4） 問設(shè)備是否列在其中一個(gè)“禁止安裝”策略？若選擇是則禁止安裝USB設(shè)備，否則進(jìn)入下一步。

5） 問是否已啟用“禁止安裝未有其他策略描述的設(shè)備“策略？若選擇是進(jìn)入下一步，否則禁止安裝USB設(shè)備。

6） 問設(shè)備是否列在其中一個(gè)“允許安裝”策略中？若選擇是則允許安裝USB設(shè)備，否則禁止安裝USB設(shè)備。

3.2 組策略控制可移動(dòng)設(shè)備的解決方案 圖8

總之，以上操作是利用組策略來實(shí)現(xiàn)對(duì)U盤的管理。它不但可以控制和安裝可移動(dòng)設(shè)備，而且還可以隨心所欲的使用可移動(dòng)設(shè)備。從而做到了“按需分配”，并且還能高效地控制可移動(dòng)設(shè)備訪問權(quán)限。組策略技術(shù)使我們高校的機(jī)房管理更安全，更科學(xué)，真正實(shí)現(xiàn)了有選擇性的禁用優(yōu)盤。

參考文獻(xiàn)：

[1] ZHU XIN. YONG禁用USB存儲(chǔ)方法[J].電腦愛好者，2009（3）：35.

[2] Microsoft.如何禁用U盤[EB/OL].HTTP：//support.microsoft.com/kb/823732，2008-05-28.

[3] 路原等.windows環(huán)境下USB設(shè)備驅(qū)動(dòng)程序的開發(fā)[J].國(guó)外電子元器件，2007（7）：28.

[4] windows xp ddk[m/cd].2006-1-12.

[5] 公司 禁用U盤的四種設(shè)置方法[EB/OL].[2006-11-23]http：//www.enet.com.cn/article/2006/1123/A2006112303615.shtml.

[6] 王風(fēng)茂，劉陽.Windows Server 2003配置與管理實(shí)用案例教程[M].大連：大連理工大學(xué)出版社，2008.

[7] 馮馬.使用組策略限制磁盤文件的訪問[J].網(wǎng)絡(luò)與信息，2009（10）.

[8] 楊玉祥.禁止組策略的解決方案[N].中國(guó)電腦教育報(bào)，2003.