通过组策略管理硬件限制

事实的确如此：这些拇指 U 盘和各种可爱的可移动媒体能为您的个人生活带来方便，但会给工作环境带来隐患。您需要一种方式来控制。哪些硬件设备可以安装，哪些不可以安装。幸运的是，使用 Windows Vista™ 以及下一版 Windows Server®(代号为“Longhorn”)中的组策略，您可以选择允许安装 USB 鼠标，但不允许安装 U 盘;允许安装 CD-ROM 读取器，但不允许安装 DVD 写入器，或者允许安装蓝牙，但不允许安装 PCMCIA 卡。

组策略中有两个部分可帮助您保护硬件安全：“计算机配置”|“管理模板”|“系统”|“可移动存储访问”(请参阅图 1)和“计算机配置”|“管理模板”|“系统”|“设备安装”|“设备安装限制”(请参阅图 2)。

图 1 组策略中的预定义硬件限制 (单击该图像获得较大视图)

图 2 自定义要限制的硬件种类 (单击该图像获得较大视图)

第一组(可移动存储访问)很容易理解：如果为该类可移动存储设备(CD/DVD、软盘等)启用某一策略设置，则可以在需要时限制对所有这种类型设备的读取和/或写入。但是，它的限制功能没有“设备安装限制”强大。

在“可移动存储访问”中，包含名为“自定义类别：拒绝读取权限”和“自定义类别：拒绝写入权限”的策略设置组。这听起来不错，但可移动存储访问策略实际上并不禁止安装驱动程序 — 当检测到硬件时，表示已经安装了该类硬件的驱动程序。该策略只能禁止对设备的读取或写入。在下一部分中说明“设备安装限制”策略设置时，我将彻底禁止驱动程序本身的使用。