保护内部数据安全--禁用USB端口(3)

作者: 王磊 出处:网管员世界　2007-08-19 10:47　   砖    好    评论  条 　进入论坛

阅读提示：为了保证内部数据的安全，必须要从管理和技术两方面同时着手，一方面尽量避免将重要数据存放在公共空间，所有共享目录设置访问密码；另一方面就是采用最直接的手段——禁用USB端口。以下就是禁用USB端口的详细介绍。

但是禁用注册表并不能高枕无忧，因为用注册表导入的方法仍然可以直接修改注册表。
新建一个名为usb.reg的文本文件，输入以下内容：
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000003
双击该文件，将信息添加至注册表中，即可恢复使用USB设备。
要想连这种方法都禁掉，只有通过用户权限来实现了。新建一个用户User，隶属于USER组，User用户是没有权利修改注册表的，这样，以User用户登录后，即便有以上的usb.reg文件，添加至注册表时也将被拒绝。
组策略详解
组策略就是修改注册表中的配置，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，比手工修改注册表方便、灵活，功能也更加强大。组策略中的设置都将在注册表中反映，每个设置都对应注册表中的某一项。
由此我们可以得到一种启示，组策略既然设置了注册表，那么如果我们直接更改或删除组策略所产生的注册表项，会不会使组策略失效呢？答案是肯定的。那么怎样知道组策略是修改了注册表中的哪一项？
秘密就在于%SystemRoot%\system32\ GroupPolicy\User\Registry.pol文件，Registry.pol文件记载了组策略设置的注册表项，该文件可以用类似UltraEdit32之类的文本编辑器进行查看，在Hex（十六进制）模式下查看，可以看见文件。文件看起来有点乱，中间间隔了很多空格。不过还是可以看出来[Software\Microsoft\Windows\CurrentVersion\Policies\System]分支下DisableRegistryTools项就是禁止编辑注册表的，[Software\Policies\Microsoft\Windows\System]分支下DisableCMD项就是用来禁用命令行的。而在注册表中一般数值为“0”的项意指“否”，这样就很清楚了。
组策略被禁用的解决办法
组策略中有两个比较有用的选项：只运行许可的Windows应用程序和不要运行指定的Windows应用程序。比如说可以用来让公司的电脑只能运行Photoshop、Word等软件，而不能运行QQ、CS等。

共4页: 上一页 [1] [2] 3 [4] 下一页

【内容导航】