● 小Ｕ盤帶來的大問題
　　U盤全稱USB閃存盤，它是一個(gè)帶有USB接口的無需物理驅(qū)動(dòng)器的微型高容量移動(dòng)存儲(chǔ)產(chǎn)品，可以通過USB接口與計(jì)算機(jī)連接，實(shí)現(xiàn)即插即用。U盤因其方便、快捷正為人們津津樂道，但由它所引發(fā)的問題也接踵而來，特別是在學(xué)校機(jī)房這樣的公共學(xué)習(xí)場所中，因計(jì)算機(jī)都配有USB接口，學(xué)生可以方便地插拔U盤，并在不預(yù)先通知管理員的情況下使用U盤，這就給病毒的蔓延造成可乘之機(jī)，也極易造成機(jī)房數(shù)據(jù)外泄、軟件被突破等管理問題，這些問題往往使管理員很頭疼。一方面，管理員不能將其全面禁用，因?yàn)楹芏鄷r(shí)候維護(hù)也需使用U盤；另一方面，如果不禁用就容易形成安全隱患，造成機(jī)房管理混亂。那么如何才能做到二者兼顧，既讓管理輕松，又能做到“按需分配”呢？
　　● 無功而返：初試幾種禁Ｕ方法
　　首先我查到了網(wǎng)上的幾種禁止Ｕ盤使用的方法。
　　方法一，BIOS設(shè)置法。這種方法就是通過BIOS設(shè)置，禁止USB接口，達(dá)到禁用USB設(shè)備的目的。再給BIOS設(shè)置密碼，需要使用Ｕ盤時(shí)再進(jìn)入BIOS設(shè)置打開USB接口，這樣其他人就無法使用Ｕ盤了。但是，此種方種通殺USB設(shè)備，包括USB鍵盤和鼠標(biāo)，結(jié)果證明該方法不可取。
　　方法二，文件控制法。禁止安裝USB驅(qū)動(dòng)程序，主要是通過對(duì)Usbstor.pnf和Usbstor.inf的文件用業(yè)內(nèi)權(quán)限的設(shè)置達(dá)到禁止USB設(shè)備的目的，但此種方法只對(duì)未在計(jì)算機(jī)上使用過的USB設(shè)備有效，并且磁盤分區(qū)必須為Ntfs，也不可取。
　　方法三，注冊(cè)表修改法。此種方法可分為兩種，都是通過修改注冊(cè)表編輯器下的相應(yīng)鍵值來實(shí)現(xiàn)禁止USB設(shè)備的使用。
　　一是修改“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR”下的“Start”的DWORD值，將其改為十六進(jìn)制數(shù)值“4”。重啟生效后，當(dāng)有人將USB存儲(chǔ)設(shè)備連接到計(jì)算機(jī)時(shí)，雖然USB設(shè)備上的指示燈在正常閃爍，但在資源管理器中無法找到其盤符，因此也就無法使用USB設(shè)備了。但此種方法只對(duì)部分USB設(shè)備有效，不可取。
　　二是修改[HKEY_CURRENT_USER\\software\\Microsoft\\Windows\\CurrentVersion\\Ploicies\\Explorer]，新建二進(jìn)制值“NoDrives”，根據(jù)需要隱藏相應(yīng)的盤符，達(dá)到禁止使用USB設(shè)備的目的。此種方法雖未分配盤符，但卻可以偷偷使用，禁用得不徹底，很容易突破。
　　以上幾種方法雖然都能實(shí)現(xiàn)禁止USB設(shè)備的目的，但對(duì)于筆者的實(shí)際需要都是不盡完美，不能做到人性化的“按需分配”。
　　● 尋幽入微：可移動(dòng)設(shè)備標(biāo)識(shí)符
　　面對(duì)無計(jì)可施的局面，我冷靜下來仔細(xì)分析，思考能不能從可移動(dòng)設(shè)備的安裝原理上下工夫。
　　我們先了解一下可移動(dòng)設(shè)備的安裝原理，Windows系統(tǒng)使用兩種類型的標(biāo)識(shí)符來控制設(shè)備安裝和配置。兩種標(biāo)識(shí)符類型為：設(shè)備標(biāo)識(shí)字符串(硬件ID)和設(shè)備安裝程序類（全局唯一標(biāo)識(shí)符GUID）。安裝原理如下。
　　當(dāng)Windows系統(tǒng)檢測到一個(gè)從未在計(jì)算機(jī)上安裝過的設(shè)備時(shí)，操作系統(tǒng)會(huì)查詢?cè)撛O(shè)備，檢索其設(shè)備標(biāo)識(shí)字符串列表。設(shè)備制造商通常會(huì)為一個(gè)設(shè)備分配多個(gè)設(shè)備標(biāo)識(shí)字符串。Windows通過從設(shè)備中檢索到的設(shè)備標(biāo)識(shí)字符串與驅(qū)動(dòng)程序包中包含的標(biāo)識(shí)字符串相匹配，選擇要安裝哪個(gè)設(shè)備驅(qū)動(dòng)程序包，完成設(shè)備的安裝和配置。
　　了解了可移動(dòng)設(shè)備的安裝原理后，我發(fā)現(xiàn)可以在設(shè)備標(biāo)識(shí)符上作文章，因?yàn)槊總€(gè)設(shè)備標(biāo)識(shí)符（硬件ID）都是不一樣的，我們只需知道要使用的可移動(dòng)設(shè)備的標(biāo)識(shí)符（硬件ID）就可以允許指定的可移動(dòng)設(shè)備進(jìn)行安裝和使用，于是我打開了計(jì)算機(jī)的“設(shè)備管理器”，查看里面的硬件信息，找到了硬件ID值的選項(xiàng)，關(guān)鍵是用什么程序來管理控制硬件的ID，想到這，我眼前一亮，答案有了。
　　● 另辟蹊徑：組策略的“按需分配”
　　我們都知道Windows的組策略，但是用過的人不是很多，組策略是管理員為用戶和計(jì)算機(jī)定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具。通過使用組策略可以設(shè)置各種軟件、計(jì)算機(jī)和用戶策略。特別是在Windows 7系統(tǒng)中，已經(jīng)開發(fā)了許多新的和增強(qiáng)的組策略功能和服務(wù)，保護(hù)計(jì)算機(jī)上駐留的數(shù)據(jù)、功能和服務(wù)。
　　打開組策略管理器（gpedit.msc），“計(jì)算機(jī)配置”項(xiàng)里的“設(shè)備安裝”選項(xiàng)引起我的注意（“允許安裝與下列設(shè)備ID相匹配的設(shè)備”和“禁止安裝可移動(dòng)設(shè)備”，如圖1）。
　　隨后我便有了解決的方案，即按可移動(dòng)設(shè)備的安裝原理，結(jié)合組策略來控制用戶使用可移動(dòng)設(shè)備。具體操作流程如圖2。
　　圖2對(duì)可移動(dòng)設(shè)備的安裝進(jìn)行了詳細(xì)判別，在實(shí)際的操作中，我們可以按照自己的需要選擇組策略。
　　解決方案具體操作步驟如下。
　　1.記錄允許安裝的硬件ID
　　首先，我們要記錄下允許安裝的可移動(dòng)設(shè)備的硬件ID，這里以金士頓U盤為例（其他可移動(dòng)設(shè)備通用），插上U盤，打開“我的電腦”－右鍵－“設(shè)備管理器”，在樹形目錄下選擇“磁盤驅(qū)動(dòng)器”，找到我們剛安裝上的U盤，右鍵－“屬性”－“詳細(xì)信息”，單擊“屬性”－“硬件ID”，把下面的值復(fù)制到文本文件中保存待用，同樣再把兼容ID的值復(fù)制保存，完成后卸載U盤，如圖3所示（有些雜牌的可移動(dòng)設(shè)備需要兼容ID）。
　　2.設(shè)置禁止安裝可移動(dòng)設(shè)備
　　以管理員身份登錄，打開組策略管理器(“開始”－“搜索程序和文件”－輸入gpedit.msc)，選擇“計(jì)算機(jī)配置”－“管理模板”－“系統(tǒng)”－“設(shè)備安裝”－“設(shè)備安裝限制”－“禁止安裝可移動(dòng)設(shè)備”雙擊打開，選擇“啟用”，這樣所有的可移動(dòng)設(shè)備便都不可以安裝使用了（如下頁圖4）。
　　3.設(shè)備管理員安裝策略
　　選擇“設(shè)備安裝限制”下的“允許管理員忽略設(shè)備安裝策略”雙擊打開，選擇“啟用”，這使管理員不受設(shè)備安裝策略的限制，可以方便管理（如圖5）。
　　4.設(shè)置允許安裝的設(shè)備
　　選擇“設(shè)備安裝限制”下的“允許使用與下列設(shè)備ID相匹配的設(shè)備”雙擊打開，選擇“啟用”，然后點(diǎn)擊“顯示”，將我們第一步保存的硬件ID信息粘貼到其中，點(diǎn)“確定”（有的設(shè)備可能需要添加多個(gè)硬件ID，或添加兼容ID），如圖6所示。
　　5.更新組策略
　　選擇“開始”－“搜索程序和文件”－輸入gpupdate/force，切換到測試用戶(我的測試用戶名稱是“TEST”）重新登錄，這時(shí)插上Ｕ盤，就會(huì)發(fā)現(xiàn)只有剛才指定的U盤可以正常使用，其他的U盤都不能使用(如圖7、圖8、圖9)。
　　至此，筆者運(yùn)用組策略實(shí)現(xiàn)了對(duì)指定可移動(dòng)設(shè)備的安裝使用，而其他未授權(quán)的可移動(dòng)設(shè)備卻不能安裝使用，做到了“按需分配”。
　　● 防患于未然：組策略保護(hù)數(shù)據(jù)安全
　　“按需分配”的問題解決了，隨意又看了看組策略“系統(tǒng)”中的其他選項(xiàng)，發(fā)現(xiàn)其中還有一項(xiàng)叫“可移動(dòng)磁盤存儲(chǔ)訪問”，里面包括可移動(dòng)磁盤、CD/DVD、軟盤、磁盤、WPD設(shè)備的訪問控制策略，看過選項(xiàng)后想想，這幾個(gè)選項(xiàng)對(duì)保護(hù)計(jì)算機(jī)資料數(shù)據(jù)有著相當(dāng)重要的作用，只要我們對(duì)上述幾項(xiàng)組策略進(jìn)行“啟用”設(shè)置，就可以對(duì)可移動(dòng)磁盤、光盤刻錄機(jī)、軟盤和WPD設(shè)備進(jìn)行訪問控制，即隨意地讀取、寫入數(shù)據(jù)，執(zhí)行文件都不能正常進(jìn)行，達(dá)到保證機(jī)房計(jì)算機(jī)數(shù)據(jù)資料安全的目的，防患于未然（如圖10）。
　　通過對(duì)組策略的應(yīng)用，我們不僅可以隨心所欲地安裝、控制、使用可移動(dòng)設(shè)備，做到“按需分配”，還能有效地管理可移動(dòng)設(shè)備訪問權(quán)限，從而使我們的機(jī)房管理更科學(xué)，安全措施更到位。