Vista组策略保障移动储存安全

核心提示：组策略最容易引起误解的是它的名字──组策略并不是将策略运用到组中去的方法!与之相反的是，组策略通过将组策略链接到活动目录容器(通常就是组织单元，Vista组策略保障移动储存安全，但也包括域和站点)对象而施行于个体或单独用户账户以及计算机账户，这里的组策略对象，也就是说太难于实施，另外一个问题是禁用USB端口并没有彻底地

组策略最容易引起误解的是它的名字──组策略并不是将策略运用到组中去的方法!与之相反的是，组策略通过将组策略链接到活动目录容器(通常就是组织单元，但也包括域和站点)对象而施行于个体或单独用户账户以及计算机账户。这里的组策略对象，就是策略设置的集合。

虽然通过组策略来限制可移动设备并不是一个十分出色的网络安全解决方案，因为一个已经安装了存储设备(如安装了一个USB驱动设备)的用户，可以继续使用它。不过我们还是可以进行一些细微的设置，这些设置可以允许你通过设备的ID来限制特定的可移动存储设备。

很难说哪一种安全威胁对你的网络数据影响最大。由于几个原因，我趋向于认为可移动存储设备，特别是USB驱动设备，应该位于列表的顶部。原因1：USB储存设备非常容易被忽略。第二个原因：有一个简单的事实是，你可以将很大的数据(如多达4GB的数据)存储到一个USB驱动器上，这也就意味着用户可以将同样大的应用程序带到企业中。它还意味着用户可以将多达4GB的数据从企业带走。用户可以访问的任何数据都可以轻松地复制到这些驱动器上。而且USB设备本身体积很小，这使得用户可以方便地将它带入、带出企业。

笔者曾与一些网管员谈到USB储存设备的安全风险问题。不过，这些网管员最通用的做法是禁用工作站上的USB端口。有一些较新的机器允许你通过BIOS禁用USB端口，不过大多数老机器并没有提供这个能力。这种情况下，还有一种方案最常用，那就是用胶布将USB端口封住以此来阻止其使用。

虽然这些方法都可以起到一定的作用，不过，都有一些缺点。对于操作者来说，这些方法都是“劳动密集型”的吧，也就是说太难于实施。另外一个问题是禁用USB端口并没有彻底地解决用户访问可移动媒体的问题。用户可以轻松地使用FireWire硬盘驱动器、可移动的DVD驱动器作为另外一种选择。