你网络上的每个用户都能够偷走他或者她能够读取的任何文件。即使文件太大了无法放在软盘上,而且用户没有CD刻录机或者ZIP驱动器,你的数据也不一定是安全的。
用户能够在任何时候用USB存储设备盗走数据。这些和钥匙一样大小的设备提供了从32兆到超过1G字节的存储能力。
USB设备已经变得极其受欢迎,它们允许即插即用(Plug-and-Play,PnP),而不需要用户或者管理员的干预。普通USB存储设备的驱动程序都是你系统要加载的一部分驱动,当用户插入其存储设备的时候的,它们就立即准备好供使用了。
Windows 2000/XP上即插即用(PnP)设备的安装被转移到了系统的授权上,因此所有的USB设备都能够在用户登录之前安装好。这就允许用户插入USB设备并使用它,而不用你的同意和知道。
这是你工作站安全计划里一个巨大的漏洞,让你无法约束对工作站硬件的控制。而且你不能够使用组策略来控制或者调整它。
但是你是有选择的。当前有三种可以接受的方法来控制这些设备。
我不推荐通过BIOS来取消对USB的支持。这是一个耗时的过程,而且它和大型的企业解决方案的集成性不好。
移动Driver.cab文件是一种以网络为中心的方法,它让系统时刻保持预备状态,而且它把文件放到一个只有有权安装系统新设备的人能够访问的地点。
使用第三方的软件解决方案也是一个可以升级的方法,它应该能够很容易就集成在你工作站的部署里,但是它确实增加了你已部署工作站的复杂性和成本。
当然,你总是可以选择什么都不做,并生活在被攻破的(危险)境地里。但是,我喜欢找到缺陷并在用户发现和利用它们之前修补好。
如果继续把精力放在控制用户访问和网络文件的存储上,你的内部安全就会如磐石般稳固。
