翟哲

摘要：USB可移動設備所造成病毒蔓延、數(shù)據(jù)外泄等問題日益嚴重。對USB移動設備進行有效控制，可以很好地保護USB移動存儲設備的安全。文中介紹了控制USB移動設備的幾種方法，分析已有方法的弊端，提出了利用組策略這種方法，完美地解決了有選擇性的禁用USB移動設備問題，做到了人性化的管理。

關(guān)鍵詞：USB移動設備；組策略；硬件ID

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2014）26-6253-04

Abstract：USB mobile devices， the problems caused by the spread of the virus， data leakage is more and more serious. To control the USB mobile device， can guarantee the USB mobile storage devices， effective security. This paper introduces several methods to control USB， the disadvantages of the existing methods， this method is proposed by using group policy， the perfect solution to the problem of disabling the USB mobile device， do the humanization of "distribution according to need.

Key words： USB mobile devices； Group Policy； Hard disk ID

在信息飛速發(fā)展時代，人們要進行大量信息存儲和信息交換。優(yōu)盤作為USB移動設備中的一種，它具有價格低、速度快、支持熱插拔、存儲容量大、體積小、連接靈活等優(yōu)點，已廣泛應用到了各種各樣的場面。但任何事物都具有兩面性。它在帶來方便的同時也帶來了一些安全風險，特別是在高校機房這樣的公共學習環(huán)境中，因計算機都配有USB接口，學生很方便地插拔優(yōu)盤，極易造成軟件被破壞、計算機病毒被擴散、數(shù)據(jù)被泄露等問題。這就給機房維護員造成了維護上的負擔，因此在某些環(huán)境下需要禁止優(yōu)盤的使用。尤其是學校承擔的國家級考試，使用計算機進行的各種無紙化考試，為了防止考生作弊、考題泄露和計算機病毒侵入考試系統(tǒng)就需要禁用優(yōu)盤的使用。而另一方面是管理員還要用優(yōu)盤對機房機器進行維護。所以，有選擇性的禁用優(yōu)盤對管理員來說是非常重要的。這樣才能做到人性化的管理。

2 USB移動設備的基本思路

因為windows7系統(tǒng)使用全局唯一標記符（GUID）和設備標記字符串（硬件ID）兩種類型來管理設備配置與安裝[4]，所以在windows7操作系統(tǒng)中，當系統(tǒng)未在電腦上安裝此設備時，它將會檢測并查詢該設備，然后在計算機上自動檢索其設備標記字符串列表。制造商在生產(chǎn)設備時，一般都會為一個設備分配多個設備標記字符串。如果驅(qū)動程序包中包含的標記字符串與在Windows7中通過從設備中檢索到設備標記字符串相搭配，那么就選擇要安裝的設備驅(qū)動程序包，從而完成該設備的安裝。因為安裝到計算機上的每個硬件編號（設備標記符）都是不一樣的，所以我們只需知道要使用的硬件編號（設備標記符），那么就可以按照指定的可移動設備進行使用和安裝。在電腦的“設備管理器”找到了硬件編號的值，下面我們就用組策略技術(shù)來管理控制硬件編號。

3 使用組策略來實現(xiàn)有選擇性的管理U盤

Windows7組策略[6]其實是一個另類的注冊表編輯器，主要是管理員為計算機和用戶服務的，它既能控制網(wǎng)絡資源，又能控制應用程序及操作系統(tǒng)行為的一種機制。這種技術(shù)可以實現(xiàn)各種策略的設置，如：軟件策略、計算機策略和用戶策略等。 組策略還可以將系統(tǒng)中重要的配置集合成各種配置模塊，供計算機管理員直接使用，從而達到方便管理計算機的目的[7]。

掌握了可移動硬盤的基本想法，然后再結(jié)合組策略來控制用戶使用USB移動存儲設備。 具體操作步驟如下。通過步驟可以了解該方法是如何有選擇性的禁用U盤的，當然，在實際操作中，也可以按照自己的需要選擇相應的策略[8]。

3.1 組策略控制可移動設備的操作步驟

1） 將移動設備插入電腦上，檢測到新設備。

2） 先判定用戶是否是管理員？若是進入下一步，否則進入到第四步。

3） 問是否啟用“允許管理員忽略設備安裝限制策略”策略？若選擇是，就允許安裝USB設備。否則進入到下一步。

4） 問設備是否列在其中一個“禁止安裝”策略？若選擇是則禁止安裝USB設備，否則進入下一步。

5） 問是否已啟用“禁止安裝未有其他策略描述的設備“策略？若選擇是進入下一步，否則禁止安裝USB設備。

6） 問設備是否列在其中一個“允許安裝”策略中？若選擇是則允許安裝USB設備，否則禁止安裝USB設備。

3.2 組策略控制可移動設備的解決方案 圖8

總之，以上操作是利用組策略來實現(xiàn)對U盤的管理。它不但可以控制和安裝可移動設備，而且還可以隨心所欲的使用可移動設備。從而做到了“按需分配”，并且還能高效地控制可移動設備訪問權(quán)限。組策略技術(shù)使我們高校的機房管理更安全，更科學，真正實現(xiàn)了有選擇性的禁用優(yōu)盤。

參考文獻：

[1] ZHU XIN. YONG禁用USB存儲方法[J].電腦愛好者，2009（3）：35.

[2] Microsoft.如何禁用U盤[EB/OL].HTTP：//support.microsoft.com/kb/823732，2008-05-28.

[3] 路原等.windows環(huán)境下USB設備驅(qū)動程序的開發(fā)[J].國外電子元器件，2007（7）：28.

[4] windows xp ddk[m/cd].2006-1-12.

[5] 公司 禁用U盤的四種設置方法[EB/OL].[2006-11-23]http：//www.enet.com.cn/article/2006/1123/A2006112303615.shtml.

[6] 王風茂，劉陽.Windows Server 2003配置與管理實用案例教程[M].大連：大連理工大學出版社，2008.

[7] 馮馬.使用組策略限制磁盤文件的訪問[J].網(wǎng)絡與信息，2009（10）.

[8] 楊玉祥.禁止組策略的解決方案[N].中國電腦教育報，2003.