通过组策略管理硬件限制档

1、通过组策略管理硬件限制事实的确如此：这些拇指U盘和各种可爱的可移动媒体能为您的个人生活带来方便，但会给工作环境带来 隐患。您需要一种方式来控制。哪些硬件设备可以安装，哪些不可以安装。幸运的是，使用Windows Vista以 及下一版Windows Server（代号为“Longhorn）中的组策略，您可以选择.事实的确如此：这些拇指U盘和各种可爱的可移动媒体能为您的个人生活带来方便，但会给工作环境带来隐 患。您需要一种方式来控制。哪些硬件设备可以安装，哪些不可以安装。幸运的是，使用Windows Vista以 及下一版 Windows Server（代号为“Longhorn）中的组策略，您可

2、以选择允许安装USB鼠标，但不允许安 装U盘;允许安装CD-ROM读取器，但不允许安装DVD写入器，或者允许安装蓝牙，但不允许安装PCMCIA 卡。组策略中有两个部分可帮助您保护硬件安全：计算机配置|管理模板|系统|可移动存储访问（请参阅 图1）和计算机配置|管理模板|系统|设备安装|设备安装限制（请参阅图2）。图1组策略中的预定义硬件限制（单击该图像获得较大视图）图2自定义要限制的硬件种类（单击该图像获得较大视图）第一组（可移动存储访问）很容易理解：如果为该类可移动存储设备（CD/DVD、软盘等）启用某一策略设置，则 可以在需要时限制对所有这种类型设备的读取和/或写入。但是，它的限制功能没有

3、设备安装限制强大。在可移动存储访问中，包含名为“自定义类别：拒绝读取权限和、自定义类别：拒绝写入权限的策略设置 组。这听起来不错，但可移动存储访问策略实际上并不禁止安装驱动程序一当检测到硬件时，表示已经安装了 该类硬件的驱动程序。该策略只能禁止对设备的读取或写入。在下一部分中说明设备安装限制策略设置时，我 将彻底禁止驱动程序本身的使用。掌握类别和ID我们首先要明确的是：希望进行哪些限制。您可以考虑得较为宽泛，也可以较为具体。也就是说，可以限制 特定的某类设备，也可以具体到单一硬件类型。或者，您还可以反过来，只允许使用特定设备类别，如USB鼠 标。不过，棘手的是以下部分：要切实起到限制作用，您需

4、要圈定要限制的硬件。因此，如果希望不允许安装游戏杆驱动程序而只允许安装USB鼠标，则需要获取游戏杆和鼠标的信息。 有一种方法是使用Internet搜寻硬件ID、兼容ID或设备类别。不过，如果手头有这样一件设备，则会更简单。这时，可以将该设备接入计算机并查看其硬件ID、兼容ID或设备类别。了解这些信息后，也就清楚该如 何禁用它（或使之可用）。在下面的示例中，我将禁用特定的声卡系列：Creative AutoPCI ES1371/ES1373。如果您希望禁用其他设备（如特定USB设备、USB端口等），只需遵循下面的步骤并替换为相应设备。在已经安装相应硬件项的计算机上启动设备管理器。找到设备后，右键

5、单击并选择属性，然后选择详细 信息选项卡。默认情况下，您会看到一个设备描述。尽管这会令人感兴趣，却没有多大用处。选择属性下拉 列表，并选择硬件ID”，如图3所示。V 14-sVlr：?W村IF白崔W) net b *l a：S纹1虹生旺铀-4屈云尚fgilt*Creatl.e AudloK C5137L.ES1373) (WOKi .Itfii叫to,W 虬fCTetUmj叫.LSTE 略 财七fCIYQa_L2TWklEV_LTiL_(HOlfCIXilH_L2T10EV_L3rrLK_0*)全春4Ted图3设备的详细信息选项卡（单击该图像获得较大视图）硬件ID页从上到下显示了从最特定到最宽

6、泛的设备ID。如果仔细查看硬件ID值列表中的第一项，您 会发现此声卡为第2版的ES1371声卡。这是一个非常具体的ID。沿列表向下，设备描述逐渐变得宽泛，一 直到包含整个系列。此外，您还可以将属性更改为兼容ID”。它们同样描述了硬件，但没有硬件1。描述那样具体。您可以 选择使用兼容ID中的信息，尝试将更多类似硬件圈入您的禁用列表一因为它的定义更为宽泛，可网罗更多 结果。当然，不利的一面是可能会限制某些不希望限制的项。最后，从属性下拉列表中选择设备类别”可获得最宽泛的设备类别。在我的举例中，声卡仅显示为媒体。 但是，许多东西都可以视为媒体，因此，描述越宽泛，越应当谨慎。确定要使用的值后，右键单击

7、它并选择复制，然后将其粘贴到记事本中妥善保管。直接原样复制是很重要 的，因为在接下来的步骤中，必须精确输入该值。值中所有大小写字母必须精确保留。如果您热衷于使用命令行而不是设备管理器来捕获硬件ID或设备类别，请查看/kb/311272上有关Devcon命令行实用工具的论述。另外请注意，Microsoft为 常用类别提供了许多标识符，这在您不能实际获得设备时很有帮助;请参阅/fwlink/?LinkId = 52665 上的信息。通过组策略实现硬件访问控制虽然我们将说明计算机配置T管理模板T系统T设备安装T设备安装限制（如图2所示）中的所有策 略设置，但实际只需要其中一项来完成本例。首先创建一个

8、组策略对象（GPO）并将其链接至一个包含运行要控制的Windows Vista的计算机的 OU（或域，等等）。现在编辑该GPO并深入到计算机配置|管理模板|系统|设备安装|设备安装限 制|禁止安装与下列任何设备ID相匹配的设备。在策略设置中选择启用，单击显示（也在策略设置中）， 并在显示内容对话框中选择添加。然后在添加项目对话框中，粘贴您之前保存的设备信息，如图4所示。Wl度知峭母酒 I电厝CJ.豆n三亘Wl度知峭母酒 I电厝CJ.豆n三亘ii腐j亡 职上支蓉与下列ff何谖南io用皿n设mH巳函耳11尹我与同任问成昔2J并事科衣寿匚 tiT.若暮通一个ift植哄-测倦如峋“艮示和uiw， 虻居

9、3定IT临苗司中彼片：T曳芹蓄设备的T： L例fO 3妇、Wr=OCOFtEITE . USI.fZuz.fEl 5SFt#，相皿K泾a:畀专石室渡普日湖.一事曜-上杵号喧事湖距机腌，菖Hiug亦枷实旌格曲任:岂篱哽1京娅法g迎omwaTt：! 1 n走曲且止宜郭暧日呈*S!?：半*之_.丸拒宜SftWF瞬# ID电瓯flt役:et定虹下宛球&*）ro桁匹碰设$ J?弟由健#置?5洒湿拓拒加山*1住芸与T桐i3钦m但矿ti!E沁唇T:?chTarget.i：o 图4粘贴设备ID以精确捕获描述（单击该图像获得较大视图）现在有个问题要注意。如果计算机已经安装了设备，它不会魔术般地自行卸载它和限制对

10、它的访问。因此， 如果您要限制硬件，应在开始部署Windows Vista时即执行此操作。不过，需要注意的是，任何时候删除已安 装的设备然后重新安装它，Windows Vista都将再次进行检查。因此，像拇指U盘那样的设备（删除后又重新 安装）最符合这种情况。由于Windows Vista仅在重新接入设备时才进行重新检查，因此那时会对设备实施限 制（即使计算机上最初已经加载了设备驱动程序）。更大的难题来自计算机附带的设备，它们没有删除后再重新接 入的过程。对于这些设备，目前还没有明显有效的解决方案。当您打开之前从未识别到硬件设备的计算机时，Windows将尝试安装驱动程序，并在安装过程中提供状

11、态 信息。如果已经为这类设备设置限制策略，将会看到如图5所示的结果。图5禁止安装设备更多硬件限制在上例中，我们只限制了一个设备。如果您希望可以走一条相反的路径，即默认限制所有硬件，然后设定允 许的设备，又该怎么做呢？同样，您可以在图2中看到这些策略设置的列表，图中显示了组策略的计算机配 置|“管理模板|“设备安装|“设备安装限制分支部分。您可以从多个可用设置中选择。第一项是允许管理员忽略设备安装限制。默认情况下，Windows Vista上的本地管理员必须接受已设置 的限制。如果您启用此设置，本地管理员可以忽略该限制并安装任意硬件。下一项是允许使用与下列设备安装程序类相匹配的驱动程序安装设备。

12、通过在此策略设置中输入设备描 述，您可以明确允许在系统上安装哪些硬件设备。请注意，此策略设置仅支持安装程序类，不支持设备ID（如示 例中使用的那些项）。要取得相反效果，您可以设置阻止使用与下列设备安装程序类相匹配的驱动程序安装设备。另外两项设置当策略阻止安装时显示自定义信息气球文本和当策略阻止安装时显示自定义信息气球 标题，可帮助您自定义该信息，如图5所示。如前面所述，基于硬件类别可以指定较为宽泛的硬件描述。应当注意的是，策略设置允许安装与下列设备ID 相匹配的设备不支持类别ID描述。若要使用类别ID描述，请使用允许使用与下列设备安装程序类相匹配的 驱动程序安装设备或、阻止使用与下列设备安装程

13、序类相匹配的驱动程序安装设备。后者最适合与设置、禁止安 装未由其他策略设置描述的设备一起使用。通过禁止安装任何设备（默认情况），然后使用此设置，您可以精确 指定要允许安装的设备。在本例中，我使用了策略阻止安装与下列任何设备ID相匹配的设备，以基于设备ID来限制特定硬件类 型。如果您希望使用设备类别来实施限制，必须利用其他特定策略设置，如允许使用与下列设备安装程序类相 匹配的驱动程序安装设备或阻止使用与下列设备安装程序类相匹配的驱动程序安装设备气禁止安装可移动设备是一种快捷的通用限制方式，可限制任何将自身描述为可移动设备的硬件设备，包括 USB设备。此设置非常宽泛，因此最好不要频繁使用它，而应使用前面所述技术获取要限制的适当设备ID，并 具体锁定。最后，禁止安装未由其