Windows下配置系统组策略 拒绝优盘病毒

优盘凭借随身携带的便利性吸引了许多用户购买使用，这给网络病毒的疯狂传播提供了又一个载体;这不，如今Internet网络中有很多病毒就是专门借助优盘传播的，感染了这种优盘病毒后，计算机系统轻则运行不正常，严重的时候能使计算机发生瘫痪现象。为了拒绝本身的计算机系统感染优盘病毒，咱们能够巧妙修改系统的组策略相关参数，来拒绝优盘病毒进行非法传播。

禁止优盘自动播放

不少时候，优盘设备只要插入到计算机系统中，Windows系统就能自动打开优盘窗口，以便帮助咱们快速浏览其中的资源。而自动打开优盘窗口的操做，颇有可能被网络病毒利用成激活操做，那样一来咱们只要一不当心插入优盘设备，计算机系统当即就会被感染网络病毒;为了防止优盘病毒不请自来，咱们必须想办法让计算机系统禁止优盘自动播放，要作到这一点，咱们能够按照下面的操做来进行：

首先在本地计算机系统桌面中依次单击“开始”/“运行”命令，在弹出的系统运行文本框中，输入字符串命令“gpedit.msc”，单击“肯定”按钮后，打开对应系统的组策略控制台窗口;

其次在该控制台窗口的左侧显示区域，逐一点选“本地计算机策略”/“计算机配置”/“管理模板”/“系统”分支选项，在对应“系统”分支选项的右侧显示区域中，找到“关闭自动播放”选项，并用鼠标右键单击该选项，从弹出的快捷菜单中执行“属性”命令，打开如图1所示的属性设置窗口;

 

图1 关闭磁盘自动播放

选中其中的“已启用”选项，而且从“关闭自动播放”下拉列表中选择“全部驱动器”项目，最后单击“肯定”按钮，如此一来优盘设备插入到本地计算机系统后，就不会自动进行播放了，那么其中的优盘病毒也就没机会自动发做了，除非咱们本身打开优盘窗口，本地计算机才会被感染网络病毒。虽然这种方法隔离优盘病毒比较完全，但它会影响光盘的自动播放功能。

 

禁止运行病毒样本

很多网络病毒经过优盘进行非法传播时，每每都是先运行样本病毒程序，以后进行扩散传播;依照这样的传播原理，咱们应该及时查询病毒公告，寻找最新的病毒程序样本，并将对应的病毒样本文件拷贝到本地计算机系统中，以后经过合适的组策略设置，来禁止样本病毒程序自动运行。在禁止运行病毒程序样本文件时，咱们能够按照下面的操做来设置系统组策略参数：

首先按照前面的操做步骤，打开本地计算机系统的组策略编辑窗口，在该编辑窗口的左侧显示区域逐一点选“本地计算机策略”/“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”/“其余规则”分支选项;

 

图2 规则设置

其次在对应“其余规则”分支选项的右侧显示区域中，用鼠标右键单击空白位置，从弹出的快捷菜单中执行“新散列规则”命令，打开如图2所示的设置对话框;点选该设置对话框中的“浏览”按钮，从其后出现的文件选择对话框中，将样本病毒程序文件选中并加入进来，此时Windows系统会自动建立文件散列号码，同时还会将对应样本病毒文件的版本以及其余属性信息显示出来，以后咱们只要将对应程序文件的“安全级别”设置为“不容许”，最后单击“肯定”按钮，这样一来往后优盘携带了指定样本文件的病毒后，优盘病毒就会受到软件限制策略的束缚而不能发做运行了。考虑到如今的优盘病毒变种比较多，咱们必须按期到网上查看各类病毒公告，搜集各类病毒样本文件，才能实现禁止运行样本病毒的目的。

 

限制运行指定程序

若是咱们让本身的计算机系统只能运行指定的一些应用程序，其余任何应用程序包括病毒程序都不能运行的话，一样也能实现拒绝优盘病毒非法传播的目的。要限制系统只能运行指定应用程序时，咱们能够按照下面的设置来操做：

首先依次单击本地计算机系统桌面中的“开始”/“运行”命令，在系统运行框中执行“gpedit.msc”命令，打开对应系统的组策略编辑窗口，依次展开该窗口左侧显示区域的“本地计算机策略”/“用户配置”/“管理模板”/“系统”分支选项;

 

图3 Windows 应用程序许可

其次在对应“系统”分支选项的右侧显示区域中，找到目标组策略选项“只运行许可的Windows应用程序”，并用鼠标右键单击该选项，从弹出的快捷菜单中执行“属性”命令，打开如图3所示的设置对话框，选中其中的“已启用”选项，同时单击“显示”按钮，在其后的设置窗口中单击“添加”按钮，来将咱们平时常常须要运行的应用程序依次添加进来，最后单击“肯定”按钮，那样一来没有被添加进入的病毒程序是没有权限在本地计算机系统中运行的，这样的话优盘病毒也就不能自动运行发做来感染本地计算机系统了。只是这种方法操做起来比较烦琐，毕竟将须要使用的应用程序一个一个地添加到组策略控制列表中，工做量是十分巨大的，这不利于提升咱们的工做效率。

小提示：在一些保存了重要信息的服务器系统中，咱们能够直接采用禁用优盘设备的方法，来实现拒绝优盘病毒非法传播的目的，毕竟禁用了优盘设备后，优盘病毒是没法靠近服务器系统的。在禁用优盘设备时，咱们能够按照下面的操做来设置系统：

首先依次单击本地计算机系统桌面中的“开始”/“程序”/“附件”/“Windows资源管理器”命令，在弹出的系统资源管理器窗口中，逐一展开“Windows”、“inf”文件夹窗口，并从“inf”文件夹窗口中找到优盘的驱动文件“usbstor.pnf”;

其次用鼠标右键单击驱动文件“usbstor.pnf”，从弹出的快捷菜单中执行“属性”命令，打开对应文件的属性设置窗口;单击该设置窗口中的“安全”标签，并在对应标签页面中选中“everyone”账号，同时将该账号的访问权限设置为“拒绝”，最后单击“肯定”按钮，那样一来优盘设备即便插入到本地计算机系统中了，也不会被系统识别安装，这样的话优盘病毒天然没法传染给本地计算机系统了。