自 Windows Vista 开始,系统就已经可以限制可移动磁盘的读写,大家对这个应该已经不生疏 了。而且,仅仅限制 U 盘的读写,并不能满足我们的需求。不能读自然不会感染病毒,可也失去了 U 盘的意义。不能写可以避免 信息外流,却无法避免 病毒入侵。
我们需要. 的,是从 Windows 7 开始提供的新功能,回绝 执行权限。
点击该策略,选择“已启用”,即可打开该策略。启用此策略设置,将回绝 对可移动存储类的执行权限。假如 禁用或未配置此策略设置,将允许对此可移动存储类的执行权限。
设置完该策略,我们来运行一下 U 盘上的程序看看。系统直接给出不允许运行的提示:
别看这个提示跟 UAC 有点像,但却无法通过改动 运行帐号来执行。除非策略被更改为允许执行权限。
假如 设置的是回绝 读取权限的策略,那么将无法访问 U 盘上的信息。
假如 设置的是回绝 写入权限的策略,那么无法将信息写入 U 盘。
展开来讨论一下。对于 CD/DVD 介质,同样可以如 U 盘一样做出限制。避免 光盘自动运行传播病毒。
那么读卡器,MP3/MP4,数码相机甚至移动电话呢?这些都可以通过 USB 接口连接读写啊。在系统里,这些设备归入 WPD 类,可以限制其读取或者写入。
总会非标准的设备存在的吧?对于这种状况 ,系统同样也提供了“自定义类”的设置,只需 写入设备的 GUID,就能限制其读取和写入。
假如 你是企业的管理员,完全没必要跑到每台机器上去设置,可以通过组策略快速的实现策略的施行 。
好了,这下再也不怕借给同事的 U 盘带着病毒回来了。
