使用组策略控制可移动存储访问

为了保护公司的重要信息，微软河北技术支持中心定义了安全策略不允许把公司文档带出公司。实现这一措施的一种方法就是限制在公司计算机上使用可移动的存储设备。目前公司雇员是被允许在他们的计算机上使用可移动存储设备，例如USB设备。微软动手实验室认为这是一个安全风险。因此决定使用Windows Server 2008的设备安装限制策略来限制这些设备的使用。

任务：

u 拒绝对移动存储的访问权限

u 拒绝对移动存储的写入权限

u 验证设置

步骤：

1. 在DCServer上，打开组策略管理工具。

2. 如图3-353所示，右击培训部组织单元链接的组策略eduGPO，点击“编辑”。

3. 如图3-354所示，在出现的组策略管理编辑器对话框，点中“计算机配置”à“策略”à“管理模板”à“系统”à“可移动存储访问”，在详细窗口，可以看到“所有可移动存储类：拒绝所有权限”。双击“所有可移动存储类：拒绝所有权限”。

图 3-353 编辑组策略 图 3-354 编辑组策略

4. 如图3-355所示，在出现的所有可移动存储类：拒绝所有权限属性对话框，选择“已启用”，点击“确定”。关闭组策略管理编辑器。

5. 如图3-356所示，以域管理员帐户登录eduPC1。

图 3-355 启用设置 图 3-356 登录

6. 如图3-357所示，点击“”，在搜索文件或程序栏输入gpupdate /force 回车，刷新组策略。

7. 如图3-358所示，在虚拟机上插入U盘，打开计算机，可以看到可移动存储的设备，双击U盘。提示位置不可用，拒绝访问对话框，点击“确定”。这足以证明组策略的设置。管理员也不例外。

图 3-357 刷新组策略 图 3-358 验证组策略设置

8. 如图3-359所示，在DCServer上，编辑培训部组织单元上链接的组策略eduGPO。将“所有可移动存储类：拒绝所有权限”更改为“未配置”。

9. 如图3-359所示，将“可移动存储：拒绝写入权限”设置为“已启用”。

10. 如图3-360所示，在eduPC1上刷新组策略，将桌面上的记事本文件dd.txt拖动到可移动存储，出现目标文件夹访问被拒绝对话框，提示您需要权限执行此操作，点击“取消”。

图 3-359 拒绝写入移动设备 图 3-360 验证组策略设置

11. 如图3-361所示，可以打开U盘，将其中的文件拷贝到桌面。

图 3-361 能够读取U盘数据

总结：通过禁止可移动磁盘写入权限可以实现公司资料的保密。当然，如果想防止外单位的人员带来的可移动磁盘的病毒或木马带到公司计算机上，可以启用“可移动磁盘：拒绝读取权限”设置，这样，用户不能打开可移动磁盘，但这并不影响将计算机上的文件发送到可移动磁盘。

本文转自 onesthan 51CTO博客，原文链接：http://blog.51cto.com/91xueit/1134007，如需转载请自行联系原作者