设备: 将软盘驱动器的访问权限仅限于本地登录的用户
介绍了有关“设备: 将软盘驱动器的访问权限仅限于本地登录的用户”安全策略设置的最佳做法、位置、值和安全注意事项。
参考
此策略设置确定本地和远程用户是否可以同时访问可移动软盘。启用此策略设置仅允许以交互方式登录的用户访问可移动软盘。如果启用此策略设置,并且没有人以交互方式进行登录,则可以通过网络访问软盘。
启用此策略设置的安全优势很小,因为当有人同时登录系统的本地控制台时,它只能防止网络用户访问软盘驱动器。此外,软盘驱动器不会自动成为可用的网络共享驱动器;用户必须有意选择共享该驱动器。当你正在安装软件或从软盘复制数据,并且他们不希望网络用户能够执行应用程序或查看该数据时,该设置将变得很重要。
如果启用此策略设置,当有任何人登录服务器的本地控制台时,通过网络连接到服务器的用户将无法使用安装在该服务器上的任何软盘驱动器。
可能值
启用
禁用
未定义
最佳做法
- 最佳做法取决于你对 CD 驱动器的安全性和用户可访问性要求。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出此策略的实际和有效默认值。策略的属性页中还列出了默认值。
服务器类型或 GPO | 默认值 |
---|---|
默认域策略 |
未定义 |
默认域控制器策略 |
未定义 |
独立服务器默认设置 |
禁用 |
DC 有效默认设置 |
禁用 |
成员服务器有效默认设置 |
禁用 |
客户端计算机有效默认设置 |
已禁用 |
策略管理
本部分介绍可用于帮助管理此策略的功能和工具。
重启要求
无。当以本地方式保存或通过组策略分配对本策略的更改时,无需重新启动设备即可使这些更改生效。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
远程用户可能访问包含敏感信息的已装载的软盘。此风险很小,因为软盘驱动器不会自动共享;管理员必须有意选择共享该驱动器。但是,你可以拒绝为网络用户提供从服务器上的可移动媒体查看数据或运行应用程序的功能。
对策
启用“设备: 将软盘的访问权限仅限于本地登录的用户”****设置。
潜在影响
当有任何人登录服务器的本地控制台时,通过网络连接到服务器的用户无法使用安装在设备上的任何软盘驱动器。需要访问软盘驱动器的系统工具将失败。例如,卷影复制服务在进行初始化时尝试访问计算机上存在的所有 CD-ROM 和软盘驱动器,如果服务无法访问其中一个驱动器,它将失败。如果已为备份作业指定卷影复制,此情况将导致 Windows 备份工具失败。任何使用卷影复制的非 Microsoft 备份产品也会失败。