在 Windows 上,是否有任何方法可以在插入后以编程方式批准 USB 设备,如果它是某种类型(比如可移动驱动器)允许使用,否则不允许?也不允许运行驱动程序,只允许以批准的方式使用设备?
IE 我们希望允许插入 USB 驱动器,但不必担心会安装病毒。
编辑对不起,我对这个问题的发布不是很清楚。是的,这是 Windows,但我不担心自动运行的程序,这当然是关闭的。用户将无法访问任何可执行文件,只能从驱动器中读取数据。除了我们允许的用户界面(这是一个信息亭),他们将无法访问任何用户界面。我关心的是运行和安装软件的设备驱动程序(ala U3,以及插入 USB 驱动器时自行安装的其他 USB 软件)。有很多病毒可以通过将 USB 驱动器插入系统来运行。我们已将组策略限制在我们可以做到的水平,但我无法找到一种方法来不允许安装驱动程序而不创建预安装的 USB 驱动器的基本白名单,并且没有其他方法可以工作(即.
(由于您担心病毒,我假设我们正在谈论 Windows。)
像这样限制用户是没有意义的。确保用户没有管理员权限。并安装最新的病毒扫描程序。
理由:如果您甚至不允许读取文件,那么无论如何允许 USB 驱动器都是无用的。因此,您将允许从 USB 驱动器读取文件。但是随后有人可以通过将病毒复制到本地硬盘驱动器并从那里运行来安装病毒。
此外,在 Windows 上,禁用 USB 驱动器上的自动播放/自动运行。
使用组策略: http: //www.howtogeek.com/howto/windows/disable-autoplay-of-audio-cds-and-usb-drives/
TweakUI 实用程序中还有一些选项:http: //www.microsoft.com/windowsxp/Downloads/powertoys/Xppowertoys.mspx
如果它是您自己的信息亭应用程序,请确保您的信息亭已分配驱动器号 AZ。要访问 USB 驱动器,您需要格式为 \??\Volume{GUID}\Filename 的路径。但是通过将其置于正常文件系统之外,您可以安全地抵御大多数攻击。
你永远不会完全安全。正如 Raymond Chen 所指出的,如果你不赞成分叉,它并没有多大帮助。(物理)损害已经造成。
不可以。您可以使用 GPO 限制对可移动媒体的访问,但您无法指定可移动媒体上允许哪些类型的文件,或者它们是否可以执行。
编辑:支持托马斯。比我更好的答案。