设备: 允许对可移动媒体进行格式化并弹出
介绍了有关“设备: 允许对可移动媒体进行格式化并弹出”安全策略设置的最佳做法、位置、值和安全注意事项。
参考
此策略设置确定允许哪些用户对可移动媒体进行格式化并弹出。
用户可以将可移动磁盘移动到他们具有管理用户权限的其他设备,然后取得任何文件的所有权、为他们自己分配完全控制权,然后查看或修改任何文件。以下事实减弱了配置此策略设置的优势:大多数可移动存储设备通过按下按钮弹出媒体。
可能值
管理员
管理员和超级用户
管理员和交互用户(不适用于 Windows Server 2008 R2 或 Windows 7 及更高版本)
未定义
最佳做法
- 最好将“允许格式化和弹出可移动媒体”****设置为“管理员”。仅管理员能够弹出 NTFS 格式的可移动媒体。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出此策略的实际和有效默认值。策略的属性页中还列出了默认值。
服务器类型或 GPO | 默认值 |
---|---|
默认域策略 |
未定义 |
默认域控制器策略 |
未定义 |
独立服务器默认设置 |
管理员 |
DC 有效默认设置 |
管理员 |
成员服务器有效默认设置 |
管理员 |
客户端计算机有效默认设置 |
未定义 |
策略管理
本部分介绍可用于帮助管理此策略的功能和工具。
重启要求
无。当以本地方式保存或通过组策略分配对本策略的更改时,无需重新启动设备即可使这些更改生效。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
用户可以将可移动磁盘上的数据移到他们具有管理权限的其他计算机。然后,该用户可以取得任何文件的所有权、授予他们自己完全控制权,并查看或修改任何文件。当按下机械按钮时大多数可移动存储设备会弹出媒体的事实减弱了此策略设置的优势。
对策
将“设备:允许格式化和弹出可移动媒体”****设置配置为“管理员”。
潜在影响
仅管理员可以格式化和弹出可移动媒体。如果用户习惯于使用可移动媒体进行文件传输和存储,必须在策略发生更改时通知他们。