前面我們學習了Windows XP組策略合理設置使系統更加安全,那麼在Vista下的組策略怎麼用呢?今天給大家討論下這個問題。
組策略最容易引起誤解的是它的名字──組策略並不是將策略運用到組中去的方法!與之相反的是,組策略通過將組策略鏈接到活動目錄容器(通常就是組織單元,但也包括域和站點)對象而施行於個體或單獨用戶賬戶以及計算機賬戶。這裡的組策略對象,就是策略設置的集合。
雖然通過組策略來限制可移動設備並不是一個十分出色的網絡安全解決方案,因為一個已經安裝了存儲設備(如安裝了一個USB驅動設備)的用戶,可以繼續使用它。不過我們還是可以進行一些細微的設置,這些設置可以允許你通過設備的ID來限制特定的可移動存儲設備。
很難說哪一種安全威脅對你的網絡數據影響最大。由於幾個原因,我趨向於認為可移動存儲設備,特別是USB驅動設備,應該位於列表的頂部。原因1:USB儲存設備非常容易被忽略。第二個原因:有一個簡單的事實是,你可以將很大的數據(如多達4GB的數據)存儲到一個USB驅動器上,這也就意味著用戶可以將同樣大的應用程序帶到企業中。它還意味著用戶可以將多達4GB的數據從企業帶走。用戶可以訪問的任何數據都可以輕松地復制到這些驅動器上。而且USB設備本身體積很小,這使得用戶可以方便地將它帶入、帶出企業。
筆者曾與一些網管員談到USB儲存設備的安全風險問題。不過,這些網管員最通用的做法是禁用工作站上的USB端口。有一些較新的機器允許你通過BiOS禁用USB端口,不過大多數老機器並沒有提供這個能力。這種情況下,還有一種方案最常用,那就是用膠布將USB端口封住以此來阻止其使用。
雖然這些方法都可以起到一定的作用,不過,都有一些缺點。對於操作者來說,這些方法都是“勞動密集型”的吧,也就是說太難於實施。另外一個問題是禁用USB端口並沒有徹底地解決用戶訪問可移動媒體的問題。用戶可以輕松地使用FireWire硬盤驅動器、可移動的DVD驅動器作為另外一種選擇。
在所有的這些方法中,最大的弊端就在於永久性地禁用USB端口會使用戶沒法使用USB設備並且使得這些端口不能被支持的用戶訪問。此外,偶爾也會有一些合法的理由使得USB端口應該可用。例如,有些工作需要用戶擁有一個連接到其PC上的USB掃描儀。
幸運的是,微軟的Windows Vista(還有其著名的Windows Server 2008 (Longhorn))一個重要目標就是就是給管理員控制工作站使用硬件的方法提供了更好的控制。現在我們可以借助於組策略來控制對可移動稿設備的訪問。
限制對USB存儲設備訪問的組策略設置目前只是在Windows Vista中可用。目前,這也就意味著你只能在本地計算機的層次上設置組策略。在Windows Server 2008發布之後,你就可以在域中、站點中或OU層次上設置這些組策略(當然,前提是你有一個Windows Server 2008的域控制器)。
要訪問必須的組策略設置,你必須打開“組策略對象編輯器”( Group Policy Object Editor)。因此,請單擊“開始”/“所有程序”/“附件”( 英文操作系統是Start / All Programs/ AccessorIEs,筆者用得是英文系統)。下一步,輸入MMC命令。這會使Windows打開一個空的微軟管理控制台(Microsoft Management Console)。在控制台打開後,從“文件(File)”菜單中選擇“添加/刪除管理單元”( Add / Remove Snap-In)。從管理單元列表中選擇組策略對象(Group Policy Object)選項,然後單擊“添加(Add)”按鈕。默認情況下,這個管理單元會連接到本地計算機策略(Local Computer policy),因此直接單擊“確定(ok)”,然後單擊“完成(Finish)”即可。
本地計算機策略會被裝載到控制台中。現在,導航到“計算機配置” “管理模板” “系統” “設備安裝” “設備安裝限制”(英文系統是找到 Computer Configuration Administrative Templates System Device Installation Device Installation Restrictions)。在如此操作時,細節窗格會顯示幾個與安裝硬件設備相關的幾個限制,如下圖所示:
有許多與限制設備安裝相關的設置。這些設置並非必然地、特定地與可移動設備相關聯,而是從總體上與硬件設備相關聯。這裡的基本思想也就是,如果你限制了用戶安裝設備,也就阻止了任何你沒有專門啟用的設備。
關於可移動設備問題,你可以對兩項策略設置給予特別注意:第一項設置是“允許管理員覆蓋設備安裝限制”( Allow Administrators to Override Device Installation Restrictions),如果你實施了任何的設備限制的設置,那麼你有必要啟用這項設置。否則,即使管理員也不能在工作站上安裝任何的新硬件。
第二項重要的設置是“防止安裝可移動設備”( Prevent Installation of Removable Devices)。如果你啟用了這項設置,那麼用戶就不能安裝可移動設備。如果一個用戶已經在系統中使用了一個可移動設備,就會存在一個此可移動設備的驅動程序,因此用戶就會繼續使用它。不過,該用戶將絕不可能更新設備的驅動程序。
其實,我們通過Windows Vista可以設置的安全措施還有很多,這有待你去進一步去探索、發現。