組策略最容易引起誤解的是它的名字──組策略并不是將策略運用到組中去的方法���!與之相反的是����,組策略通過將組策略鏈接到活動目錄容器(通常就是組織單元����,但也包括域和站點)對象而施行于個體或單獨用戶賬戶以及計算機賬戶�。這里的組策略對象�����,就是策略設置的集合��。
雖然通過組策略來限制可移動設備并不是一個十分出色的網絡安全解決方案,因為一個已經安裝了存儲設備(如安裝了一個USB驅動設備)的用戶���,可以繼續使用它。不過我們還是可以進行一些細微的設置���,這些設置可以允許你通過設備的ID來限制特定的可移動存儲設備。
很難說哪一種安全威脅對你的網絡數據影響最大�。由于幾個原因,我趨向于認為可移動存儲設備���,特別是USB驅動設備,應該位于列表的頂部。原因1:USB儲存設備非常容易被忽略�����。第二個原因:有一個簡單的事實是,你可以將很大的數據(如多達4GB的數據)存儲到一個USB驅動器上�,這也就意味著用戶可以將同樣大的應用程序帶到企業中��。它還意味著用戶可以將多達4GB的數據從企業帶走。用戶可以訪問的任何數據都可以輕松地復制到這些驅動器上�。而且USB設備本身體積很小�����,這使得用戶可以方便地將它帶入、帶出企業�。
筆者曾與一些網管員談到USB儲存設備的安全風險問題�。不過�����,這些網管員最通用的做法是禁用工作站上的USB端口�����。有一些較新的機器允許你通過BIOS禁用USB端口,不過大多數老機器并沒有提供這個能力��。這種情況下����,還有一種方案最常用,那就是用膠布將USB端口封住以此來阻止其使用�����。
雖然這些方法都可以起到一定的作用��,不過,都有一些缺點。對于操作者來說��,這些方法都是“勞動密集型”的吧����,也就是說太難于實施。另外一個問題是禁用USB端口并沒有徹底地解決用戶訪問可移動媒體的問題。用戶可以輕松地使用FireWire硬盤驅動器、可移動的DVD驅動器作為另外一種選擇����。
在所有的這些方法中,最大的弊端就在于永久性地禁用USB端口會使用戶沒法使用USB設備并且使得這些端口不能被支持的用戶訪問��。此外,偶爾也會有一些合法的理由使得USB端口應該可用。例如��,有些工作需要用戶擁有一個連接到其PC上的USB掃描儀�����。
幸運的是�����,微軟的Windows Vista(還有其著名的Windows Server 2008 (Longhorn))一個重要目標就是就是給管理員控制工作站使用硬件的方法提供了更好的控制。現在我們可以借助于組策略來控制對可移動稿設備的訪問。
限制對USB存儲設備訪問的組策略設置目前只是在Windows Vista中可用�。目前��,這也就意味著你只能在本地計算機的層次上設置組策略。在Windows Server 2008發布之后,你就可以在域中、站點中或OU層次上設置這些組策略(當然�����,前提是你有一個Windows Server 2008的域控制器)����。
要訪問必須的組策略設置����,你必須打開“組策略對象編輯器”( Group Policy Object Editor)。因此�����,請單擊“開始”/“所有程序”/“附件”( 英文操作系統是Start / All Programs/ Accessories��,筆者用得是英文系統)�����。下一步�����,輸入MMC命令。這會使Windows打開一個空的微軟管理控制臺(Microsoft Management Console)。在控制臺打開后�����,從“文件(File)”菜單中選擇“添加/刪除管理單元”( Add / Remove Snap-In)��。從管理單元列表中選擇組策略對象(Group Policy Object)選項�����,然后單擊“添加(Add)”按鈕。默認情況下,這個管理單元會連接到本地計算機策略(Local Computer policy)����,因此直接單擊“確定(ok)”,然后單擊“完成(Finish)”即可���。
