Windows下配置系統組策略 拒絕優盤病毒

優盤憑藉隨身攜帶的便利性吸引了許多用戶購買使用，這給網絡病毒的瘋狂傳播提供了又一個載體;這不，如今Internet網絡中有很多病毒就是專門藉助優盤傳播的，感染了這種優盤病毒後，計算機系統輕則運行不正常，嚴重的時候能使計算機發生癱瘓現象。爲了拒絕本身的計算機系統感染優盤病毒，咱們能夠巧妙修改系統的組策略相關參數，來拒絕優盤病毒進行非法傳播。

禁止優盤自動播放

不少時候，優盤設備只要插入到計算機系統中，Windows系統就能自動打開優盤窗口，以便幫助咱們快速瀏覽其中的資源。而自動打開優盤窗口的操做，頗有可能被網絡病毒利用成激活操做，那樣一來咱們只要一不當心插入優盤設備，計算機系統當即就會被感染網絡病毒;爲了防止優盤病毒不請自來，咱們必須想辦法讓計算機系統禁止優盤自動播放，要作到這一點，咱們能夠按照下面的操做來進行：

首先在本地計算機系統桌面中依次單擊「開始」/「運行」命令，在彈出的系統運行文本框中，輸入字符串命令「gpedit.msc」，單擊「肯定」按鈕後，打開對應系統的組策略控制檯窗口;

其次在該控制檯窗口的左側顯示區域，逐一點選「本地計算機策略」/「計算機配置」/「管理模板」/「系統」分支選項，在對應「系統」分支選項的右側顯示區域中，找到「關閉自動播放」選項，並用鼠標右鍵單擊該選項，從彈出的快捷菜單中執行「屬性」命令，打開如圖1所示的屬性設置窗口;

 

圖1 關閉磁盤自動播放

選中其中的「已啓用」選項，而且從「關閉自動播放」下拉列表中選擇「全部驅動器」項目，最後單擊「肯定」按鈕，如此一來優盤設備插入到本地計算機系統後，就不會自動進行播放了，那麼其中的優盤病毒也就沒機會自動發做了，除非咱們本身打開優盤窗口，本地計算機纔會被感染網絡病毒。雖然這種方法隔離優盤病毒比較完全，但它會影響光盤的自動播放功能。

 

禁止運行病毒樣本

很多網絡病毒經過優盤進行非法傳播時，每每都是先運行樣本病毒程序，以後進行擴散傳播;依照這樣的傳播原理，咱們應該及時查詢病毒公告，尋找最新的病毒程序樣本，並將對應的病毒樣本文件拷貝到本地計算機系統中，以後經過合適的組策略設置，來禁止樣本病毒程序自動運行。在禁止運行病毒程序樣本文件時，咱們能夠按照下面的操做來設置系統組策略參數：

首先按照前面的操做步驟，打開本地計算機系統的組策略編輯窗口，在該編輯窗口的左側顯示區域逐一點選「本地計算機策略」/「計算機配置」/「Windows設置」/「安全設置」/「軟件限制策略」/「其餘規則」分支選項;

 

圖2 規則設置

其次在對應「其餘規則」分支選項的右側顯示區域中，用鼠標右鍵單擊空白位置，從彈出的快捷菜單中執行「新散列規則」命令，打開如圖2所示的設置對話框;點選該設置對話框中的「瀏覽」按鈕，從其後出現的文件選擇對話框中，將樣本病毒程序文件選中並加入進來，此時Windows系統會自動建立文件散列號碼，同時還會將對應樣本病毒文件的版本以及其餘屬性信息顯示出來，以後咱們只要將對應程序文件的「安全級別」設置爲「不容許」，最後單擊「肯定」按鈕，這樣一來往後優盤攜帶了指定樣本文件的病毒後，優盤病毒就會受到軟件限制策略的束縛而不能發做運行了。考慮到如今的優盤病毒變種比較多，咱們必須按期到網上查看各類病毒公告，蒐集各類病毒樣本文件，才能實現禁止運行樣本病毒的目的。

 

限制運行指定程序

若是咱們讓本身的計算機系統只能運行指定的一些應用程序，其餘任何應用程序包括病毒程序都不能運行的話，一樣也能實現拒絕優盤病毒非法傳播的目的。要限制系統只能運行指定應用程序時，咱們能夠按照下面的設置來操做：

首先依次單擊本地計算機系統桌面中的「開始」/「運行」命令，在系統運行框中執行「gpedit.msc」命令，打開對應系統的組策略編輯窗口，依次展開該窗口左側顯示區域的「本地計算機策略」/「用戶配置」/「管理模板」/「系統」分支選項;

 

圖3 Windows 應用程序許可

其次在對應「系統」分支選項的右側顯示區域中，找到目標組策略選項「只運行許可的Windows應用程序」，並用鼠標右鍵單擊該選項，從彈出的快捷菜單中執行「屬性」命令，打開如圖3所示的設置對話框，選中其中的「已啓用」選項，同時單擊「顯示」按鈕，在其後的設置窗口中單擊「添加」按鈕，來將咱們平時常常須要運行的應用程序依次添加進來，最後單擊「肯定」按鈕，那樣一來沒有被添加進入的病毒程序是沒有權限在本地計算機系統中運行的，這樣的話優盤病毒也就不能自動運行發做來感染本地計算機系統了。只是這種方法操做起來比較煩瑣，畢竟將須要使用的應用程序一個一個地添加到組策略控制列表中，工做量是十分巨大的，這不利於提升咱們的工做效率。

小提示：在一些保存了重要信息的服務器系統中，咱們能夠直接採用禁用優盤設備的方法，來實現拒絕優盤病毒非法傳播的目的，畢竟禁用了優盤設備後，優盤病毒是沒法靠近服務器系統的。在禁用優盤設備時，咱們能夠按照下面的操做來設置系統：

首先依次單擊本地計算機系統桌面中的「開始」/「程序」/「附件」/「Windows資源管理器」命令，在彈出的系統資源管理器窗口中，逐一展開「Windows」、「inf」文件夾窗口，並從「inf」文件夾窗口中找到優盤的驅動文件「usbstor.pnf」;

其次用鼠標右鍵單擊驅動文件「usbstor.pnf」，從彈出的快捷菜單中執行「屬性」命令，打開對應文件的屬性設置窗口;單擊該設置窗口中的「安全」標籤，並在對應標籤頁面中選中「everyone」賬號，同時將該賬號的訪問權限設置爲「拒絕」，最後單擊「肯定」按鈕，那樣一來優盤設備即便插入到本地計算機系統中了，也不會被系統識別安裝，這樣的話優盤病毒天然沒法傳染給本地計算機系統了。