移动设备安全靠策略

停用自动播放功能

Windows系统自动播放移动设备窗口内容的特性，常常会被恶意病毒利用，成为病毒自动发作运行的良好载体。为了不让移动设备成为病毒木马传播的温床，立即停用Windows系统自动播放移动设备的功能，是相当有必要的。在停用自动播放功能时，不妨进行如下设置操作：

首先，在移动设备待插计算机系统中，逐一点击“开始”、“运行”命令，展开系统运行对话框，输入“gpedit.msc”命令并回车，开启系统组策略编辑器运行状态，在组策略编辑窗口左侧列表中，将鼠标定位到“本地计算机策略”、“计算机配置”、“管理模板”、“系统”节点上，从目标节点下面选中“关闭自动播放”组策略，打开该选项的右键菜单，点击“属性”命令，切换到如图1所示的组策略属性对话框。

图1 组策略属性对话框

检查这里的“已启用”选项是否已被选中，如果发现其没有被选中时，应该及时将其重新选中，再从“关闭自动播放”位置处选中“所有驱动器”选项，确认后保存设置操作。

这样，日后任何移动设备插入到本地计算机后，Windows系统都不会自动播放其中的内容了，这时潜藏在移动设备中的病毒木马也就无法发作攻击本地系统或网络了，除非用户自己双击移动设备图标，网络病毒才会有机会激活运行。

当然，这种方法停用移动设备自动播放功能比较极端，它会对光盘的自动播放带来影响。

按需分配操作权限

在移动设备随处可见的今天，网络环境中的很多隐私数据往往会被移动设备顺带“捎走”。为了预防这种现象发生，很多人会通过BIOS设置简单封死计算机主板上的USB接口，但这也意味着合法用户也无法使用移动设备保存数据。其实，我们可以进行适当设置操作，为不同级别的用户设置不同的移动设备操作权限。例如，要想让“asd”用户可以正常显示移动设备，又可以成功读写其中的内容，让“fgh”用户无法读写移动设备中的内容时，只要进行下面的设置操作：

首先，依次单击“开始”、“运行”命令，弹出系统运行对话框，输入“notepad.exe”命令，启动运行记事本应用程序，创建一个让“asd”用户可以正常显示移动设备，又可以成功读写其中内容的批处理文件，假设该文件名称为“asd.bat”，在该文件编辑窗口中输入如下命令代码：

这里的第一行代码表示可以查看移动设备分区窗口，第二行代码表示可以向移动设备读取和写入数据。

图2 组策略属性对话框

同样地，再创建一个让fgh”用户无法读写移动设备内容的批处理文件。接着，以“asd”用户账号登录计算机，依次单击“开始”、“运行”命令，弹出系统运行对话框，输入“gpedit.msc”命令，打开系统组策略编辑窗口，在该窗口的左侧列表中，将鼠标定位到“本地计算机策略”、“计算机配置”、“Windows设 置”、“脚 本（启动/关机）”节点上，选中该节点下的“启动”组策略，并用鼠标双击之，展开如图2所示的组策略属性对话框。点击“添加”按钮，将之前创建好的、能正常显示移动设备又能成功读写其内容的“asd.bat”批处理文件添加进来，确认后返回。日后，“asd”用户每次成功登录计算机系统时，都会自动调用“asd.bat”批处理文件，这样“asd”用户既能查看移动设备窗口内容，又能对其中的内容进行读写操作。

换成“fgh”用户账号登录本地计算机系统，开启系统组策略编辑器运行状态，逐一展开“本地计算机策 略”、“计 算机配 置”、“Windows设置”、“脚本（启动/关机）”节点，双击该节点下的“启动”组策略，在其中导入之前创建好的“fgh.bat”批处理文件，单击“确定”按钮执行设置保存操作。日后，“fgh”用户每次登录进入本地计算机后，都会自动调用“fgh.bat”批处理文件，这样本地计算机中的USB接口会被禁止使用，那么“fgh”用户此时插入移动设备，也无法使用它带走本地计算机中的隐私数据。

安装特定移动设备

大家知道，简单地限制计算机主板上的USB接口，会影响计算机主人使用移动设备。为了既能限制别人使用移动设备，又不影响用户自己使用移动设备，我们能否让Windows系统变得更智能一些，仅允许安装用户主人的移动设备，而不允许安装其他移动设备呢？答案是肯定的！在Windows 7系统环境下，我们就能使用相对“温和”的方法，仅允许Windows系统安装特定用户的移动设备。

例如，现在想让Windows 7系统只安装笔者自己的移动硬盘设备，而禁用其他移动设备，要做到这一点，可以先将自己的移动设备插入到计算机主板上的USB接口中，让Windows系统能够正常识别并访问它，之后依次单击“开始”、“控制面板”命令，弹出系统控制面板窗口，用鼠标双击其中的“设备管理器”图标，从设备管理器界面中展开“便携设备”分支，找到自己的移动硬盘设备。

用鼠标右键单击移动硬盘设备图标，点击右键菜单中的“属性”命令，展开移动硬盘属性对话框，选择“详细信息”选项卡，在对应选项设置页面的“属性”位置处，选中“硬件ID”选项，这时在“值”位置处会出现一个字符串，它就是笔者所用移动硬盘的设备ID，将该数值记忆下来，接着返回到设备管理器窗口，展开“通用串行总线控制器”节点，选中该节点下的“USB大容量存储设备”选项，打开该选项的右键菜单，点击“属性”命令，选择该设备属性框中的“详细信息”选项卡，在对应选项设置页面的“属性”位置处，选中“硬件ID”选项，同时将该选项的数值也记忆下来。

图3 “禁止安装未由其他策略设置描述的设备”组策略

找到笔者所用移动设备的硬件ID后，现在就能使用组策略实现限制安装设备目的了。依次单击“开始”、“运行”命令，弹出系统运行对话框，输入“gpedit.msc”命令，打开系统组策略编辑窗口，在该窗口的左侧列表中，将鼠标定位到“本地计算机策略”、“计算机配置”、“管理模板”、“系统”、“设备安装”、“设备安装限制”节点上，双击该节点下的“禁止安装未由其他策略设置描述的设备”组策略（如图3所示），在其后出现的组策略属性对话框中，将“已启用”选中，单击“确定”按钮保存设置操作，这样Windows系统日后会自动禁止安装策略设置描述的移动设备。

之后，再次将鼠标定位到“本地计算机策略”、“计算机配置”、“管理 模板”、“系统”、“设备安装”、“设备安装限制”节点上，找到该节点下的“允许安装与下列设备ID相匹配的设备”组策略，并用鼠标双击之，在其后弹出的设置界面中，将之前记忆下来的合法设备ID导入进来，确认后保存设置操作。

这样，Windows系统日后就能智能识别笔者的移动硬盘设备，而不会安装其他移动设备了。

禁用自动运行命令

一些病毒木马之所以能够通过移动设备，轻易威胁网络或数据安全，主要是在该设备上悄悄写入了能够自动运行的恶意程序。在Windows 7系统环境下，我们可以通过合适设置，禁止Windows系统运行移动设备上的所有自启动命令，那么病毒木马也就无法将移动设备当成传播载体了。

依次单击“开始”、“运行”命令，弹出系统运行对话框，输入“gpedit.msc”命令，打开系统组策略编辑窗口，在该窗口的左侧列表中，将鼠标定位到“本地计算机策略”、“计算机配置”、“管理模板”、“Windows组件”、“自动播放策略”节点上。

其次找到该节点下的“自动运行的默认行为”选项，打开该选项的右键菜单，点击“属性”命令，切换到对应选项设置对话框，选中“已启用”选项，同时选中“不执行任何自动运行命令”选项，单击“确定”按钮结束设置操作。这样，Windows 7系统日后就能禁止运行移动设备上的所有自启动命令。