软盘已经成为尘封的历史,现在没用过u盘的电脑用户恐怕真的很少了。u盘以其越来越小的体积、迅速扩大的容量和更便宜的价格成功取代了软盘,成为主流的移动存储介质。
便利的同时也带来了巨大的安全隐患。u盘已经成为网络外数量最多的病毒和恶意程序。病毒或恶意程序在不经意间感染了你的电脑。
难道我们总是只能借助杀毒软件被动防御吗?就像汽车安全技术一样,Windows 7除了被动防御之外,还提供了主动防御的技术。——限制可移动存储上程序的运行。
启动这个功能也很方便。直接运行gpedit.msc,打开本地组策略编辑器,找到计算机配置,然后展开找到管理模板,然后点击系统,找到并点击可移动存储访问。在右侧,将显示与可移动存储访问相关的所有可设置策略。
u盘属于移动盘,我们来看看如何设置移动盘的访问策略。
自Windows Vista以来,系统已经能够限制可移动磁盘的读写。这个大家应该都不陌生。而且,仅仅限制u盘的读写也不能满足我们的需求。不识字就不会感染病毒,但也失去了u盘的意义。不会写可以防止信息外流,但不能防止病毒的入侵。
我们需要的是Windows 7提供的新功能,拒绝执行权限。
单击该策略并选择“Enabled”以打开该策略。如果启用此策略设置,将拒绝可移动存储类的执行权限。如果禁用或不配置此策略设置,将允许您执行此可移动存储类。
设置好这个策略后,我们来运行一下u盘上的程序,看看吧。系统直接给出不允许运行的提示:
虽然这个提示类似于UAC,但不能通过更改流水账来执行。除非更改策略以允许执行权限。
如果您设置了拒绝读取权限的策略,您将无法访问u盘上的信息。
如果设置了拒绝写权限的策略,信息将无法写入u盘。
我们来讨论一下。对于CD/DVD介质,也可以像u盘一样进行限制。防止光盘自动运行并传播病毒。
读卡器,MP3/MP4,数码相机,甚至手机呢?这些都可以通过USB接口读写。在系统中,这些设备被归类为WPD,它们的读取或写入会受到限制。
总会有不标准的设备吧?在这种情况下,系统还提供了“自定义类”的设置,只要写设备的GUID,就可以限制设备的读写。
如果你是一个企业的管理员,你不必去每一台机器上设置,但你可以通过组策略快速实施策略。
好了,现在我再也不怕借给同事的u盘带着病毒回来了。
