Vista安全功能之移动设备管理机制

　　六、允许某个USB移动设备安装到系统中而禁止其他设备安装：

　　要想实现容许某个USB移动设备安装到系统中而禁止其他设备的安装的话，我们只需要将指定设备的设备ID或GUID信息添加到组策略中的“容许使用与下列设备安装程序类相匹配的驱动程序安装设备”或“容许安装与下列设备ID相匹配的设备”即可，当然还需要结合“禁止安装可移动设备”选项才能实现容许某个USB移动设备安装到系统中而禁止其他设备安装的功能。

　　七、针对移动设备的访问权限进行控制：

　　有的时候我们希望能够查看到移动设备的信息，但是只分配一定的权限，例如当把某个设备连接到系统后只能管理员具备读写权限，而其他人只能读；或者直接针对所有设备的只读和读写权限进行分配。在Vista系统中也同样提供了对应的设置。

　　（1）针对某个设备的权限管理：

　　当我们把某个移动设备添加到系统中后就可以通过针对其盘符的共享权限进行分配了，这个和以往的操作系统设置类似，例如给everyone添加只读权限而给administrators组读写权限。保存后每次这个设备连接系统后都将继承之前设置的帐户访问权限，不会有任何改动。（如图5）

　　共享权限设置图

　　（2）针对所有设备的权限管理：

　　当然除了针对某个设备的权限管理，Vista还在组策略中添加了针对所有设备的权限管理功能。我们通过组策略中的“本地计算机策略->计算机配置->用户配置->管理模板->系统->可移动存储访问”可以看到这些设置信息，包括限制光驱的读取或写入，限制软盘驱动器，磁带驱动器，可移动磁盘和自定义类等设备的读取和写入权限，这样使得我们管理移动设备更加方便，防止病毒的随意入侵。（如图6）

　　可移动存储访问查看图

　　八、Vista移动设备管理机制适用的对象：

　　除了组策略中可以对移动设备特别是USB接口的设备进行权限控制外，Vista移动设备管理机制还可以对系统中的任何硬件设备的安装进行管理，例如光驱，鼠标，网卡，声卡等等。只需要我们找到这些设备的GUID号或设备ID号，然后在组策略中添加过滤规则，再删除这些设备的原有驱动程序即可。这样即使以后安装此硬件设备到计算机上也会因为驱动程序的安装被策略阻止而无法使用。

　　九、总结：

　　Vista系统中的移动设备管理机制有效的减少了病毒和黑客木马通过移动存储设备入侵系统的机率，帮助网络管理员更好的管理企业各个计算机的安全，通过组策略将管理策略分发到全域所有计算机，真正实现了高效管理的目的。