現如沒使用過 U 盤的計算機用戶恐怕真的鳳毛麟角了U 盤以其日漸小巧的體積快速擴張的容量越來越便宜的價格成功的替代了軟盤成為主流的移動存儲介質
方便的同時帶來的是巨大的安全隱患U 盤已經成為除了網絡之外傳播數量最大的病毒和惡意程序傳播途徑在不經意的一插之間病毒或者惡意程序就已經感染了您的計算機
難道永遠都只能被動的借助殺毒軟件來防御嗎?就像汽車安全技術一樣Windows 除了被動防御還提供了主動防御的技術——限制移動存儲上的程序運行
要啟動此功能也非常方便直接運行gpeditmsc打開“本地組策略編輯器”找到“計算機配置”然後展開找到“管理模板”然後點開“系統”找到並點擊“可移動存儲訪問”在右邊會顯示所有可設置的可移動存儲訪問相關的策略
U 盤屬於可移動磁盤因此我們就看看怎樣設置可移動磁盤的訪問策略
自 Windows Vista 開始系統就已經可以限制可移動磁盤的讀寫大家對這個應該已經不陌生了而且僅僅限制 U 盤的讀寫並不能滿足我們的需求不能讀自然不會感染病毒可也失去了 U 盤的意義不能寫可以防止信息外流卻無法防止病毒入侵
我們需要的是從 Windows 開始提供的新功能拒絕執行權限
點擊該策略選擇“已啟用”即可打開該策略啟用此策略設置將拒絕對可移動存儲類的執行權限如果禁用或未配置此策略設置將允許對此可移動存儲類的執行權限
設置完該策略我們來運行一下 U 盤上的程序看看系統直接給出不允許運行的提示
別看這個提示跟 UAC 有點像但卻無法通過改變運行帳號來執行除非策略被更改為允許執行權限
如果設置的是拒絕讀取權限的策略那麼將無法訪問 U 盤上的信息
如果設置的是拒絕寫入權限的策略那麼無法將信息寫入 U 盤
展開來討論一下對於 CD/DVD 介質同樣可以如 U 盤一樣做出限制防止光盤自動運行傳播病毒
那麼讀卡器MP/MP數碼相機甚至移動電話呢?這些都可以通過 USB 接口連接讀寫啊在系統裡這些設備歸入 WPD 類可以限制其讀取或者寫入
總會非標准的設備存在的吧?對於這種情況系統同樣也提供了“自定義類”的設置只要寫入設備的 GUID就能限制其讀取和寫入
如果你是企業的管理員完全沒必要跑到每台機器上去設置可以通過組策略快速的實現策略的實施
好了這下再也不怕借給同事的 U 盤帶著病毒回來了
From:http://tw.wingwit.com/Article/Common/201311/8211.html
