可移动设备的控制与实现

翟哲

摘要：USB可移动设备所造成病毒蔓延、数据外泄等问题日益严重。对USB移动设备进行有效控制，可以很好地保护USB移动存储设备的安全。文中介绍了控制USB移动设备的几种方法，分析已有方法的弊端，提出了利用组策略这种方法，完美地解决了有选择性的禁用USB移动设备问题，做到了人性化的管理。

关键词：USB移动设备；组策略；硬件ID

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2014）26-6253-04

Abstract：USB mobile devices， the problems caused by the spread of the virus， data leakage is more and more serious. To control the USB mobile device， can guarantee the USB mobile storage devices， effective security. This paper introduces several methods to control USB， the disadvantages of the existing methods， this method is proposed by using group policy， the perfect solution to the problem of disabling the USB mobile device， do the humanization of "distribution according to need.

Key words： USB mobile devices； Group Policy； Hard disk ID

在信息飞速发展时代，人们要进行大量信息存储和信息交换。优盘作为USB移动设备中的一种，它具有价格低、速度快、支持热插拔、存储容量大、体积小、连接灵活等优点，已广泛应用到了各种各样的场面。但任何事物都具有两面性。它在带来方便的同时也带来了一些安全风险，特别是在高校机房这样的公共学习环境中，因计算机都配有USB接口，学生很方便地插拔优盘，极易造成软件被破坏、计算机病毒被扩散、数据被泄露等问题。这就给机房维护员造成了维护上的负担，因此在某些环境下需要禁止优盘的使用。尤其是学校承担的国家级考试，使用计算机进行的各种无纸化考试，为了防止考生作弊、考题泄露和计算机病毒侵入考试系统就需要禁用优盘的使用。而另一方面是管理员还要用优盘对机房机器进行维护。所以，有选择性的禁用优盘对管理员来说是非常重要的。这样才能做到人性化的管理。

2 USB移动设备的基本思路

因为windows7系统使用全局唯一标记符（GUID）和设备标记字符串（硬件ID）两种类型来管理设备配置与安装[4]，所以在windows7操作系统中，当系统未在电脑上安装此设备时，它将会检测并查询该设备，然后在计算机上自动检索其设备标记字符串列表。制造商在生产设备时，一般都会为一个设备分配多个设备标记字符串。如果驱动程序包中包含的标记字符串与在Windows7中通过从设备中检索到设备标记字符串相搭配，那么就选择要安装的设备驱动程序包，从而完成该设备的安装。因为安装到计算机上的每个硬件编号（设备标记符）都是不一样的，所以我们只需知道要使用的硬件编号（设备标记符），那么就可以按照指定的可移动设备进行使用和安装。在电脑的“设备管理器”找到了硬件编号的值，下面我们就用组策略技术来管理控制硬件编号。

3 使用组策略来实现有选择性的管理U盘

Windows7组策略[6]其实是一个另类的注册表编辑器，主要是管理员为计算机和用户服务的，它既能控制网络资源，又能控制应用程序及操作系统行为的一种机制。这种技术可以实现各种策略的设置，如：软件策略、计算机策略和用户策略等。 组策略还可以将系统中重要的配置集合成各种配置模块，供计算机管理员直接使用，从而达到方便管理计算机的目的[7]。

掌握了可移动硬盘的基本想法，然后再结合组策略来控制用户使用USB移动存储设备。 具体操作步骤如下。通过步骤可以了解该方法是如何有选择性的禁用U盘的，当然，在实际操作中，也可以按照自己的需要选择相应的策略[8]。

3.1 组策略控制可移动设备的操作步骤

1） 将移动设备插入电脑上，检测到新设备。

2） 先判定用户是否是管理员？若是进入下一步，否则进入到第四步。

3） 问是否启用“允许管理员忽略设备安装限制策略”策略？若选择是，就允许安装USB设备。否则进入到下一步。

4） 问设备是否列在其中一个“禁止安装”策略？若选择是则禁止安装USB设备，否则进入下一步。

5） 问是否已启用“禁止安装未有其他策略描述的设备“策略？若选择是进入下一步，否则禁止安装USB设备。

6） 问设备是否列在其中一个“允许安装”策略中？若选择是则允许安装USB设备，否则禁止安装USB设备。

3.2 组策略控制可移动设备的解决方案 图8

总之，以上操作是利用组策略来实现对U盘的管理。它不但可以控制和安装可移动设备，而且还可以随心所欲的使用可移动设备。从而做到了“按需分配”，并且还能高效地控制可移动设备访问权限。组策略技术使我们高校的机房管理更安全，更科学，真正实现了有选择性的禁用优盘。

参考文献：

[1] ZHU XIN. YONG禁用USB存储方法[J].电脑爱好者，2009（3）：35.

[2] Microsoft.如何禁用U盘[EB/OL].HTTP：//support.microsoft.com/kb/823732，2008-05-28.

[3] 路原等.windows环境下USB设备驱动程序的开发[J].国外电子元器件，2007（7）：28.

[4] windows xp ddk[m/cd].2006-1-12.

[5] 公司 禁用U盘的四种设置方法[EB/OL].[2006-11-23]http：//www.enet.com.cn/article/2006/1123/A2006112303615.shtml.

[6] 王风茂，刘阳.Windows Server 2003配置与管理实用案例教程[M].大连：大连理工大学出版社，2008.

[7] 冯马.使用组策略限制磁盘文件的访问[J].网络与信息，2009（10）.

[8] 杨玉祥.禁止组策略的解决方案[N].中国电脑教育报，2003.