移動(dòng)設(shè)備安全靠策略

停用自動(dòng)播放功能

Windows系統(tǒng)自動(dòng)播放移動(dòng)設(shè)備窗口內(nèi)容的特性，常常會(huì)被惡意病毒利用，成為病毒自動(dòng)發(fā)作運(yùn)行的良好載體。為了不讓移動(dòng)設(shè)備成為病毒木馬傳播的溫床，立即停用Windows系統(tǒng)自動(dòng)播放移動(dòng)設(shè)備的功能，是相當(dāng)有必要的。在停用自動(dòng)播放功能時(shí)，不妨進(jìn)行如下設(shè)置操作：

首先，在移動(dòng)設(shè)備待插計(jì)算機(jī)系統(tǒng)中，逐一點(diǎn)擊“開(kāi)始”、“運(yùn)行”命令，展開(kāi)系統(tǒng)運(yùn)行對(duì)話框，輸入“gpedit.msc”命令并回車，開(kāi)啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)，在組策略編輯窗口左側(cè)列表中，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“管理模板”、“系統(tǒng)”節(jié)點(diǎn)上，從目標(biāo)節(jié)點(diǎn)下面選中“關(guān)閉自動(dòng)播放”組策略，打開(kāi)該選項(xiàng)的右鍵菜單，點(diǎn)擊“屬性”命令，切換到如圖1所示的組策略屬性對(duì)話框。

圖1 組策略屬性對(duì)話框

檢查這里的“已啟用”選項(xiàng)是否已被選中，如果發(fā)現(xiàn)其沒(méi)有被選中時(shí)，應(yīng)該及時(shí)將其重新選中，再?gòu)摹瓣P(guān)閉自動(dòng)播放”位置處選中“所有驅(qū)動(dòng)器”選項(xiàng)，確認(rèn)后保存設(shè)置操作。

這樣，日后任何移動(dòng)設(shè)備插入到本地計(jì)算機(jī)后，Windows系統(tǒng)都不會(huì)自動(dòng)播放其中的內(nèi)容了，這時(shí)潛藏在移動(dòng)設(shè)備中的病毒木馬也就無(wú)法發(fā)作攻擊本地系統(tǒng)或網(wǎng)絡(luò)了，除非用戶自己雙擊移動(dòng)設(shè)備圖標(biāo)，網(wǎng)絡(luò)病毒才會(huì)有機(jī)會(huì)激活運(yùn)行。

當(dāng)然，這種方法停用移動(dòng)設(shè)備自動(dòng)播放功能比較極端，它會(huì)對(duì)光盤(pán)的自動(dòng)播放帶來(lái)影響。

按需分配操作權(quán)限

在移動(dòng)設(shè)備隨處可見(jiàn)的今天，網(wǎng)絡(luò)環(huán)境中的很多隱私數(shù)據(jù)往往會(huì)被移動(dòng)設(shè)備順帶“捎走”。為了預(yù)防這種現(xiàn)象發(fā)生，很多人會(huì)通過(guò)BIOS設(shè)置簡(jiǎn)單封死計(jì)算機(jī)主板上的USB接口，但這也意味著合法用戶也無(wú)法使用移動(dòng)設(shè)備保存數(shù)據(jù)。其實(shí)，我們可以進(jìn)行適當(dāng)設(shè)置操作，為不同級(jí)別的用戶設(shè)置不同的移動(dòng)設(shè)備操作權(quán)限。例如，要想讓“asd”用戶可以正常顯示移動(dòng)設(shè)備，又可以成功讀寫(xiě)其中的內(nèi)容，讓“fgh”用戶無(wú)法讀寫(xiě)移動(dòng)設(shè)備中的內(nèi)容時(shí)，只要進(jìn)行下面的設(shè)置操作：

首先，依次單擊“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“notepad.exe”命令，啟動(dòng)運(yùn)行記事本應(yīng)用程序，創(chuàng)建一個(gè)讓“asd”用戶可以正常顯示移動(dòng)設(shè)備，又可以成功讀寫(xiě)其中內(nèi)容的批處理文件，假設(shè)該文件名稱為“asd.bat”，在該文件編輯窗口中輸入如下命令代碼：

這里的第一行代碼表示可以查看移動(dòng)設(shè)備分區(qū)窗口，第二行代碼表示可以向移動(dòng)設(shè)備讀取和寫(xiě)入數(shù)據(jù)。

圖2 組策略屬性對(duì)話框

同樣地，再創(chuàng)建一個(gè)讓fgh”用戶無(wú)法讀寫(xiě)移動(dòng)設(shè)備內(nèi)容的批處理文件。接著，以“asd”用戶賬號(hào)登錄計(jì)算機(jī)，依次單擊“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“gpedit.msc”命令，打開(kāi)系統(tǒng)組策略編輯窗口，在該窗口的左側(cè)列表中，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows設(shè) 置”、“腳 本（啟動(dòng)/關(guān)機(jī)）”節(jié)點(diǎn)上，選中該節(jié)點(diǎn)下的“啟動(dòng)”組策略，并用鼠標(biāo)雙擊之，展開(kāi)如圖2所示的組策略屬性對(duì)話框。點(diǎn)擊“添加”按鈕，將之前創(chuàng)建好的、能正常顯示移動(dòng)設(shè)備又能成功讀寫(xiě)其內(nèi)容的“asd.bat”批處理文件添加進(jìn)來(lái)，確認(rèn)后返回。日后，“asd”用戶每次成功登錄計(jì)算機(jī)系統(tǒng)時(shí)，都會(huì)自動(dòng)調(diào)用“asd.bat”批處理文件，這樣“asd”用戶既能查看移動(dòng)設(shè)備窗口內(nèi)容，又能對(duì)其中的內(nèi)容進(jìn)行讀寫(xiě)操作。

換成“fgh”用戶賬號(hào)登錄本地計(jì)算機(jī)系統(tǒng)，開(kāi)啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)，逐一展開(kāi)“本地計(jì)算機(jī)策 略”、“計(jì) 算機(jī)配 置”、“Windows設(shè)置”、“腳本（啟動(dòng)/關(guān)機(jī)）”節(jié)點(diǎn)，雙擊該節(jié)點(diǎn)下的“啟動(dòng)”組策略，在其中導(dǎo)入之前創(chuàng)建好的“fgh.bat”批處理文件，單擊“確定”按鈕執(zhí)行設(shè)置保存操作。日后，“fgh”用戶每次登錄進(jìn)入本地計(jì)算機(jī)后，都會(huì)自動(dòng)調(diào)用“fgh.bat”批處理文件，這樣本地計(jì)算機(jī)中的USB接口會(huì)被禁止使用，那么“fgh”用戶此時(shí)插入移動(dòng)設(shè)備，也無(wú)法使用它帶走本地計(jì)算機(jī)中的隱私數(shù)據(jù)。

安裝特定移動(dòng)設(shè)備

大家知道，簡(jiǎn)單地限制計(jì)算機(jī)主板上的USB接口，會(huì)影響計(jì)算機(jī)主人使用移動(dòng)設(shè)備。為了既能限制別人使用移動(dòng)設(shè)備，又不影響用戶自己使用移動(dòng)設(shè)備，我們能否讓W(xué)indows系統(tǒng)變得更智能一些，僅允許安裝用戶主人的移動(dòng)設(shè)備，而不允許安裝其他移動(dòng)設(shè)備呢？答案是肯定的！在Windows 7系統(tǒng)環(huán)境下，我們就能使用相對(duì)“溫和”的方法，僅允許Windows系統(tǒng)安裝特定用戶的移動(dòng)設(shè)備。

例如，現(xiàn)在想讓W(xué)indows 7系統(tǒng)只安裝筆者自己的移動(dòng)硬盤(pán)設(shè)備，而禁用其他移動(dòng)設(shè)備，要做到這一點(diǎn)，可以先將自己的移動(dòng)設(shè)備插入到計(jì)算機(jī)主板上的USB接口中，讓W(xué)indows系統(tǒng)能夠正常識(shí)別并訪問(wèn)它，之后依次單擊“開(kāi)始”、“控制面板”命令，彈出系統(tǒng)控制面板窗口，用鼠標(biāo)雙擊其中的“設(shè)備管理器”圖標(biāo)，從設(shè)備管理器界面中展開(kāi)“便攜設(shè)備”分支，找到自己的移動(dòng)硬盤(pán)設(shè)備。

用鼠標(biāo)右鍵單擊移動(dòng)硬盤(pán)設(shè)備圖標(biāo)，點(diǎn)擊右鍵菜單中的“屬性”命令，展開(kāi)移動(dòng)硬盤(pán)屬性對(duì)話框，選擇“詳細(xì)信息”選項(xiàng)卡，在對(duì)應(yīng)選項(xiàng)設(shè)置頁(yè)面的“屬性”位置處，選中“硬件ID”選項(xiàng)，這時(shí)在“值”位置處會(huì)出現(xiàn)一個(gè)字符串，它就是筆者所用移動(dòng)硬盤(pán)的設(shè)備ID，將該數(shù)值記憶下來(lái)，接著返回到設(shè)備管理器窗口，展開(kāi)“通用串行總線控制器”節(jié)點(diǎn)，選中該節(jié)點(diǎn)下的“USB大容量存儲(chǔ)設(shè)備”選項(xiàng)，打開(kāi)該選項(xiàng)的右鍵菜單，點(diǎn)擊“屬性”命令，選擇該設(shè)備屬性框中的“詳細(xì)信息”選項(xiàng)卡，在對(duì)應(yīng)選項(xiàng)設(shè)置頁(yè)面的“屬性”位置處，選中“硬件ID”選項(xiàng)，同時(shí)將該選項(xiàng)的數(shù)值也記憶下來(lái)。

圖3 “禁止安裝未由其他策略設(shè)置描述的設(shè)備”組策略

找到筆者所用移動(dòng)設(shè)備的硬件ID后，現(xiàn)在就能使用組策略實(shí)現(xiàn)限制安裝設(shè)備目的了。依次單擊“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“gpedit.msc”命令，打開(kāi)系統(tǒng)組策略編輯窗口，在該窗口的左側(cè)列表中，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“管理模板”、“系統(tǒng)”、“設(shè)備安裝”、“設(shè)備安裝限制”節(jié)點(diǎn)上，雙擊該節(jié)點(diǎn)下的“禁止安裝未由其他策略設(shè)置描述的設(shè)備”組策略（如圖3所示），在其后出現(xiàn)的組策略屬性對(duì)話框中，將“已啟用”選中，單擊“確定”按鈕保存設(shè)置操作，這樣Windows系統(tǒng)日后會(huì)自動(dòng)禁止安裝策略設(shè)置描述的移動(dòng)設(shè)備。

之后，再次將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“管理 模板”、“系統(tǒng)”、“設(shè)備安裝”、“設(shè)備安裝限制”節(jié)點(diǎn)上，找到該節(jié)點(diǎn)下的“允許安裝與下列設(shè)備ID相匹配的設(shè)備”組策略，并用鼠標(biāo)雙擊之，在其后彈出的設(shè)置界面中，將之前記憶下來(lái)的合法設(shè)備ID導(dǎo)入進(jìn)來(lái)，確認(rèn)后保存設(shè)置操作。

這樣，Windows系統(tǒng)日后就能智能識(shí)別筆者的移動(dòng)硬盤(pán)設(shè)備，而不會(huì)安裝其他移動(dòng)設(shè)備了。

禁用自動(dòng)運(yùn)行命令

一些病毒木馬之所以能夠通過(guò)移動(dòng)設(shè)備，輕易威脅網(wǎng)絡(luò)或數(shù)據(jù)安全，主要是在該設(shè)備上悄悄寫(xiě)入了能夠自動(dòng)運(yùn)行的惡意程序。在Windows 7系統(tǒng)環(huán)境下，我們可以通過(guò)合適設(shè)置，禁止Windows系統(tǒng)運(yùn)行移動(dòng)設(shè)備上的所有自啟動(dòng)命令，那么病毒木馬也就無(wú)法將移動(dòng)設(shè)備當(dāng)成傳播載體了。

依次單擊“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“gpedit.msc”命令，打開(kāi)系統(tǒng)組策略編輯窗口，在該窗口的左側(cè)列表中，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“管理模板”、“Windows組件”、“自動(dòng)播放策略”節(jié)點(diǎn)上。

其次找到該節(jié)點(diǎn)下的“自動(dòng)運(yùn)行的默認(rèn)行為”選項(xiàng)，打開(kāi)該選項(xiàng)的右鍵菜單，點(diǎn)擊“屬性”命令，切換到對(duì)應(yīng)選項(xiàng)設(shè)置對(duì)話框，選中“已啟用”選項(xiàng)，同時(shí)選中“不執(zhí)行任何自動(dòng)運(yùn)行命令”選項(xiàng)，單擊“確定”按鈕結(jié)束設(shè)置操作。這樣，Windows 7系統(tǒng)日后就能禁止運(yùn)行移動(dòng)設(shè)備上的所有自啟動(dòng)命令。