Vista安全功能之移动设备管理机制

　　Vista系统的诞生已经有一段时间了，作为主打美观和安全牌的Vista系统来说，在安全方面确实有很多令人眼前一亮的特色。相信我们IT168已经为大家介绍了不少新功能，今天笔者就详细介绍下在Vista系统中独有的移动设备管理机制。

　　一、移动设备管理机制的目的：

　　首先我们来了解下为什么Vista系统要引入这个移动设备管理机制，因为除了漏洞等隐患容易造成系统被病毒入侵外，另外一个最常见的黑客和病毒进入系统的途径就是通过移动存储设备了。带毒U盘或移动硬盘连接到系统中就会轻松感染本来干净的系统。而在Vista系统诞生之前作为网络管理员还不太好管理USB接口的访问权限，虽然可以通过配置USB驱动文件访问权限或者编辑注册表来完成，但是效果不好也容易出现限制失效的问题，特别是利用这些方法也将USB接口的打印机，扫描仪等设备拒之于系统大门外，非常不实用，无法满足日常工作和学习的需求。以上诸多原因迫使微软在Vista系统中引入了移动设备管理机制来帮助网络管理员更轻松更方便快捷的管理移动存储设备。

　　小提示：在Windows2000和windows XP系统中是通过对管理USB存储设备的系统文件权限加以限制，把%SystemRoot%\Inf\Usbstor.pnf和%SystemRoot%\Inf\Usbstor.inf两个文件的“完全控制”权限去掉，并结合修改注册表的方法来限制USB存储设备的接入。

　　二、启动移动设备管理机制：

　　在Vista系统中移动设备的管理机制是通过组策略完成的，一方面可以实现针对单机USB接口的管理，另一方面也可以通过组策略大面积批量推广到整个域中，真正实现了高效率的管理。启动移动设备管理机制的方法很简单，首先通过gpedit.msc进入Vista的组策略，然后定位到“本地计算机策略->计算机配置->管理模板->系统->设备安装->设备安装限制”，在该选项下有多个参数供我们设置。（如图1）

　　图1 设备好安装参数设置图

　　三、移动设备管理机制的应用原理：

　　在讲解具体实现管理（禁止和启用）USB设备连接和访问权限之前，应该了解下Vista系统移动设备管理机制的应用原理，否则很有可能出现一些问题我们无法解释而盲目的认为此机制没有效果。Vista系统的移动设备管理机制是在安装驱动程序上做文章的，也就是说通过配置禁止某USB设备驱动程序的安装来实现该设备无法使用的目的。这样我们就明白了只有这个设备第一次连接到Vista系统中才会涉及到安装驱动程序的步骤，从而实现访问权限的管理。因此如果该设备的驱动程序已经安装在Vista系统中的话，这种移动设备管理机制将没有任何效果。例如笔者曾经把闪存连接在Vista系统中并可以正常使用，那么即使在组策略中禁止所有USB设备的访问，连接该闪存也将能够看到里面的数据信息，因为他的驱动程序已经安装完毕，系统可以识别该设备。

　　小提示：如果我们想针对某个已经安装了驱动程序的设备进行控制管理的话，首先应该通过系统的“设备管理器”来删除该设备对应的驱动程序，再通过组策略来过滤禁止驱动的安装，从而实现阻止系统访问该设备的功能。

　　四、禁止USB移动设备安装到系统中：

　　下面通过实际例子来讲解如何禁止所有USB移动设备安装到系统中，当然这里所说的USB设备包括USB存储设备和USB接口打印扫描设备。首先进入到组策略的“本地计算机策略->计算机配置->管理模板->系统->设备安装->设备安装限制”中，在右边窗口中找到“禁止安全可移动设备”，双击该选项打开设置属性。将该参数启用将限制所有USB设备连接到Vista系统中，如果选择“未配置”和“已禁用”则将容许USB设备连接到系统中。（如图2）

　　禁止安装可移动设置图

　　当我们设置了禁止USB移动设备安装到系统中后，再将USB设备插到USB接口时会和往常一样进行驱动程序的安装，不过这个安装工作将被组策略中的移动设备管理设置禁止安装，任务栏上会显示“设备安装被策略阻止”。（如图3）

　　设备安装被策略阻制图

　　小结——这种方法将彻底禁止USB接口的使用，相应的USB存储设备和USB接口的打印扫描设备都将无法顺利使用。

　　五、仅仅禁止某个USB移动设备安装到系统中：

　　前面介绍的方法将禁止所有USB移动设备的连接与访问，容易出现错杀的问题，例如实际工作中需要用到一些办公USB设备，就不能通过上面提到的“禁止安全可移动设备”来设置了。这时可以采用针对单独的USB移动设备来控制访问权限。

　　首先进入到组策略的“本地计算机策略->计算机配置->管理模板->系统->设备安装->设备安装限制”中，在右边窗口中找到“阻止使用与下列设备安装程序类相匹配的驱动程序安装设备”，然后启用该参数，并添加该USB移动设备相匹配的驱动程序安装设备GUID号即可实现禁止该USB移动设备安装到系统中的目的，在实际使用中除了此设备外其他设备都可以顺利访问，只有这个设备被策略阻止”。

　　那么如何才能知道某个USB移动设备的GUID信息呢？所谓GUID即全局统一标识符，他是指在一台机器上生成的数字，它保证对在同一时空中的所有机器都是唯一的。通常平台会提供生成GUID的API。生成算法很有意思，用到了以太网卡地址、纳秒级时间、芯片ID码和许多可能的数字。GUID的唯一缺陷在于生成的结果串会比较大。GUID的格式为“xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx”，其中每个x是0-9 或a-f范围内的一个十六进制的数字。例如：337c7f2b-7a34-4f50-9141-bab9e6478cc8即为有效的GUID值。查看某个设备的GUID信息可以通过设备管理器中找到相应的设备，并浏览“属性”下的“详细信息”标签来辨别，在下拉菜单中找到“设备类GUID”即可了解。（如图4）

　　详细信息图

　　小提示：另外通过组策略中另外一个参数也可以实现限制安装某个USB移动设备的功能，该参数就是“阻止安装与下列任何设备ID相匹配的设备”，将其启用并添加设备ID信息即可，过滤方法和上面的一致。查看设备ID同样是通过设备管理器来查看，在设备管理器中找到相应的设备，通过“属性”下的“详细信息”标签来辨别。在下拉菜单中找到设备ID或硬件ID即可了解。