對于很多在行業應用場景,特别是網銀USB KEY測試方面,對大家都很有幫助。
因為搞終端嘛,很難免需要和很多的外設打交道,小弟近些年來一直專注于終端安全以及管理這個行業,也碰到過頗多外設管理方面的需求。
記得業績知名的SYMANTEC ENDPOINT PROTECTION 11,當初在其MR2版本的時候加入了一個基于裝置ID而實作的USB管理的功能,說起來很簡單,使用者不希望用戶端可以随意使用U盤,但是又必須允許其
使用機關統一授權或者采購的USB裝置,以及鍵盤滑鼠這一類人體工學的USB裝置。
這時候問題就來了,傳統的USB控制政策,包括AD組政策都隻能基于裝置類型(CLASS ID)進行啟用或者禁用,無法精細到裝置ID(DEVICE ID)。也就是說U盤要麼你就不準用,要麼你就都能用。
記得當年大摩給了賽門一筆錢,于是乎,在SEP11的第三個版本中,就乖乖的加入了這個功能,還真别說,對于國内市場,這個功能還沒少幫我們忙呢,一下就拉開了和競争對手的差距,于是國内一些安全軟體
的本土廠商也開始争相效仿。
後來哥開始玩虛拟桌面了,不過心裡一直還是記着這個問題的,俗話說“出來混總是要還的”,今天果然就碰到了使用者問到類似的需求,希望某些USB裝置可以被識别并重定向到虛拟桌面裡面,某些裝置不可
以。一聽這個需求,頭馬上就開始痛了,我的第一反應是:建議每個人再買一套SEP?估計使用者聽到會罵死我的,呵呵。況且使用者不是大摩啊,不可能說加功能就加功能。
怎麼辦呢,還好有我們強大的VMWARE VIEW,在系統資料庫中輕輕動一動,問題就搞定了,不賣關子,我們來看看究竟需求改哪些地方。
首先我們來認識兩個系統資料庫鍵值吧。(這2個鍵值都加到VIEW CLIENT端,也就是我們常說的瘦客戶機或者本地計算機端)
MULTI_SZ HKLM\SOFTWARE\VMware, Inc.\VMware VDM\USB\ClassFilters
MULTI_SZ HKLM\SOFTWARE\VMware, Inc.\VMware VDM\USB\AllowHardwareIDs
第二個鍵值大家應該不陌生,之前提到的文章中已經有提到了,沒錯,他,就是他,還是他,真是居家旅行,殺人滅口,必備良藥啊。
是以大家隻需要将USB的通用CLASS ID加到第一個鍵值中,加你需要特别允許或授權使用的USB裝置的DEVICE ID加到第二個鍵值中。
有人問我,我從哪找這2個ID啊?
哥們很簡單,打開裝置管理器,選擇USB裝置,右鍵屬性,在DETAILS裡面
<a href="http://virtualyourdesk.blog.51cto.com/attachment/201111/7/904833_1320649189k2j5.jpg"></a>
DEVICE CLASS GUID代表U盤的通用ID
<a href="http://virtualyourdesk.blog.51cto.com/attachment/201111/7/904833_13206492214qKe.jpg"></a>
HARDWARE ID代表USB裝置唯一的裝置ID
将其加入系統資料庫
<a href="http://virtualyourdesk.blog.51cto.com/attachment/201111/7/904833_1320649245lyMn.jpg"></a>
這樣就大功告成了,簡單吧!
面對這麼強大而靈活的VIEW,你是買呢,還是買呢,還是買呢?
本文轉自robbindai 51CTO部落格,原文連結:http://blog.51cto.com/virtualyourdesk/708125
![Web 開發常見安全問題[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)