在Windows上,有没有办法在插入后以编程方式批准USB设备,如果它是某种类型(比如可移动驱动器)允许其使用,否则不是?也不允许运行驱动程序,只允许以批准的方式使用设备?
即。我们希望允许插入USB驱动器,但不必担心安装病毒。
编辑抱歉,我对此问题的发布不是很清楚。是的,这是Windows,但我并不担心自动运行程序,当然这是关闭的。用户将无法访问任何可执行文件,只会从驱动器读取数据。他们将无法访问我们允许的任何UI(它是Kiosk)。我关心的是运行和安装软件的设备驱动程序(ala U3,以及插入USB驱动器时自行安装的其他USB软件)。野外有很多病毒可以通过将USB驱动器插入系统来运行。我们已经将组策略限制在我们可以达到的水平,但是我找不到一种方法来不允许安装驱动程序而不创建预安装的USB驱动器的基本白名单,其他任何东西都不会起作用(即。不允许安装驱动程序)。
答案 0 :(得分:5)
(因为你担心病毒我会假设我们在讨论Windows。)
限制用户是没有意义的。确保用户没有管理员权限。并安装最新的病毒扫描程序。
理由:如果你不打算甚至不允许阅读文件,那么无论如何都不允许使用USB驱动器。因此,您将允许从USB驱动器读取文件。但是有人可能已经通过将病毒复制到本地硬盘并从那里运行来安装病毒。
答案 1 :(得分:2)
此外,在Windows上,禁用USB驱动器上的自动播放/自动运行。
使用组策略: http://www.howtogeek.com/howto/windows/disable-autoplay-of-audio-cds-and-usb-drives/
TweakUI实用程序中还有选项: http://www.microsoft.com/windowsxp/Downloads/powertoys/Xppowertoys.mspx
答案 2 :(得分:2)
如果它是您自己的自助服务终端应用程序,请确保您的自助服务终端已分配驱动器号A-Z。要访问USB驱动器,您需要一个形式为\ ?? \ Volume {GUID} \ Filename的路径。但是,通过将其保留在正常文件系统之外,您可以安全地抵御大多数攻击。
你永远不会完全安全。正如雷蒙德·陈(Raymond Chen)所指出的那样,如果你不赞成分叉,那对你来说并没什么帮助。 (物理)伤害已经完成。
答案 3 :(得分:1)
没有。您可以使用GPO限制对可移动媒体的访问,但是您无法指定可移动媒体上允许的文件类型,或者它们是否可以执行。
编辑:赞美托马斯。比我的答案更好。