移動設備安全靠策略

停用自動播放功能

Windows系統(tǒng)自動播放移動設備窗口內容的特性，常常會被惡意病毒利用，成為病毒自動發(fā)作運行的良好載體。為了不讓移動設備成為病毒木馬傳播的溫床，立即停用Windows系統(tǒng)自動播放移動設備的功能，是相當有必要的。在停用自動播放功能時，不妨進行如下設置操作：

首先，在移動設備待插計算機系統(tǒng)中，逐一點擊“開始”、“運行”命令，展開系統(tǒng)運行對話框，輸入“gpedit.msc”命令并回車，開啟系統(tǒng)組策略編輯器運行狀態(tài)，在組策略編輯窗口左側列表中，將鼠標定位到“本地計算機策略”、“計算機配置”、“管理模板”、“系統(tǒng)”節(jié)點上，從目標節(jié)點下面選中“關閉自動播放”組策略，打開該選項的右鍵菜單，點擊“屬性”命令，切換到如圖1所示的組策略屬性對話框。

圖1 組策略屬性對話框

檢查這里的“已啟用”選項是否已被選中，如果發(fā)現(xiàn)其沒有被選中時，應該及時將其重新選中，再從“關閉自動播放”位置處選中“所有驅動器”選項，確認后保存設置操作。

這樣，日后任何移動設備插入到本地計算機后，Windows系統(tǒng)都不會自動播放其中的內容了，這時潛藏在移動設備中的病毒木馬也就無法發(fā)作攻擊本地系統(tǒng)或網(wǎng)絡了，除非用戶自己雙擊移動設備圖標，網(wǎng)絡病毒才會有機會激活運行。

當然，這種方法停用移動設備自動播放功能比較極端，它會對光盤的自動播放帶來影響。

按需分配操作權限

在移動設備隨處可見的今天，網(wǎng)絡環(huán)境中的很多隱私數(shù)據(jù)往往會被移動設備順帶“捎走”。為了預防這種現(xiàn)象發(fā)生，很多人會通過BIOS設置簡單封死計算機主板上的USB接口，但這也意味著合法用戶也無法使用移動設備保存數(shù)據(jù)。其實，我們可以進行適當設置操作，為不同級別的用戶設置不同的移動設備操作權限。例如，要想讓“asd”用戶可以正常顯示移動設備，又可以成功讀寫其中的內容，讓“fgh”用戶無法讀寫移動設備中的內容時，只要進行下面的設置操作：

首先，依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“notepad.exe”命令，啟動運行記事本應用程序，創(chuàng)建一個讓“asd”用戶可以正常顯示移動設備，又可以成功讀寫其中內容的批處理文件，假設該文件名稱為“asd.bat”，在該文件編輯窗口中輸入如下命令代碼：

這里的第一行代碼表示可以查看移動設備分區(qū)窗口，第二行代碼表示可以向移動設備讀取和寫入數(shù)據(jù)。

圖2 組策略屬性對話框

同樣地，再創(chuàng)建一個讓fgh”用戶無法讀寫移動設備內容的批處理文件。接著，以“asd”用戶賬號登錄計算機，依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“gpedit.msc”命令，打開系統(tǒng)組策略編輯窗口，在該窗口的左側列表中，將鼠標定位到“本地計算機策略”、“計算機配置”、“Windows設 置”、“腳 本（啟動/關機）”節(jié)點上，選中該節(jié)點下的“啟動”組策略，并用鼠標雙擊之，展開如圖2所示的組策略屬性對話框。點擊“添加”按鈕，將之前創(chuàng)建好的、能正常顯示移動設備又能成功讀寫其內容的“asd.bat”批處理文件添加進來，確認后返回。日后，“asd”用戶每次成功登錄計算機系統(tǒng)時，都會自動調用“asd.bat”批處理文件，這樣“asd”用戶既能查看移動設備窗口內容，又能對其中的內容進行讀寫操作。

換成“fgh”用戶賬號登錄本地計算機系統(tǒng)，開啟系統(tǒng)組策略編輯器運行狀態(tài)，逐一展開“本地計算機策 略”、“計 算機配 置”、“Windows設置”、“腳本（啟動/關機）”節(jié)點，雙擊該節(jié)點下的“啟動”組策略，在其中導入之前創(chuàng)建好的“fgh.bat”批處理文件，單擊“確定”按鈕執(zhí)行設置保存操作。日后，“fgh”用戶每次登錄進入本地計算機后，都會自動調用“fgh.bat”批處理文件，這樣本地計算機中的USB接口會被禁止使用，那么“fgh”用戶此時插入移動設備，也無法使用它帶走本地計算機中的隱私數(shù)據(jù)。

安裝特定移動設備

大家知道，簡單地限制計算機主板上的USB接口，會影響計算機主人使用移動設備。為了既能限制別人使用移動設備，又不影響用戶自己使用移動設備，我們能否讓Windows系統(tǒng)變得更智能一些，僅允許安裝用戶主人的移動設備，而不允許安裝其他移動設備呢？答案是肯定的！在Windows 7系統(tǒng)環(huán)境下，我們就能使用相對“溫和”的方法，僅允許Windows系統(tǒng)安裝特定用戶的移動設備。

例如，現(xiàn)在想讓Windows 7系統(tǒng)只安裝筆者自己的移動硬盤設備，而禁用其他移動設備，要做到這一點，可以先將自己的移動設備插入到計算機主板上的USB接口中，讓Windows系統(tǒng)能夠正常識別并訪問它，之后依次單擊“開始”、“控制面板”命令，彈出系統(tǒng)控制面板窗口，用鼠標雙擊其中的“設備管理器”圖標，從設備管理器界面中展開“便攜設備”分支，找到自己的移動硬盤設備。

用鼠標右鍵單擊移動硬盤設備圖標，點擊右鍵菜單中的“屬性”命令，展開移動硬盤屬性對話框，選擇“詳細信息”選項卡，在對應選項設置頁面的“屬性”位置處，選中“硬件ID”選項，這時在“值”位置處會出現(xiàn)一個字符串，它就是筆者所用移動硬盤的設備ID，將該數(shù)值記憶下來，接著返回到設備管理器窗口，展開“通用串行總線控制器”節(jié)點，選中該節(jié)點下的“USB大容量存儲設備”選項，打開該選項的右鍵菜單，點擊“屬性”命令，選擇該設備屬性框中的“詳細信息”選項卡，在對應選項設置頁面的“屬性”位置處，選中“硬件ID”選項，同時將該選項的數(shù)值也記憶下來。

圖3 “禁止安裝未由其他策略設置描述的設備”組策略

找到筆者所用移動設備的硬件ID后，現(xiàn)在就能使用組策略實現(xiàn)限制安裝設備目的了。依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“gpedit.msc”命令，打開系統(tǒng)組策略編輯窗口，在該窗口的左側列表中，將鼠標定位到“本地計算機策略”、“計算機配置”、“管理模板”、“系統(tǒng)”、“設備安裝”、“設備安裝限制”節(jié)點上，雙擊該節(jié)點下的“禁止安裝未由其他策略設置描述的設備”組策略（如圖3所示），在其后出現(xiàn)的組策略屬性對話框中，將“已啟用”選中，單擊“確定”按鈕保存設置操作，這樣Windows系統(tǒng)日后會自動禁止安裝策略設置描述的移動設備。

之后，再次將鼠標定位到“本地計算機策略”、“計算機配置”、“管理 模板”、“系統(tǒng)”、“設備安裝”、“設備安裝限制”節(jié)點上，找到該節(jié)點下的“允許安裝與下列設備ID相匹配的設備”組策略，并用鼠標雙擊之，在其后彈出的設置界面中，將之前記憶下來的合法設備ID導入進來，確認后保存設置操作。

這樣，Windows系統(tǒng)日后就能智能識別筆者的移動硬盤設備，而不會安裝其他移動設備了。

禁用自動運行命令

一些病毒木馬之所以能夠通過移動設備，輕易威脅網(wǎng)絡或數(shù)據(jù)安全，主要是在該設備上悄悄寫入了能夠自動運行的惡意程序。在Windows 7系統(tǒng)環(huán)境下，我們可以通過合適設置，禁止Windows系統(tǒng)運行移動設備上的所有自啟動命令，那么病毒木馬也就無法將移動設備當成傳播載體了。

依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“gpedit.msc”命令，打開系統(tǒng)組策略編輯窗口，在該窗口的左側列表中，將鼠標定位到“本地計算機策略”、“計算機配置”、“管理模板”、“Windows組件”、“自動播放策略”節(jié)點上。

其次找到該節(jié)點下的“自動運行的默認行為”選項，打開該選項的右鍵菜單，點擊“屬性”命令，切換到對應選項設置對話框，選中“已啟用”選項，同時選中“不執(zhí)行任何自動運行命令”選項，單擊“確定”按鈕結束設置操作。這樣，Windows 7系統(tǒng)日后就能禁止運行移動設備上的所有自啟動命令。