Vista安全功能之移动设备管理机制

　　Vista系统的诞生已经有一段时间了，作为主打美观和安全牌的Vista系统来说，在安全方面确实有很多令人眼前一亮的特色。相信我们IT168已经为大家介绍了不少新功能，今天笔者就详细介绍下在Vista系统中独有的移动设备管理机制。

　　一、移动设备管理机制的目的：

　　首先我们来了解下为什么Vista系统要引入这个移动设备管理机制，因为除了漏洞等隐患容易造成系统被病毒入侵外，另外一个最常见的黑客和病毒进入系统的途径就是通过移动存储设备了。带毒U盘或移动硬盘连接到系统中就会轻松感染本来干净的系统。而在Vista系统诞生之前作为网络管理员还不太好管理USB接口的访问权限，虽然可以通过配置USB驱动文件访问权限或者编辑注册表来完成，但是效果不好也容易出现限制失效的问题，特别是利用这些方法也将USB接口的打印机，扫描仪等设备拒之于系统大门外，非常不实用，无法满足日常工作和学习的需求。以上诸多原因迫使微软在Vista系统中引入了移动设备管理机制来帮助网络管理员更轻松更方便快捷的管理移动存储设备。

　　小提示：在Windows2000和windows XP系统中是通过对管理USB存储设备的系统文件权限加以限制，把%SystemRoot%\Inf\Usbstor.pnf和%SystemRoot%\Inf\Usbstor.inf两个文件的“完全控制”权限去掉，并结合修改注册表的方法来限制USB存储设备的接入。

　　二、启动移动设备管理机制：

　　在Vista系统中移动设备的管理机制是通过组策略完成的，一方面可以实现针对单机USB接口的管理，另一方面也可以通过组策略大面积批量推广到整个域中，真正实现了高效率的管理。启动移动设备管理机制的方法很简单，首先通过gpedit.msc进入Vista的组策略，然后定位到“本地计算机策略->计算机配置->管理模板->系统->设备安装->设备安装限制”，在该选项下有多个参数供我们设置。（如图1）

　　图1 设备好安装参数设置图

　　三、移动设备管理机制的应用原理：

　　在讲解具体实现管理（禁止和启用）USB设备连接和访问权限之前，应该了解下Vista系统移动设备管理机制的应用原理，否则很有可能出现一些问题我们无法解释而盲目的认为此机制没有效果。Vista系统的移动设备管理机制是在安装驱动程序上做文章的，也就是说通过配置禁止某USB设备驱动程序的安装来实现该设备无法使用的目的。这样我们就明白了只有这个设备第一次连接到Vista系统中才会涉及到安装驱动程序的步骤，从而实现访问权限的管理。因此如果该设备的驱动程序已经安装在Vista系统中的话，这种移动设备管理机制将没有任何效果。例如笔者曾经把闪存连接在Vista系统中并可以正常使用，那么即使在组策略中禁止所有USB设备的访问，连接该闪存也将能够看到里面的数据信息，因为他的驱动程序已经安装完毕，系统可以识别该设备。

　　小提示：如果我们想针对某个已经安装了驱动程序的设备进行控制管理的话，首先应该通过系统的“设备管理器”来删除该设备对应的驱动程序，再通过组策略来过滤禁止驱动的安装，从而实现阻止系统访问该设备的功能。

　　下面通过实际例子来讲解如何禁止所有USB移动设备安装到系统中，当然这里所说的USB设备包括USB存储设备和USB接口打印扫描设备。首先进入到组策略的“本地计算机策略->计算机配置->管理模板->系统->设备安装->设备安装限制”中，在右边窗口中找到“禁止安全可移动设备”，双击该选项打开设置属性。将该参数启用将限制所有USB设备连接到Vista系统中，如果选择“未配置”和“已禁用”则将容许USB设备连接到系统中。（如图2）

　　禁止安装可移动设置图

　　当我们设置了禁止USB移动设备安装到系统中后，再将USB设备插到USB接口时会和往常一样进行驱动程序的安装，不过这个安装工作将被组策略中的移动设备管理设置禁止安装，任务栏上会显示“设备安装被策略阻止”。（如图3）

　　设备安装被策略阻制图

　　小结——这种方法将彻底禁止USB接口的使用，相应的USB存储设备和USB接口的打印扫描设备都将无法顺利使用。

　　五、仅仅禁止某个USB移动设备安装到系统中：

　　前面介绍的方法将禁止所有USB移动设备的连接与访问，容易出现错杀的问题，例如实际工作中需要用到一些办公USB设备，就不能通过上面提到的“禁止安全可移动设备”来设置了。这时可以采用针对单独的USB移动设备来控制访问权限。

　　首先进入到组策略的“本地计算机策略->计算机配置->管理模板->系统->设备安装->设备安装限制”中，在右边窗口中找到“阻止使用与下列设备安装程序类相匹配的驱动程序安装设备”，然后启用该参数，并添加该USB移动设备相匹配的驱动程序安装设备GUID号即可实现禁止该USB移动设备安装到系统中的目的，在实际使用中除了此设备外其他设备都可以顺利访问，只有这个设备被策略阻止”。

　　那么如何才能知道某个USB移动设备的GUID信息呢？所谓GUID即全局统一标识符，他是指在一台机器上生成的数字，它保证对在同一时空中的所有机器都是唯一的。通常平台会提供生成GUID的API。生成算法很有意思，用到了以太网卡地址、纳秒级时间、芯片ID码和许多可能的数字。GUID的唯一缺陷在于生成的结果串会比较大。GUID的格式为“xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx”，其中每个x是0-9 或a-f范围内的一个十六进制的数字。例如：337c7f2b-7a34-4f50-9141-bab9e6478cc8即为有效的GUID值。查看某个设备的GUID信息可以通过设备管理器中找到相应的设备，并浏览“属性”下的“详细信息”标签来辨别，在下拉菜单中找到“设备类GUID”即可了解。（如图4）

　　详细信息图

　　小提示：另外通过组策略中另外一个参数也可以实现限制安装某个USB移动设备的功能，该参数就是“阻止安装与下列任何设备ID相匹配的设备”，将其启用并添加设备ID信息即可，过滤方法和上面的一致。查看设备ID同样是通过设备管理器来查看，在设备管理器中找到相应的设备，通过“属性”下的“详细信息”标签来辨别。在下拉菜单中找到设备ID或硬件ID即可了解。

　　要想实现容许某个USB移动设备安装到系统中而禁止其他设备的安装的话，我们只需要将指定设备的设备ID或GUID信息添加到组策略中的“容许使用与下列设备安装程序类相匹配的驱动程序安装设备”或“容许安装与下列设备ID相匹配的设备”即可，当然还需要结合“禁止安装可移动设备”选项才能实现容许某个USB移动设备安装到系统中而禁止其他设备安装的功能。

　　七、针对移动设备的访问权限进行控制：

　　有的时候我们希望能够查看到移动设备的信息，但是只分配一定的权限，例如当把某个设备连接到系统后只能管理员具备读写权限，而其他人只能读；或者直接针对所有设备的只读和读写权限进行分配。在Vista系统中也同样提供了对应的设置。

　　（1）针对某个设备的权限管理：

　　当我们把某个移动设备添加到系统中后就可以通过针对其盘符的共享权限进行分配了，这个和以往的操作系统设置类似，例如给everyone添加只读权限而给administrators组读写权限。保存后每次这个设备连接系统后都将继承之前设置的帐户访问权限，不会有任何改动。（如图5）

　　共享权限设置图

　　（2）针对所有设备的权限管理：

　　当然除了针对某个设备的权限管理，Vista还在组策略中添加了针对所有设备的权限管理功能。我们通过组策略中的“本地计算机策略->计算机配置->用户配置->管理模板->系统->可移动存储访问”可以看到这些设置信息，包括限制光驱的读取或写入，限制软盘驱动器，磁带驱动器，可移动磁盘和自定义类等设备的读取和写入权限，这样使得我们管理移动设备更加方便，防止病毒的随意入侵。（如图6）

　　可移动存储访问查看图

　　八、Vista移动设备管理机制适用的对象：

　　除了组策略中可以对移动设备特别是USB接口的设备进行权限控制外，Vista移动设备管理机制还可以对系统中的任何硬件设备的安装进行管理，例如光驱，鼠标，网卡，声卡等等。只需要我们找到这些设备的GUID号或设备ID号，然后在组策略中添加过滤规则，再删除这些设备的原有驱动程序即可。这样即使以后安装此硬件设备到计算机上也会因为驱动程序的安装被策略阻止而无法使用。

　　九、总结：

　　Vista系统中的移动设备管理机制有效的减少了病毒和黑客木马通过移动存储设备入侵系统的机率，帮助网络管理员更好的管理企业各个计算机的安全，通过组策略将管理策略分发到全域所有计算机，真正实现了高效管理的目的。