組策略最容易引起誤解的是它的名字──組策略并不是將策略運(yùn)用到組中去的方法！與之相反的是，組策略通過將組策略鏈接到活動目錄容器(通常就是組織單元，但也包括域和站點(diǎn))對象而施行于個(gè)體或單獨(dú)用戶賬戶以及計(jì)算機(jī)賬戶。這里的組策略對象，就是策略設(shè)置的集合。

雖然通過組策略來限制可移動設(shè)備并不是一個(gè)十分出色的網(wǎng)絡(luò)安全解決方案，因?yàn)橐粋€(gè)已經(jīng)安裝了存儲設(shè)備(如安裝了一個(gè)USB驅(qū)動設(shè)備)的用戶，可以繼續(xù)使用它。不過我們還是可以進(jìn)行一些細(xì)微的設(shè)置，這些設(shè)置可以允許你通過設(shè)備的ID來限制特定的可移動存儲設(shè)備。

很難說哪一種安全威脅對你的網(wǎng)絡(luò)數(shù)據(jù)影響最大。由于幾個(gè)原因，我趨向于認(rèn)為可移動存儲設(shè)備，特別是USB驅(qū)動設(shè)備，應(yīng)該位于列表的頂部。原因1：USB儲存設(shè)備非常容易被忽略。第二個(gè)原因：有一個(gè)簡單的事實(shí)是，你可以將很大的數(shù)據(jù)(如多達(dá)4GB的數(shù)據(jù))存儲到一個(gè)USB驅(qū)動器上，這也就意味著用戶可以將同樣大的應(yīng)用程序帶到企業(yè)中。它還意味著用戶可以將多達(dá)4GB的數(shù)據(jù)從企業(yè)帶走。用戶可以訪問的任何數(shù)據(jù)都可以輕松地復(fù)制到這些驅(qū)動器上。而且USB設(shè)備本身體積很小，這使得用戶可以方便地將它帶入、帶出企業(yè)。

筆者曾與一些網(wǎng)管員談到USB儲存設(shè)備的安全風(fēng)險(xiǎn)問題。不過，這些網(wǎng)管員最通用的做法是禁用工作站上的USB端口。有一些較新的機(jī)器允許你通過BIOS禁用USB端口，不過大多數(shù)老機(jī)器并沒有提供這個(gè)能力。這種情況下，還有一種方案最常用，那就是用膠布將USB端口封住以此來阻止其使用。

雖然這些方法都可以起到一定的作用，不過，都有一些缺點(diǎn)。對于操作者來說，這些方法都是“勞動密集型的吧，也就是說太難于實(shí)施。另外一個(gè)問題是禁用USB端口并沒有徹底地解決用戶訪問可移動媒體的問題。用戶可以輕松地使用FireWire硬盤驅(qū)動器、可移動的DVD驅(qū)動器作為另外一種選擇。

在所有的這些方法中,最大的弊端就在于永久性地禁用USB端口會使用戶沒法使用USB設(shè)備并且使得這些端口不能被支持的用戶訪問。此外，偶爾也會有一些合法的理由使得USB端口應(yīng)該可用。例如，有些工作需要用戶擁有一個(gè)連接到其PC上的USB掃描儀。

幸運(yùn)的是，微軟的Windows Vista(還有其著名的Windows Server 2008 (Longhorn))一個(gè)重要目標(biāo)就是就是給管理員控制工作站使用硬件的方法提供了更好的控制?，F(xiàn)在我們可以借助于組策略來控制對可移動稿設(shè)備的訪問。

限制對USB存儲設(shè)備訪問的組策略設(shè)置目前只是在Windows Vista中可用。目前，這也就意味著你只能在本地計(jì)算機(jī)的層次上設(shè)置組策略。在Windows Server 2008發(fā)布之后，你就可以在域中、站點(diǎn)中或OU層次上設(shè)置這些組策略(當(dāng)然，前提是你有一個(gè)Windows Server 2008的域控制器)。

要訪問必須的組策略設(shè)置，你必須打開“組策略對象編輯器( Group Policy Object Editor)。因此，請單擊“開始/“所有程序/“附件( 英文操作系統(tǒng)是Start / All Programs/ AccessorIEs，筆者用得是英文系統(tǒng))。下一步，輸入MMC命令。這會使Windows打開一個(gè)空的微軟管理控制臺(Microsoft Management Console)。在控制臺打開后，從“文件(File)菜單中選擇“添加/刪除管理單元( Add / Remove Snap-In)。從管理單元列表中選擇組策略對象(Group Policy Object)選項(xiàng)，然后單擊“添加(Add)按鈕。默認(rèn)情況下，這個(gè)管理單元會連接到本地計(jì)算機(jī)策略(Local Computer policy)，因此直接單擊“確定(ok),然后單擊“完成(Finish)即可。

本地計(jì)算機(jī)策略會被裝載到控制臺中。現(xiàn)在，導(dǎo)航到“計(jì)算機(jī)配置　“管理模板　“系統(tǒng)　“設(shè)備安裝　“設(shè)備安裝限制(英文系統(tǒng)是找到 Computer Configuration Administrative Templates System Device Installation Device Installation Restrictions)。在如此操作時(shí)，細(xì)節(jié)窗格會顯示幾個(gè)與安裝硬件設(shè)備相關(guān)的幾個(gè)限制，如下圖所示：

有許多與限制設(shè)備安裝相關(guān)的設(shè)置。這些設(shè)置并非必然地、特定地與可移動設(shè)備相關(guān)聯(lián)，而是從總體上與硬件設(shè)備相關(guān)聯(lián)。這里的基本思想也就是，如果你限制了用戶安裝設(shè)備，也就阻止了任何你沒有專門啟用的設(shè)備。

關(guān)于可移動設(shè)備問題，你可以對兩項(xiàng)策略設(shè)置給予特別注意：第一項(xiàng)設(shè)置是“允許管理員覆蓋設(shè)備安裝限制( Allow Administrators to Override Device Installation Restrictions)，如果你實(shí)施了任何的設(shè)備限制的設(shè)置，那么你有必要啟用這項(xiàng)設(shè)置。否則，即使管理員也不能在工作站上安裝任何的新硬件。

第二項(xiàng)重要的設(shè)置是“防止安裝可移動設(shè)備( Prevent Installation of Removable Devices)。如果你啟用了這項(xiàng)設(shè)置，那么用戶就不能安裝可移動設(shè)備。如果一個(gè)用戶已經(jīng)在系統(tǒng)中使用了一個(gè)可移動設(shè)備，就會存在一個(gè)此可移動設(shè)備的驅(qū)動程序，因此用戶就會繼續(xù)使用它。不過，該用戶將絕不可能更新設(shè)備的驅(qū)動程序。

其實(shí)，我們通過Windows Vista可以設(shè)置的安全措施還有很多，這有待你去進(jìn)一步去探索、發(fā)現(xiàn)。

要訪問必須的組策略設(shè)置，你必須打開“組策略對象編輯器( Group Policy Object Editor)。因此，請單擊“開始/“所有程序/“附件( 英文操作系統(tǒng)是Start / All Programs/ AccessorIEs，筆者用得是英文系統(tǒng))。下一步，輸入MMC命令。這會使Windows打開一個(gè)空的微軟管理控制臺(Microsoft Management Console)。在控制臺打開后，從“文件(File)菜單中選擇“添加/刪除管理單元( Add / Remove Snap-In)。從管理單元列表中選擇組策略對象(Group Policy Object)選項(xiàng)，然后單擊“添加(Add)按鈕。默認(rèn)情況下，這個(gè)管理單元會連接到本地計(jì)算機(jī)策略(Local Computer policy)，因此直接單擊“確定(ok),然后單擊“完成(Finish)即可。

本地計(jì)算機(jī)策略會被裝載到控制臺中?，F(xiàn)在，導(dǎo)航到“計(jì)算機(jī)配置　“管理模板　“系統(tǒng)　“設(shè)備安裝　“設(shè)備安裝限制(英文系統(tǒng)是找到 Computer Configuration Administrative Templates System Device Installation Device Installation Restrictions)。在如此操作時(shí)，細(xì)節(jié)窗格會顯示幾個(gè)與安裝硬件設(shè)備相關(guān)的幾個(gè)限制，如下圖所示：

有許多與限制設(shè)備安裝相關(guān)的設(shè)置。這些設(shè)置并非必然地、特定地與可移動設(shè)備相關(guān)聯(lián)，而是從總體上與硬件設(shè)備相關(guān)聯(lián)。這里的基本思想也就是，如果你限制了用戶安裝設(shè)備，也就阻止了任何你沒有專門啟用的設(shè)備。

關(guān)于可移動設(shè)備問題，你可以對兩項(xiàng)策略設(shè)置給予特別注意：第一項(xiàng)設(shè)置是“允許管理員覆蓋設(shè)備安裝限制( Allow Administrators to Override Device Installation Restrictions)，如果你實(shí)施了任何的設(shè)備限制的設(shè)置，那么你有必要啟用這項(xiàng)設(shè)置。否則，即使管理員也不能在工作站上安裝任何的新硬件。

第二項(xiàng)重要的設(shè)置是“防止安裝可移動設(shè)備( Prevent Installation of Removable Devices)。如果你啟用了這項(xiàng)設(shè)置，那么用戶就不能安裝可移動設(shè)備。如果一個(gè)用戶已經(jīng)在系統(tǒng)中使用了一個(gè)可移動設(shè)備，就會存在一個(gè)此可移動設(shè)備的驅(qū)動程序，因此用戶就會繼續(xù)使用它。不過，該用戶將絕不可能更新設(shè)備的驅(qū)動程序。

其實(shí)，我們通過Windows Vista可以設(shè)置的安全措施還有很多，這有待你去進(jìn)一步去探索、發(fā)現(xiàn)。

如果你是Windows 2000或XP用戶，那么你仔細(xì)看一下，在這里教大家一招金蟬脫竅而且只需要這一招就能克死所有病毒！如果你是新裝的系統(tǒng)（或者是你能確認(rèn)你的系統(tǒng)當(dāng)前是無毒的），那就再好不過了，現(xiàn)在就立即就打開：“開始→程序→管理工具→計(jì)算機(jī)管理→本地用戶和組→用戶 ！

首先就是把超級管理員密碼更改成十位數(shù)以上，然后再建立一個(gè)用戶，把它的密碼也設(shè)置成十位以上并且提升為超級管理員。這樣做的目的是為了雙保險(xiǎn)：如果你忘記了其中一個(gè)密碼，還有使用另一個(gè)超管密碼登陸來挽回的余地，免得你被拒絕于系統(tǒng)之外；再者就是網(wǎng)上的黑客無法再通過猜測你系統(tǒng)超管密碼的方式遠(yuǎn)程獲得你系統(tǒng)的控制權(quán)而進(jìn)行破壞。

接著再添加兩個(gè)用戶，比如用戶名分別為：user1、user2；并且指定他們屬于user組，好了，準(zhǔn)備工作到這里就全部完成了，以后你除了必要的維護(hù)計(jì)算機(jī)外就不要使用超級管理員和user2登陸了。只使用user1登陸就可以了。

登陸之后上網(wǎng)的時(shí)候找到IE，并為它建立一個(gè)快捷方式到桌面上，右鍵單擊快捷方式，選擇“以其他用戶方式運(yùn)行點(diǎn)確定！要上網(wǎng)的時(shí)候就點(diǎn)這個(gè)快捷方式，它會跟你要用戶名和密碼這時(shí)候你就輸入user2的用戶名和密碼！好了，現(xiàn)在你可以使用這個(gè)打開的窗口去上網(wǎng)了，可以隨你便去放心的瀏覽任何惡毒的、惡意的、網(wǎng)站跟網(wǎng)頁，而不必再擔(dān)心中招了！

因?yàn)槟惝?dāng)前的系統(tǒng)活動的用戶時(shí)user1，而user2是不活動的用戶，我們使用這個(gè)不活動的用戶去上網(wǎng)時(shí)，無論多聰明的網(wǎng)站，通過ie得到的信息都將讓它都將以為這個(gè)user2就是你當(dāng)前活動的用戶，如果它要在你瀏覽時(shí)用惡意代碼對你的系統(tǒng)搞搞破壞的話根本就時(shí)行不通的，即使能行通，那么被修改掉的僅僅時(shí)use2的一個(gè)配置文件罷了，而很多惡意代碼和病毒試圖通過user2進(jìn)行的破壞活動卻都將失敗，因?yàn)?user2根本就沒運(yùn)行，怎么能取得系統(tǒng)的操作權(quán)呢？？

既然取不得，也就對你無可奈何了。而他們更不可能跨越用戶來操作，因?yàn)槲④浀门渲帽緛砭褪歉鞲饔脩糁g是獨(dú)立的，就象別人不可能跑到我家占據(jù)我睡覺用的床一樣，它們無法占據(jù)user1的位置！

所以你只要能保證總是以這個(gè)user2用戶做代理來上網(wǎng)（但卻不要使用user2來登陸系統(tǒng)，因?yàn)槿绻菢拥脑挘绻鹵ser2以前中過什么網(wǎng)頁病毒，那么在user2登陸的同時(shí)，他們極有可能被激活！），那么無論你中多少網(wǎng)頁病毒，全部都將是無法運(yùn)行或被你當(dāng)前的user1用戶加載的，所以你當(dāng)前的系統(tǒng)將永遠(yuǎn)無毒！

不過總有疏忽的時(shí)候，一個(gè)不小心中毒了怎么辦？

不用擔(dān)心，現(xiàn)在我們就可以來盡情的表演脫殼的技術(shù)了！

開始金蟬脫殼：

重新啟動計(jì)算機(jī)，使用超級管理員登陸進(jìn)入系統(tǒng)后什么程序都不要運(yùn)行

你會驚奇的發(fā)現(xiàn)在的系統(tǒng)竟然表現(xiàn)的完全無毒！，那就再好不過了，現(xiàn)在就立即就打開：“開始→程序→管理工具→計(jì)算機(jī)管理→本地用戶和組→用戶 吧！

把里面的user1和user2兩個(gè)用戶權(quán)刪掉吧，你只需要這么輕輕的一刪就可以了，那么以前隨著這兩個(gè)用戶而存在的病毒也就跟隨著這兩個(gè)用戶的消失而一起去長眠了（好象是陪葬，呵呵?。＿@么做過之后我保證你的win 2000就象新裝的一個(gè)樣，任何系統(tǒng)文件和系統(tǒng)進(jìn)程里都完全是沒有病毒的！

好！現(xiàn)在再重復(fù)開始的步驟從新建立user1和user2兩個(gè)用戶，讓他們復(fù)活吧。他們復(fù)活是復(fù)活了，但是曾跟隨了他們的病毒卻是沒這機(jī)會了，因?yàn)?win 2000重新建立用戶的時(shí)候會重新分配給他們?nèi)碌呐渲?，而這個(gè)配置是全新的也是不可能包含病毒的！

建立完成之后立即注銷超級管理員，轉(zhuǎn)如使用 user1登陸，繼續(xù)你象做的事吧，你會發(fā)現(xiàn)你的系統(tǒng)如同全新了！以上方法可以周而復(fù)始的用，再加上經(jīng)常的去打微軟的補(bǔ)丁，幾乎可以永遠(yuǎn)保證你的操作系統(tǒng)是無毒狀態(tài)！只要你能遵循以下幾條規(guī)轍：

一、任何時(shí)間都不以超級管理員的身份登陸系統(tǒng)除非你要進(jìn)行系統(tǒng)級更新和維護(hù)、需要使用超級管理員身份的時(shí)候或是你需要添加和刪除用戶的時(shí)候。

二、必須使用超級管理員登陸的時(shí)候，保證不使用和運(yùn)行任何除了操作系統(tǒng)自帶的工具和程序之外的任何東西，而且所有維護(hù)都只通過開始菜單里的選項(xiàng)來完成，甚至連使用資源管理器去瀏覽硬盤都不！只做做用戶和系統(tǒng)的管理和維護(hù)就立即退出，而決不多做逗留?。ㄟ@也是微軟的要求，微軟最了解自己的東東，他的建議是正確的。瀏覽硬盤的事，在其他用戶身份下你有大把的機(jī)會，在超級管理員的身份下還是不要了?。∵@應(yīng)該事能完全作到的）。

上面的都做到了，那么排除了硬件和誤操作原因、、病毒跟系統(tǒng)癱瘓都將與你無緣了……

在實(shí)際中，我發(fā)現(xiàn)經(jīng)常使用的user1(普通用戶)，很多軟件無法使用，所以我建議改為超級用戶，那樣很多的軟件都可以用的。

一般來說安裝上殺毒軟件是比較好的，因?yàn)閾?jù)說該方法只可以防止IE漏洞的病毒。

本人計(jì)算機(jī)的設(shè)置：超級管理員一個(gè)(已經(jīng)把默認(rèn)的用戶名改了)，超級用戶一個(gè)，普通用戶一個(gè)(并為他們設(shè)置上密碼)，

它們均設(shè)置了密碼，其他擁護(hù)已經(jīng)停止使用。由于用默認(rèn)桌面上的那個(gè)IE創(chuàng)的快捷方式“以其他用戶方式運(yùn)行無法選擇(打上勾)，我發(fā)現(xiàn)任務(wù)欄上的啟動那里的和開始→程序上的IE快捷方式可以，只要有可以打上勾的，我們就可以完成下一步的工作了。

要訪問必須的組策略設(shè)置，你必須打開“組策略對象編輯器( Group Policy Object Editor)。因此，請單擊“開始/“所有程序/“附件( 英文操作系統(tǒng)是Start / All Programs/ AccessorIEs，筆者用得是英文系統(tǒng))。下一步，輸入MMC命令。這會使Windows打開一個(gè)空的微軟管理控制臺(Microsoft Management Console)。在控制臺打開后，從“文件(File)菜單中選擇“添加/刪除管理單元( Add / Remove Snap-In)。從管理單元列表中選擇組策略對象(Group Policy Object)選項(xiàng)，然后單擊“添加(Add)按鈕。默認(rèn)情況下，這個(gè)管理單元會連接到本地計(jì)算機(jī)策略(Local Computer policy)，因此直接單擊“確定(ok),然后單擊“完成(Finish)即可。

本地計(jì)算機(jī)策略會被裝載到控制臺中。現(xiàn)在，導(dǎo)航到“計(jì)算機(jī)配置　“管理模板　“系統(tǒng)　“設(shè)備安裝　“設(shè)備安裝限制(英文系統(tǒng)是找到 Computer Configuration Administrative Templates System Device Installation Device Installation Restrictions)。在如此操作時(shí)，細(xì)節(jié)窗格會顯示幾個(gè)與安裝硬件設(shè)備相關(guān)的幾個(gè)限制，如下圖所示：

有許多與限制設(shè)備安裝相關(guān)的設(shè)置。這些設(shè)置并非必然地、特定地與可移動設(shè)備相關(guān)聯(lián)，而是從總體上與硬件設(shè)備相關(guān)聯(lián)。這里的基本思想也就是，如果你限制了用戶安裝設(shè)備，也就阻止了任何你沒有專門啟用的設(shè)備。

關(guān)于可移動設(shè)備問題，你可以對兩項(xiàng)策略設(shè)置給予特別注意：第一項(xiàng)設(shè)置是“允許管理員覆蓋設(shè)備安裝限制( Allow Administrators to Override Device Installation Restrictions)，如果你實(shí)施了任何的設(shè)備限制的設(shè)置，那么你有必要啟用這項(xiàng)設(shè)置。否則，即使管理員也不能在工作站上安裝任何的新硬件。

第二項(xiàng)重要的設(shè)置是“防止安裝可移動設(shè)備( Prevent Installation of Removable Devices)。如果你啟用了這項(xiàng)設(shè)置，那么用戶就不能安裝可移動設(shè)備。如果一個(gè)用戶已經(jīng)在系統(tǒng)中使用了一個(gè)可移動設(shè)備，就會存在一個(gè)此可移動設(shè)備的驅(qū)動程序，因此用戶就會繼續(xù)使用它。不過，該用戶將絕不可能更新設(shè)備的驅(qū)動程序。

其實(shí)，我們通過Windows Vista可以設(shè)置的安全措施還有很多，這有待你去進(jìn)一步去探索、發(fā)現(xiàn)。

要訪問必須的組策略設(shè)置，你必須打開“組策略對象編輯器( Group Policy Object Editor)。因此，請單擊“開始/“所有程序/“附件( 英文操作系統(tǒng)是Start / All Programs/ AccessorIEs，筆者用得是英文系統(tǒng))。下一步，輸入MMC命令。這會使Windows打開一個(gè)空的微軟管理控制臺(Microsoft Management Console)。在控制臺打開后，從“文件(File)菜單中選擇“添加/刪除管理單元( Add / Remove Snap-In)。從管理單元列表中選擇組策略對象(Group Policy Object)選項(xiàng)，然后單擊“添加(Add)按鈕。默認(rèn)情況下，這個(gè)管理單元會連接到本地計(jì)算機(jī)策略(Local Computer policy)，因此直接單擊“確定(ok),然后單擊“完成(Finish)即可。

本地計(jì)算機(jī)策略會被裝載到控制臺中?，F(xiàn)在，導(dǎo)航到“計(jì)算機(jī)配置　“管理模板　“系統(tǒng)　“設(shè)備安裝　“設(shè)備安裝限制(英文系統(tǒng)是找到 Computer Configuration Administrative Templates System Device Installation Device Installation Restrictions)。在如此操作時(shí)，細(xì)節(jié)窗格會顯示幾個(gè)與安裝硬件設(shè)備相關(guān)的幾個(gè)限制，如下圖所示：

有許多與限制設(shè)備安裝相關(guān)的設(shè)置。這些設(shè)置并非必然地、特定地與可移動設(shè)備相關(guān)聯(lián)，而是從總體上與硬件設(shè)備相關(guān)聯(lián)。這里的基本思想也就是，如果你限制了用戶安裝設(shè)備，也就阻止了任何你沒有專門啟用的設(shè)備。

關(guān)于可移動設(shè)備問題，你可以對兩項(xiàng)策略設(shè)置給予特別注意：第一項(xiàng)設(shè)置是“允許管理員覆蓋設(shè)備安裝限制( Allow Administrators to Override Device Installation Restrictions)，如果你實(shí)施了任何的設(shè)備限制的設(shè)置，那么你有必要啟用這項(xiàng)設(shè)置。否則，即使管理員也不能在工作站上安裝任何的新硬件。

第二項(xiàng)重要的設(shè)置是“防止安裝可移動設(shè)備( Prevent Installation of Removable Devices)。如果你啟用了這項(xiàng)設(shè)置，那么用戶就不能安裝可移動設(shè)備。如果一個(gè)用戶已經(jīng)在系統(tǒng)中使用了一個(gè)可移動設(shè)備，就會存在一個(gè)此可移動設(shè)備的驅(qū)動程序，因此用戶就會繼續(xù)使用它。不過，該用戶將絕不可能更新設(shè)備的驅(qū)動程序。

其實(shí)，我們通過Windows Vista可以設(shè)置的安全措施還有很多，這有待你去進(jìn)一步去探索、發(fā)現(xiàn)。