在上期的《Vista安全第一,彻底禁用USB》一文中讲到了在Vista系统下,禁用USB设备的方法。按着那个方法进行配置后,系统对所有的可移动存储设备都会被“一视同仁”。可是这样的设置会很不方便,因为如果自己有移动存储设备时,也会无法使用。那么如何才能让系统只允许使用某一个USB设备呢?在Vista系统的“组策略”中有一项根据“硬件ID”来进行限制的项目,而不同的USB设备其硬件ID是不一样的,就像身份证一样,这样,我们就可以通过“硬件ID”来让自己的U盘才能用,别人的U盘则无法使用。
1、获取硬件ID
Step1 将我们自己的U盘插入系统,并确认系统已经正确识别U盘并可正常使用,进入“控制面板”,双击“设备管理器”。
Step2 在“设备管理器”中,展开“便携设备”列表,可以发现你的U盘名称。在U盘名称上单击右键,选择“属性” 。
Step3 在“属性”面板中切换到“详细信息”标签,然后在设备“属性”下拉框中选择“硬件 ID”,这时在“值”中会出现一列由“字母+数字+特殊字符”组成的字符串,这就是该U盘的硬件ID了。
Step3 在硬件ID上单击右键,选择“复制”,可以将该硬件ID复制到剪切板中(如图1)。
小贴士:一般的硬件的ID是这样开头的:“gendisk、USBCOMPOSITE、USBClass_ff”,如果你的硬件ID中存在多个字符串,则应该优先选择以这类形式开头的字符串。
图1 复制硬件ID 252651
光复制U盘的硬件ID是不够的,我们还需要复制“通用串行总线控制器”中的硬件ID。在“设备管理器”中展开“通用串行总线控制器”列表,找到相应的设备,例如U盘对应的就是“USB大容量存储设备”。当然这里不是绝对的,例如数码相机等带有存储功能的设备所对应的也可能是“USB大容量存储设备”,因此,如果我们在设置后出现不能正确限制的情况,可以在此处获取其他设备的硬件ID再次尝试(图2)。
图2.找到相应的设备
2、通过硬件ID进行设置
Step1 进入“组策略”,依次展开“计算机配置”→“管理模板”→“系统”→“设备安装”→“设备安装限制”。
Step2 双击“允许安装与下列设备ID相匹配的设备”,只把自己的U盘硬件ID添加进来(如图3)。
图3.添加自己的U盘ID
这样只有我们的U盘可以在系统中使用,别人的U盘就闪一边去吧。当别人将其它U盘插入系统后,系统会提示“正在安装设备驱动程序软件”,不用过多久,系统就会弹出“安装被策略禁止”,这表示该U盘已经被我们成功禁止了(如图4)。
图4 被策略禁止安装 252652
设置拒绝提示
如果就这样禁止别人的U盘与系统连接,那么当别人将U盘插入后,得到的结果仅仅是显示出一条简单的信息:“安装被策略禁止”,相信很少有人了解这是怎么一回事,为了防止别人尝试无数次后仍无法与系统连接而抓狂砸坏电脑,我们还是给他们一个小小的提示吧。
Step1 同样是在“设备安装限制”中,双击打开“当策略阻止安装时显示自定义信息(气球标题)”。
Step2 在“设置”中选择“已启用”,然后在“请输入希望用户看到的文本”中输入你想告诉U盘用户的话,例如输入“呵呵,看你还怎么用!”。
这样当别人再将其U盘插入系统的时候将不再是干巴巴的“安装被策略禁止”这一句话,看到的则是我们设置的“呵呵,看你还怎么用!”(如图5)。虽然只是一句简单的玩笑,但足以让别人知道这个U盘是被禁止的了。
图5 弹出的提示信息 252653
最后要说明的是,不要将管理员帐户提供给别人使用,因为只要有管理员权限,任何人都可以重新设置“组策略”,取消限制,也就是说我们前面所做的功夫都是白费劲。所以要实现这样的可移动存储设备限制,前提是只给别人一个“用户”级别的帐户。