强化USB设备控制 保障操作系统安全

　　USB端口有其自身的优越性，这成为现代IT生活的一个事实，但是，这同时还意味着USB将成为每一个IT管理人员的一个令人头痛的问题。

　　我们既要依靠USB端口，还要保障其安全。笔者认为阻止每一个对USB端口的使用并不是一个解决问题的办法。

　　Windows XP 和 Windows Server 2003系统对USB端口的控制是相当有限的。你可以禁用端口或使其只读，不过这却缺乏对所允许的设备或文件类型的更好控制。不过，有大量的第三方应用程序可以帮助我们从不同程度上控制USB端口。如笔者喜欢的USB安全存储专家(USSE)，它是一款对企业或个人的数据信息安全进行严格控制而开发的USB端口监控软件。它可随意控制USB存储设备的读写权限。USB安全存储专家还可控制特定的USB存储设备(写入标识的存储设备)的读写，可对USB存储设备进行透明加密。

　　USB规范的一个特性之一是每一个设备都要告诉系统它是何种设备，以此作为连接到系统的过程的一个部分。一些制造商利用这一点允许你阻止特定端口上的特定种类的设备，例如，你可以在任何端口上选择允许一个USB鼠标，不过绝不允许闪盘，权限最少的原则绝对适用于USB端口。一般说来，问题不应当是“我们需要阻止什么”，而是“我们可以允许什么?”

　　一些制造商对于所允许的控制采取了更进一步的措施，允许你要求一个带有特定序列号的并且与一个特定用户相连的特定设备来使用一个特定端口。你还可以将某些特定设备标记为只读或设置哪些种类的文件可通过一个特定的USB端口读取或写入。这有助于防止两种风险：一是防止某人通过USB端口将某些恶意的欺诈程序装入到系统中，二是防止未获授权的某人将某些数据带出。例如，一个用户可能被允许下载Excel (.xls)或 Word (.doc)文件，不过却不能下载数据库文件。这种程序如USB Lock RP等。

　　还有一些产品可以在操作系统层次上阻止USB端口，也就是说，它们成为连接过程的一部分，并且不允许特定类型的设备连接到网络上的任何端口。其它的一些产品只允许特定的设备同是又阻止此类型的其它设备。如此一来，用户就只能将文件下载到其笔记本电脑的硬盘上，却不能下载到其它的USB盘驱动器上。你还可以选择对其进行设置，只允许使用许一个用经过授权的、登记为某用户的加密闪盘。如NetWrix USB Blocker。

　　在寻求 USB保护程序时，需要注意的一件关键的事情是看其管理的难易程度和精细程度。因为一个典型的网络可能拥有几千个USB端口，你可能会想到能在一个中央位置管理所有的端口。

　　例如，自称为最便宜的USB管理软件CheapestSoft USB Blocker能够帮助一个用户或管理员控制USB存储设备。管理员可以控制一台独立计算机或网络上多台计算机的USB设备。对于每一个存储设备来说，管理员可以设置三种状态：禁用(不能读或写)，只读，允许读写。这些设置不会影响到USB鼠标或键盘。

    
    理想情况下，你将需要通过组策略特性或其它无缝技术来管理网络上的端口。现在有一些产品能够管理企业中的所有网络上USB端口，而不是分别管理每一个网络的端口。

　　当然，USB端口的控制并不是网络和系统安全的要害所在，你也不能绝对地保证数据不能从USB端口泄漏出去。不过，这也正是网络中任何端点的真实情况。关键是如何减轻这些常用设备的风险。