Vista安全功能之移动设备管理机制

    Vista系统的诞生已经有一段时间了，作为主打美观和安全牌的Vista系统来说，在安全方面确实有很多令人眼前一亮的特色。相信我们IT168已经为大家介绍了不少新功能，今天笔者就详细介绍下在Vista系统中独有的移动设备管理机制。

    一、移动设备管理机制的目的：
    首先我们来了解下为什么Vista系统要引入这个移动设备管理机制，因为除了漏洞等隐患容易造成系统被病毒入侵外，另外一个最常见的黑客和病毒进入系统的途径就是通过移动存储设备了。带毒U盘或移动硬盘连接到系统中就会轻松感染本来干净的系统。而在Vista系统诞生之前作为网络管理员还不太好管理USB接口的访问权限，虽然可以通过配置USB驱动文件访问权限或者编辑注册表来完成，但是效果不好也容易出现限制失效的问题，特别是利用这些方法也将USB接口的打印机，扫描仪等设备拒之于系统大门外，非常不实用，无法满足日常工作和学习的需求。以上诸多原因迫使微软在Vista系统中引入了移动设备管理机制来帮助网络管理员更轻松更方便快捷的管理移动存储设备。

网管下载dl.bitscn.com

    小提示：在Windows2000和windows XP系统中是通过对管理USB存储设备的系统文件权限加以限制，把%SystemRoot%\Inf\Usbstor.pnf和%SystemRoot%\Inf\Usbstor.inf两个文件的“完全控制”权限去掉，并结合修改注册表的方法来限制USB存储设备的接入。

    二、启动移动设备管理机制：
    在Vista系统中移动设备的管理机制是通过组策略完成的，一方面可以实现针对单机USB接口的管理，另一方面也可以通过组策略大面积批量推广到整个域中，真正实现了高效率的管理。启动移动设备管理机制的方法很简单，首先通过gpedit.msc进入Vista的组策略，然后定位到“本地计算机策略->计算机配置->管理模板->系统->设备安装->设备安装限制”，在该选项下有多个参数供我们设置。（如图1） 网管联盟bitsCN@com

网管论坛bbs_bitsCN_com

图1 设备好安装参数设置图 网管u家u.bitscn@com

    三、移动设备管理机制的应用原理：
    在讲解具体实现管理（禁止和启用）USB设备连接和访问权限之前，应该了解下Vista系统移动设备管理机制的应用原理，否则很有可能出现一些问题我们无法解释而盲目的认为此机制没有效果。Vista系统的移动设备管理机制是在安装驱动程序上做文章的，也就是说通过配置禁止某USB设备驱动程序的安装来实现该设备无法使用的目的。这样我们就明白了只有这个设备第一次连接到Vista系统中才会涉及到安装驱动程序的步骤，从而实现访问权限的管理。因此如果该设备的驱动程序已经安装在Vista系统中的话，这种移动设备管理机制将没有任何效果。例如笔者曾经把闪存连接在Vista系统中并可以正常使用，那么即使在组策略中禁止所有USB设备的访问，连接该闪存也将能够看到里面的数据信息，因为他的驱动程序已经安装完毕，系统可以识别该设备。 网管bitscn_com

    小提示：如果我们想针对某个已经安装了驱动程序的设备进行控制管理的话，首先应该通过系统的“设备管理器”来删除该设备对应的驱动程序，再通过组策略来过滤禁止驱动的安装，从而实现阻止系统访问该设备的功能。

网管联盟bitsCN@com

  网管论坛bbs_bitsCN_com