Windows 2008安全之如何禁止安装所有设备

　　服务器作为IT系统的核心设备，其安全性之重要不言而喻，如何防止未经授权用户的恶意操作，比如安装设备驱动程序等操作，便是着重考虑的事情。本文即介绍了实施最严格配置所需的典型步骤，在本文中，将禁止所有设备安装并且不能使用新的设备驱动程序更新现有设备。在没有管理员干预的情况下，用户将无法安装设备并使用该设备。管理员仍可以根据需要安装或更新任何设备。

　　禁止安装所有设备的步骤

　　步骤 1：配置策略以禁止安装任何设备

　　1. 以系统管理员身份登录到计算机。

　　2. 若要打开组策略管理编辑器，请单击"开始"按钮，在"开始搜索"框中键入 mmc gpedit.msc，然后按 Enter。

　　3. 如果出现"用户账户控制"对话框，请确认所显示的是您想要执行的操作，然后单击"继续"。

　　4. 在组策略管理编辑器导航窗格中，双击"计算机配置"将其打开。接着依次打开"管理模板"、"系统"、"设备安装"，然后打开"设备安装限制"。（图1）

　　5. 在细节窗格中，右键单击"禁止安装未由其他策略设置描述的设备"，然后单击"属性"。

　　随即出现策略对话框，其设置为当前设置。

　　6. 在"设置"选项卡上，单击"启用"打开策略。

　　7. 单击"确定"保存设置并返回组策略管理编辑器。

　　步骤 2：配置策略以允许管理员覆盖设备安装限制

　　下一个策略使管理员能够覆盖由其他设备安装策略设置施加的限制，包括刚启用的策略。

　　1. 在细节窗格中，右键单击"允许管理员覆盖设备安装策略"，然后单击"属性"。

　　随即出现策略对话框，其设置为当前设置。

　　2. 在"设置"选项卡上，单击"启用"打开策略设置。

　　3. 单击"确定"保存设置并返回组策略管理编辑器。

　　现在两个策略的状态都显示为已启用。（图2）

4. 关闭组策略管理编辑器。

　　步骤 3：以用户身份测试限制设置的效果

　　当两个策略都启用时，可以将它们应用于计算机，然后尝试安装设备以查看限制是否起作用。

　　1. 如果您的设备已安装，请按照本文档前面的卸载 USB 存储驱动器部分中的步骤将其卸载并删除。

　　2. 单击"开始"按钮，在"开始搜索"框中键入 gpupdate /force，然后按 Enter。

　　3. 当 GPUdate 命令完成时，注销计算机，然后以系统管理员身份登录。

　　4. 若要打开设备管理器，请单击"开始"按钮，在"开始搜索"框中键入 mmc devmgmt.msc，然后按 Enter。

　　将显示以下消息，指明您没有权限在设备管理器中进行任何更改。（图3）

5. 单击"确定"确认该消息。

　　设备管理器将启动，然后您可以查看计算机中的设备。

　　6. 插入 USB 存储驱动器。

　　成功完成安装之后，设备将显示在设备管理器的"其他设备"节点下。（图4）

　　7. 由于您是以不具有管理权限的标准用户身份登录，并且现在已限制设备安装，所以将出现下列对话框：（图5）

　　8. 若要模拟典型的用户响应，请单击"查找并安装驱动程序软件(推荐)"。

　　将出现其他形式的"用户帐户控制"对话框，要求提供具有管理员权限的帐户的用户名和密码。

　　9. 由于用户不能提供管理员凭据，所以单击"取消"中止以用户身份执行操作的尝试。

　　设备驱动程序安装失败，设备保留在"其他设备"节点下并且不能正常工作。（图6）