安全性
透過群組原則管理硬體限制
Jeremy Moskowitz
摘要:
您知道的:USB 隨身碟和卸除式媒體讓您的私人生活更輕鬆,但專業生活更困難。您需要方法,控制哪些
硬體裝置可安裝、哪些不可安裝。所幸,使用 Windows Vista™ 和下一版 Windows Server® (代碼 "Longhorn") 中的群組原則,您就可以選擇允許 USB 滑鼠但禁止 USB 隨身碟、允許 CD-ROM 讀取器但禁止 DVD 燒錄器,或允許藍芽但禁止 PCMCIA。
群組原則中有兩個部分可協助您保護硬體安全:[電腦設定] | [系統管理範本] | [系統] | [卸除式儲存裝置存取權] (請參閱 [圖 1]),以及 [電腦設定] | [系統管理範本] | [系統] | [裝置安裝] | [裝置安裝限制] (請參閱 [圖 2])。
.gif)
[圖 1] 群組原則中預先定義的硬體限制 (按影像可放大)
.gif)
[圖 2] 自訂您要限制的硬體類型 (按影像可放大)
第一組 ([卸除式儲存裝置存取權]) 是不解自明的:如果您為該類型的卸除式儲存裝置 (CD/DVD、軟碟機等等) 啟用原則設定,可視需要限制整個裝置類型的讀取和/或寫入。但它沒有 [裝置安裝限制] 的超強能力。
在 [卸除式儲存裝置存取權] 中,有兩個原則設定群組,名為 [自訂類別: 拒絕讀取存取權] 和 [自訂類別: 拒絕寫入存取權]。這聽起來蠻好的,但 [卸除式儲存裝置存取權] 原則實際上不會阻止安裝驅動程式,在偵測到硬體時,該類別的驅動程式已安裝。該原則只是防止讀取或寫入裝置。等到下一節探討 [裝置安裝限制] 原則設定時,我會鎖定整個驅動程式本身的使用。
瞭解類別和識別碼
首先,最重要的事:您必須知道要限制什麼。考慮的範圍可大可小。也就是說,您可以限制特定「類別」的裝置,或極為明確地限制單一硬體類型。或者,您可以反其道而行,只允許特定裝置類別,如 USB 滑鼠。但有個竅門:您必須追蹤要限制的硬體,才會有效。
如果您要禁止安裝搖桿驅動程式,只允許安裝 USB 滑鼠,則必須掌握搖桿和 USB 滑鼠。替代方案是透過網際網路來追蹤硬體識別碼、相容識別碼或裝置類別。不過,如果您眼前有實體裝置會容易得多。如此一來,您可以將它連接到電腦,並親自查看硬體識別碼、相容識別碼或裝置類別。一旦得到此資訊,您就會確切知道如何抑制或保留其可用性。
在下列範例中,我將抑制特定的音效卡系列:Creative AutoPCI ES1371/ES1373。如果您想要抑制其他項目 (如特定 USB 裝置、USB 連接埠等等),只要在下列步驟中,換成這些特定項目即可。
在已安裝該硬體項目的電腦上,啟動 [裝置管理員]。當您找到裝置時,以滑鼠右鍵按一下它,選取 [內容],然後選取 [詳細資料] 索引標籤。根據預設,您會看到 [裝置描述]。有趣的是,這項資訊不太實用。選取 [內容] 下拉式清單,並選擇 [硬體識別碼],如 [圖 3] 所示。
.gif)
[圖 3] 裝置的 [詳細資料] 索引標籤 (按影像可放大)
[硬體識別碼] 頁面會從上到下顯示最明確到最籠統的裝置識別碼。如果您仔細看一下 [硬體識別碼] 值清單中的最上方項目,您會看到這個音效卡最明確的識別是 ES1371 音效卡 Rev 2。真的很明確。在清單下方,描述會變得籠統,以涵蓋整個系列。
而且,您可以將 [內容] 變更為 [相容識別碼]。相容識別碼也會描述硬體,比起 [硬體識別碼] 較不明確。您可以選擇使用 [相容識別碼] 中的資訊,嘗試將更多類似的硬體關進您的禁用清單,因為它比較籠統,可能會獲得更多結果。當然,其中取捨是您可能會限制非預期的項目。
最後,從 [內容] 下拉式清單中選取 [裝置類別] 時,會得到最籠統的類別。在這個案例中,音效卡僅僅顯示為 [媒體]。但是有許多項目都會被視為 [媒體],因此您應該更謹慎處理籠統的類別。
一旦決定所要使用的值,請以滑鼠右鍵按一下它,選取 [複製],然後將它貼入 [記事本] 中存放。直接複製完整顯示的值很重要,因為在下面的步驟中必須輸入完全相同的值。值的所有大小寫字元都必須精確移轉。
如果您要使用命令列,而不使用 [裝置管理員],以擷取 [硬體識別碼] 或 [裝置類別],請參閱下列網址的 Devcon 命令列公用程式:
support.microsoft.com/kb/311272。如果您沒有實體裝置,Microsoft 有一些通用類別的識別碼可能有幫助,請參閱下列網址的資訊:
go.microsoft.com/fwlink/?LinkId=52665。
透過群組原則的硬體存取控制
雖然我們將探討位在 [電腦設定] | [系統管理範本] | [系統] | [裝置安裝] | [裝置安裝限制] (如 [圖 2] 所示) 中的所有原則設定,但實際上只需要一個原則設定,即可完成第一個範例。
首先建立群組原則物件 (GPO),將它連結到要控制的 Windows Vista 電腦所在 OU (或網域等)。現在編輯 GPO,並向下切入 [電腦設定] | [系統管理範本] | [系統] | [裝置安裝] | [裝置安裝限制] | [防止安裝符合這些裝置識別碼的裝置]。在原則設定中選取 [啟用],按一下 [顯示] (也是在原則設定中),接著在 [顯示內容] 對話方塊中選取 [新增]。在 [新增項目] 對話方塊中,貼上您先前儲存的裝置資訊,如 [圖 4] 所示。
.gif)
[圖 4] 貼上裝置識別碼以確切擷取描述 (按影像可放大)
不過,這裡有個奇怪的現象。如果電腦上已安裝此裝置,並不會神奇地將它解除安裝並限制存取。因此,如果您要限制硬體,最好在部署 Windows Vista 後盡早完成。不過,值得注意的是,在移除裝置後重新安裝時,Windows Vista 將會重新檢查。像是 USB 隨身碟 (移除後重新插入) 的項目便是此程序的完美候選項目。因為 Windows Vista 只在重新連接裝置時重新檢查,這時候才會限制裝置 (即使裝置驅動程式一開始已載入電腦)。比較難處理的裝置是搭載在電腦上,而且不會移除後再重新連接的裝置。對於這些裝置,目前並沒有明顯的解決方案。
如果電腦開機時偵測到新的硬體裝置,Windows 會嘗試安裝驅動程式,並在過程中提供狀態資訊。如果您已經設定原則來限制這種裝置,就會看到 [圖 5] 中的結果。
.gif)
[圖 5] 被禁止的裝置安裝作業 (按影像可放大)
更多的硬體限制
在以上的範例中,我們只抑制一個裝置。如果您想要的話,可以採取相反路線,根據預設限制所有硬體,接著允許部分硬體。同樣地,您會看到 [圖 2] 中的原則設定清單,其顯示群組原則的 [電腦設定] | [系統管理範本] | [系統] | [裝置安裝] | [裝置安裝限制] 分支。您可以從數個可用設定中選擇。
首先是 [允許系統管理員覆寫裝置安裝限制]。根據預設,Windows Vista 的本機管理員必須遵循已設定的限制。如果您啟用這個設定,本機管理員就可以覆寫限制並安裝他們所要的硬體。
接下來是 [允許使用符合這些裝置安裝類別的驅動程式安裝裝置]。藉由在此原則設定中輸入裝置描述,您會明確允許在系統上安裝這些裝置。請注意,這個原則設定只接受安裝類別,而非裝置識別碼 (如範例中所使用)。
若要達成相反的效果,您可以設定 [防止使用符合這些裝置安裝類別的驅動程式安裝裝置]。
[因原則而無法安裝時顯示自訂訊息 (汽球內文)] 和 [因原則而無法安裝時顯示自訂訊息 (汽球標題)] 這兩個設定有助於自訂訊息,如 [圖 5] 所示。
如先前提及的,描述硬體最籠統的方式是基於硬體類別。值得注意的是,[允許安裝符合這些裝置識別碼的裝置] 原則設定不會接受類別識別碼描述。若要使用類別識別碼描述,請使用 [允許使用符合這些裝置安裝類別的驅動程式安裝裝置] 或 [防止使用符合這些裝置安裝類別的驅動程式安裝裝置]。後者最適合與 [防止安裝未由其他原則設定描述的裝置] 設定搭配使用。藉由防止安裝所有項目 (根據預設),接著使用此設定,您可以精確指定要允許的裝置。
在範例中,我使用 [防止安裝符合這些裝置識別碼的裝置] 原則,根據裝置識別碼來限制特定類型的硬體。如果您要使用裝置類別來實作限制,則必須運用其他特定的原則設定,例如 [允許使用符合這些裝置安裝類別的驅動程式安裝裝置] 或 [防止使用符合這些裝置安裝類別的驅動程式安裝裝置]。
[防止安裝卸除式裝置] 是限制任何自我描述為卸除式硬體裝置 (包括 USB 裝置) 的快速、一般方法。這個設定很籠統,最好不要經常使用。請改用先前描述的技巧,亦即取得較為嚴謹的裝置識別碼,接著明確地鎖定。
最後,[防止安裝未由其他原則設定描述的裝置] 是一網打盡的原則設定,基本上它會限制所有硬體,除非您特別指示可安裝某項目。這個原則搭配各種「允許」原則 (例如 [允許安裝符合這些裝置識別碼的裝置]),會成為在環境中只允許所要硬體的強大工具。
結論
Windows Vista 的群組原則有一些新的超強功能,在環境中只允許所要硬體時極為實用。只要在初期部署時實作原則設定,您在網路中禁止的硬體絕對無法連接。
Jeremy Moskowitz為群組原則中的 MCSE 和 MVP,他經營的 GPanswers.com 是有關群組原則的社群論壇。此外,他還舉辦一系列的群組原則密集訓練課程。他的最新著作為 Group Policy: Management, Troubleshooting and Security (Sybex, 2007)。您可以透過下列網站連絡 Jeremy:www.GPanswers.com。
© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利;未經允許,嚴禁部分或全部複製.