组策略最容易引起误解的是它的名字──组策略并不是将策略运用到组中去的方法！与之相反的是，组策略通过将组策略链接到活动目录容器（通常就是组织单元，但也包括域和站点）对象而施行于个体或单独用户账户以及计算机账户。这里的组策略对象，就是策略设置的集合。

　　虽然通过组策略来限制可移动设备并不是一个十分出色的网络安全解决方案，因为一个已经安装了存储设备（如安装了一个USB驱动设备）的用户，可以继续使用它。不过我们还是可以进行一些细微的设置，这些设置可以允许你通过设备的ID来限制特定的可移动存储设备。

　　很难说哪一种安全威胁对你的网络数据影响最大。由于几个原因，我趋向于认为可移动存储设备，特别是USB驱动设备，应该位于列表的顶部。原因 1：USB储存设备非常容易被忽略。第二个原因：有一个简单的事实是，你可以将很大的数据（如多达4GB的数据）存储到一个USB驱动器上，这也就意味着用户可以将同样大的应用程序带到企业中。它还意味着用户可以将多达4GB的数据从企业带走。用户可以访问的任何数据都可以轻松地复制到这些驱动器上。而且 USB设备本身体积很小，这使得用户可以方便地将它带入、带出企业。

　　笔者曾与一些网管员谈到USB储存设备的安全风险问题。不过，这些网管员最通用的做法是禁用工作站上的USB端口。有一些较新的机器允许你通过BIOS禁用USB端口，不过大多数老机器并没有提供这个能力。这种情况下，还有一种方案最常用，那就是用胶布将USB端口封住以此来阻止其使用。

　　虽然这些方法都可以起到一定的作用，不过，都有一些缺点。对于操作者来说，这些方法都是“劳动密集型的吧，也就是说太难于实施。另外一个问题是禁用USB端口并没有彻底地解决用户访问可移动媒体的问题。用户可以轻松地使用FireWire硬盘驱动器、可移动的DVD驱动器作为另外一种选择。

　　在所有的这些方法中,最大的弊端就在于永久性地禁用USB端口会使用户没法使用USB设备并且使得这些端口不能被支持的用户访问。此外，偶尔也会有一些合法的理由使得USB端口应该可用。例如，有些工作需要用户拥有一个连接到其PC上的USB扫描仪。

　　幸运的是，微软的Windows Vista（还有其著名的Windows Server 2008 (Longhorn)）一个重要目标就是就是给管理员控制工作站使用硬件的方法提供了更好的控制。现在我们可以借助于组策略来控制对可移动稿设备的访问。

　　限制对USB存储设备访问的组策略设置目前只是在Windows Vista中可用。目前，这也就意味着你只能在本地计算机的层次上设置组策略。在Windows Server 2008发布之后，你就可以在域中、站点中或OU层次上设置这些组策略（当然，前提是你有一个Windows Server 2008的域控制器）。

　　要访问必须的组策略设置，你必须打开“组策略对象编辑器（ Group Policy Object Editor）。因此，请单击“开始/“所有程序/“附件（ 英文操作系统是Start / All Programs/ AccessorIEs，笔者用得是英文系统）。下一步，输入MMC命令。这会使Windows打开一个空的微软管理控制台（Microsoft Management Console）。在控制台打开后，从“文件（File）菜单中选择“添加/删除管理单元（ Add / Remove Snap-In）。从管理单元列表中选择组策略对象（Group Policy Object）选项，然后单击“添加（Add）按钮。默认情况下，这个管理单元会连接到本地计算机策略（Local Computer policy），因此直接单击“确定（ok）,然后单击“完成（Finish）即可。

　　本地计算机策略会被装载到控制台中。现在，导航到“计算机配置　“管理模板　“系统　“设备安装　“设备安装限制（英文系统是找到 Computer Configuration 　 Administrative Templates 　 System 　 Device Installation 　 Device Installation Restrictions）。在如此操作时，细节窗格会显示几个与安装硬件设备相关的几个限制，如下图A所示：

　　从上图可以看出，有许多与限制设备安装相关的设置。这些设置并非必然地、特定地与可移动设备相关联，而是从总体上与硬件设备相关联。这里的基本思想也就是，如果你限制了用户安装设备，也就阻止了任何你没有专门启用的设备。

　　关于可移动设备问题，你可以对两项策略设置给予特别注意：第一项设置是“允许管理员覆盖设备安装限制（ Allow Administrators to Override Device Installation Restrictions），如果你实施了任何的设备限制的设置，那么你有必要启用这项设置。否则，即使管理员也不能在工作站上安装任何的新硬件。

　　第二项重要的设置是“防止安装可移动设备（ Prevent Installation of Removable Devices）。如果你启用了这项设置，那么用户就不能安装可移动设备。如果一个用户已经在系统中使用了一个可移动设备，就会存在一个此可移动设备的驱动程序，因此用户就会继续使用它。不过，该用户将绝不可能更新设备的驱动程序。

　　其实，我们通过Windows Vista可以设置的安全措施还有很多，这有待你去进一步去探索、发现。

　　作者：木淼鑫

　　【赛迪网-IT技术报道】Websense发起一项关于网络犯罪的调查。此项调查共有全球107位安全专家参与，其中四分之一的被调查者认为：那些严重泄漏客户机密信息的企业的CEO或者董事会成员应该受到逮捕或监禁的惩罚，仅有3%的被访者认为不应该有法律强制执行的惩罚措施。79%的被访者认为企业如果发生了严重的资料泄漏事件应该被处以经济制裁，而59%的被访者还指出遭受损失的用户和消费者理应得到相应的补偿。96%的受访者一致呼吁成立一个全球性组织，推动全球各国政府协同工作来打击网络犯罪。

　　调查结果：

　　?股东面临数据泄漏防护的压力：79%的被访者认为企业在面对股东时承受着比去年更大的压力，企业需要向股东介绍用来防护数据泄漏的措施和方法，以解释如何实现以下几个关键性数据的安全防护。

　　- 企业品牌及公司形象的维护(51%)

　　- 媒体对数据泄漏的报道压力 (56%)

　　- 个人资料安全 (42%)

　　- 安全问题对股价的影响(34%)

　　?CEO和董事会成员的相关责任：对于CEO和董事会的责任，专家们意见高度一致，95%的受访者认为企业的CEO和董事会对安全问题负有责任，其中又有26%的受访者认为企业的CEO应当承担最终责任。这意味着人们的观点产生了标志性的转变，2007年的调查显示，74%的安全专家认为董事会应当负主要责任。去年，有21%的数据泄漏责任由IT部门来承担，而在2008年这个数据已经降到5%。

　　?董事会的反作用力: 76%的被访者认为大部分公司的董事会在安全防护方面会持反对意见，而不理会那些认为董事会应对企业数据安全负责的理论和观点。

　　?数据泄漏防护不会被优先处理: 45%的受访者认为企业不愿意对数据泄漏采取防护措施的首要原因是因此所产生的成本，45%的受访者则认为是大部分企业不将数据的安全防护作为最优先处理的事务。其他原因还包括：

　　- 除非出台相关法律规定，否则不会采取行动(22%)

　　- 过于复杂(21%)

　　- 认为没必要采取行动(9%)

　　?建立保障制度以赢得客户信任： 91%的受访者认为引进一个公认的安全标准，将有助于提升客户对企业形象和品牌的信任度。

　　Websense相关负责人指出：“本次调查表明：舆论开始普遍认为必须采取行动来打击网络犯罪和比以往规模更大的数据泄漏。我们非常希望能够看到更多针对网络犯罪而制定的法律法规和准则，尤其是那些保护个人数据的相关规定。董事会成员应当确保落实积极的、战略性的防护措施，以使企业的核心机密信息不被那些基于网络和邮件的安全攻击而破坏和窃取，防止企业的敏感资料落入不法分子手中。”

　　这项调查研究中的107个受访者来自15个国家。所有受访者均是代表各个国家参加2008年3月6日和5月5日的网络犯罪大会的安全专家，其中包括来自政府、公共组织和私营企业等社会各界的安全专家和负责企业风险控制、审计和法规的高级部门经理。

　　(责任编辑：李磊)

　　作者：李铁军

【赛迪网-IT技术报道】如果你用清理专家(下载)在你的电脑中检测到名称为troj.6to4ex的恶意软件，当出现清除失败时，请检查你的电脑是否存在以下特征。

检查是否存在以下文件：

1 = %sys32dir%/6to4ex.dll 2 = %sys32dir%/Ipripex.dll 3 = %windir%/iprep.exe4 = %sys32dir%/fsutk.dll    5 = %sys32dir%/liprip.dll

检查注册表是否存在以下键值

1 = HKEY_LOCAL_MacHINE/SYSTEM/CurrentControlSet/Services/6to4 2 = HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Iprip 3 = HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/{BF50AC63-19DA-487E-AD4A-0B452D823B59}4 = HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce的值为repst