CN105550567A - 一种Windows虚拟机USB设备读写权限管控方法 - Google Patents
一种Windows虚拟机USB设备读写权限管控方法 Download PDFInfo
- Publication number
- CN105550567A CN105550567A CN201510902544.1A CN201510902544A CN105550567A CN 105550567 A CN105550567 A CN 105550567A CN 201510902544 A CN201510902544 A CN 201510902544A CN 105550567 A CN105550567 A CN 105550567A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- usb device
- serial ports
- windows
- java
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及云计算技术领域,特别指一种Windows虚拟机USB设备读写权限管控方法。本发明首先对Windows虚拟机安装Java串口代理程序,然后宿主机往虚拟机的串口发送设置USB设备读写权限的命令;再次,虚拟机的Java串口代理程序通过串口获取宿主机发送的USB设备读写权限设置命令,并调用虚拟机的DOS命令执行设置USB设备读写权限的命令,并刷新Windows虚拟机的组策略;最后Java串口代理程序返回USB设备读写权限设置命令执行结果给宿主机,宿主机发送锁定注册表命令给虚拟机的串口,Java串口代理程序执行锁定注册表命令,最后锁住注册表的修改权限。本发明解决了虚拟主机对于USB设备接入的权限管控,可以用于Windows虚拟机USB设备读写权限的管控。
Description
技术领域
本发明涉及云计算技术领域,特别指一种Windows虚拟机USB设备读写权限管控方法。
背景技术
在云计算发展的大趋势下,无论是物理主机还是虚拟主机,特别是涉及公司机密资料、客户机密数据和商业机密的Windows主机或者运行应用和服务的Windows,如果接入未经授权的USB设备,就会导致机密数据丢失,给公司造成重大损失;面临中病毒和木马的危险,导致宕机和操作系统崩溃的几率较高,因此,需要对Windows虚拟机接入的USB设备读写权限进行管控,只有具有读写权限的USB设备才能访问Windows虚拟机,防止公司机密资料和机密数据丢失、中病毒和木马的危险,以免造成公司重大损失。
典型的对Windows主机对接入的USB设备设置读写权限的方法是在Windows虚拟机里设置组策略,其设置方法的步骤如下:
1、打开运行对话框,输入gpedit.msc,这时会弹出组策略窗口;
2、依次展开“计算机配置-管理模板-系统-可移动存储访问”;
3、打开“可移动磁盘:拒绝写入权限”,在“已启用”点为实点,单击应用按钮后,接入Windows虚拟机的USB设备就只有只读权限,而没有写入的权限;
4、打开“可移动磁盘:拒绝读取权限”,在“已启用”点为实点,单击应用按钮后,接入Windows虚拟机的USB设备就只有写入的权限,而没有读取的权限;
5、打开“可移动磁盘:拒绝执行权限”,在“已启用”点为实点,单击应用按钮后,接入Windows虚拟机的USB设备就既没有写入的权限,也没有读取的权限
在云计算环境下,由于需要设置USB设备读写权限的虚拟机比物理机的数量要多得多,考虑到通过Windows组策略设置USB设备读写权限的特点,会产生以下的问题:
1、懂得Windows组策略机制的用户,可以去更改Windows的组策略,从而反向修改管理员设置的USB设备读写权限,导致管理员设置的USB设备读写权限不生效;
2、管理员需要一台台登陆虚拟机修改,并且需要知道Windows虚拟机的用户名跟密码,才能登陆虚拟机修改组策略;
3、有些Windows虚拟机限制了用户不能访问组策略。
因此,需要一种专门针对Windows虚拟机设置USB设备读写权限的方法。
发明内容
本发明解决的技术问题在于提供一种Windows虚拟机的USB设备读写权限的方法,解决了云计算环境大量Windows虚拟主机对于USB设备接入的权限管控,防止未经授权的USB设备接入虚拟机或者自动运行,导致造成机密信息泄漏或者造成病毒木马入侵操作系统。
本发明解决上述技术问题的技术方案是:
所述的方法包括如下步骤:
步骤1,Windows虚拟机安装Java串口代理程序;
步骤2,宿主机往Windows虚拟机的串口发送USB设备读写权限控制命令;
步骤3,Java串口代理程序接收宿主机发送的USB设备读写权限控制命令;
步骤4,Java串口代理程序调用虚拟机的DOS命令执行USB设备读写控制权限命令;
步骤5,Java串口代理程序返回执行结果给宿主机,宿主机发送锁定注册表命令给虚拟机的串口;
步骤6,Java串口代理程序从串口获取锁定注册表的命令并执行。
所述Java串口代理程序用于监听虚拟机的串口,调用Windows虚拟机的dos命令执行宿主机发送的设置USB设备读写权限的命令和锁定注册表的命令。
当通过虚拟机的串口发送USB设备读写权限控制命令时,Java串口代理程序监听串口并接收USB设备读写权限控制命令,而不需要知道虚拟机的用户名和密码。
Java串口代理程序锁住注册表,防止用户反向修改管理员设置的USB设备读写权限。
本发明通过对Windows虚拟机设置USB设备读写权限,防止未经授权的USB设备接入虚拟机或者自动运行,导致造成机密信息泄漏或者造成病毒木马入侵操作系统。
附图说明
下面结合附图对本发明进一步说明:
图1为本发明的流程图;
图2为本发明的一个具体应用流程图;
具体实施方式
如图1、2所示;本发明具体流程如下:
1.在Windows虚拟机安装Java串口代理程序,监听虚拟机的串口。Java串口代理程序的关键代码如下:
2.宿主机获取Windows虚拟机的串口实例,往虚拟机的串口发送设置USB设备读写权限的命令,包括3种权限,分别是可读写权限、只读权限和禁止权限;
3.虚拟机的默认USB设备读写权限是可读写权限时
(1)如果设置为只读权限,发送的USB设备读写权限设置命令是
regadd
″HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevic
es\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}″/vDeny_Write/treg_dword/d1/f
gpupdate/force
(2)如果设置为禁止权限,发送的USB设备读写权限设置命令是
regadd
″HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevic
es\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}″/vDeny_All/treg_dword/d1/f
gpupdate/force
4.虚拟机的默认USB设备读写权限是只读权限时
(1)如果设置为可读写权限,发送的USB设备读写权限设置命令是
regadd
″HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevic
es\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}″/vDeny_Write/treg_dword/d0/f
gpupdate/force
(2)如果设置为禁止权限,要先设置为可读写权限,再设置为禁止权限,发送的USB设备读写权限设置命令是
regadd
″HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevic
es\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}″/vDeny_Write/treg_dword/d0/f
regadd
″HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevic
es\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}″/vDeny_All/treg_dword/d1/f
gpupdate/force
5.虚拟机的默认USB设备读写权限是禁止权限时
(1)如果设置为可读写权限,发送的USB设备读写权限设置命令是
regadd
″HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevic
es\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}″/vDeny_All/treg_dword/d0/f
gpupdate/force
(2)如果设置为只读权限,要先设置为可读写权限,再设置为只读权限,发送的USB设备读写权限设置命令是
regadd
″HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevic
es\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}″/vDeny_All/treg_dword/d0/f
regadd
″HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevic
es\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}″/vDeny_Write/treg_dword/d1/f
gpupdate/force
6.Java串口代理程序获取USB设备读写权限设置命令,调用虚拟机的dos命令执行,执行完成后返回结果给宿主机
7.宿主机发送锁定注册表命令给虚拟机的串口
8.最后,Java串口代理程序获取串口的锁定注册表命令,执行完成后,锁定注册表。锁定注册表的命令为:
WindowsRegistryEditorVersion5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System]
“DisableRegistryTools”=dword:00000001。
Claims (5)
1.一种Windows虚拟机USB设备读写权限管控方法,其特征在于:所述的方法包括如下步骤:
步骤1,Windows虚拟机安装Java串口代理程序;
步骤2,宿主机往Windows虚拟机的串口发送USB设备读写权限控制命令;
步骤3,Java串口代理程序接收宿主机发送的USB设备读写权限控制命令;
步骤4,Java串口代理程序调用虚拟机的DOS命令执行USB设备读写控制权限命令;
步骤5,Java串口代理程序返回执行结果给宿主机,宿主机发送锁定注册表命令给虚拟机的串口;
步骤6,Java串口代理程序从串口获取锁定注册表的命令并执行。
2.根据权利要求1所述的一种Windows虚拟机USB设备权限管控方法,其特征在于:所述Java串口代理程序用于监听虚拟机的串口,调用Windows虚拟机的dos命令执行宿主机发送的设置USB设备读写权限的命令和锁定注册表的命令。
3.根据权利要求1所述的一种Windows虚拟机USB设备权限管控方法,其特征在于:当通过虚拟机的串口发送USB设备读写权限控制命令时,Java串口代理程序监听串口并接收USB设备读写权限控制命令,而不需要知道虚拟机的用户名和密码。
4.根据权利要求2所述的一种Windows虚拟机USB设备权限管控方法,其特征在于:当通过虚拟机的串口发送USB设备读写权限控制命令时,Java串口代理程序监听串口并接收USB设备读写权限控制命令,而不需要知道虚拟机的用户名和密码。
5.根据权利要求1至4任一项所述的一种Windows虚拟机USB设备权限管控方法,其特征在于:Java串口代理程序锁住注册表,防止用户反向修改管理员设置的USB设备读写权限。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510902544.1A CN105550567A (zh) | 2015-12-09 | 2015-12-09 | 一种Windows虚拟机USB设备读写权限管控方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510902544.1A CN105550567A (zh) | 2015-12-09 | 2015-12-09 | 一种Windows虚拟机USB设备读写权限管控方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105550567A true CN105550567A (zh) | 2016-05-04 |
Family
ID=55829754
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510902544.1A Pending CN105550567A (zh) | 2015-12-09 | 2015-12-09 | 一种Windows虚拟机USB设备读写权限管控方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105550567A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111796914A (zh) * | 2020-07-20 | 2020-10-20 | 山东超越数控电子股份有限公司 | 设置物理串口的属性的方法、虚拟机及宿主机 |
WO2021143049A1 (zh) * | 2020-01-17 | 2021-07-22 | 苏州浪潮智能科技有限公司 | 一种读写方法、装置和电子设备及可读存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8266395B2 (en) * | 2007-03-23 | 2012-09-11 | Vmware, Inc. | Detecting attempts to change memory |
CN102707971A (zh) * | 2012-04-26 | 2012-10-03 | 广东电子工业研究院有限公司 | 一种在虚拟机中自动获取和安装软件的方法 |
CN103441867A (zh) * | 2013-08-15 | 2013-12-11 | 国云科技股份有限公司 | 一种更新虚拟机内部网络资源配置的方法 |
CN103618724A (zh) * | 2013-12-03 | 2014-03-05 | 中标软件有限公司 | 终端机与虚拟机之间的通信方法与通信系统 |
CN103677961A (zh) * | 2013-12-20 | 2014-03-26 | 国云科技股份有限公司 | 一种设置虚拟机主机名的方法 |
CN104102527A (zh) * | 2014-07-10 | 2014-10-15 | 国云科技股份有限公司 | 一种虚拟机软件更新方法 |
CN104461753A (zh) * | 2014-11-23 | 2015-03-25 | 国云科技股份有限公司 | 一种防止应用程序检测Windows虚拟机信息的方法 |
-
2015
- 2015-12-09 CN CN201510902544.1A patent/CN105550567A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8266395B2 (en) * | 2007-03-23 | 2012-09-11 | Vmware, Inc. | Detecting attempts to change memory |
CN102707971A (zh) * | 2012-04-26 | 2012-10-03 | 广东电子工业研究院有限公司 | 一种在虚拟机中自动获取和安装软件的方法 |
CN103441867A (zh) * | 2013-08-15 | 2013-12-11 | 国云科技股份有限公司 | 一种更新虚拟机内部网络资源配置的方法 |
CN103618724A (zh) * | 2013-12-03 | 2014-03-05 | 中标软件有限公司 | 终端机与虚拟机之间的通信方法与通信系统 |
CN103677961A (zh) * | 2013-12-20 | 2014-03-26 | 国云科技股份有限公司 | 一种设置虚拟机主机名的方法 |
CN104102527A (zh) * | 2014-07-10 | 2014-10-15 | 国云科技股份有限公司 | 一种虚拟机软件更新方法 |
CN104461753A (zh) * | 2014-11-23 | 2015-03-25 | 国云科技股份有限公司 | 一种防止应用程序检测Windows虚拟机信息的方法 |
Non-Patent Citations (1)
Title |
---|
潘家富等: "U盘防御系统的设计与实现", 《现代计算机(专业版)》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021143049A1 (zh) * | 2020-01-17 | 2021-07-22 | 苏州浪潮智能科技有限公司 | 一种读写方法、装置和电子设备及可读存储介质 |
US11868620B2 (en) | 2020-01-17 | 2024-01-09 | Inspur Suzhou Intelligent Technology Co., Ltd. | Read-write method and apparatus, electronic device, and readable memory medium |
CN111796914A (zh) * | 2020-07-20 | 2020-10-20 | 山东超越数控电子股份有限公司 | 设置物理串口的属性的方法、虚拟机及宿主机 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11652852B2 (en) | Intrusion detection and mitigation in data processing | |
US10361998B2 (en) | Secure gateway communication systems and methods | |
DE112015004555B4 (de) | Verarbeiten eines Gast-Ereignisses in einem von einem Hypervisor gesteuerten System | |
US8909940B2 (en) | Extensible pre-boot authentication | |
US9830430B2 (en) | Inherited product activation for virtual machines | |
US9424154B2 (en) | Method of and system for computer system state checks | |
US20210382739A1 (en) | Partially Privileged Lightweight Virtualization Environments | |
DE10393662T5 (de) | Bereitstellen eines sicheren Ausführungsmodus in einer Preboot-Umgebung | |
DE112012003988T5 (de) | Schützen des Arbeitsspeichers eines virtuellen Gasts | |
US10681087B2 (en) | Method of managing system utilities access control | |
DE112011105577T5 (de) | Virtueller hochprivilegierter Modus für eine Systemverwaltungsanforderung | |
US11263033B2 (en) | Usage checks for code running within a secure sub-environment of a virtual machine | |
DE112011105687T5 (de) | Verwendung eines Option-ROM-Speichers | |
US20180026986A1 (en) | Data loss prevention system and data loss prevention method | |
CN111919198A (zh) | 内核函数回调的方法和系统 | |
CN111083166A (zh) | 云数据库设置白名单的方法、装置及计算机存储介质 | |
JP2018124893A (ja) | 計算機システム及びファイルアクセスコントロール方法 | |
CN101819548A (zh) | 一种利用强制访问控制检测Linux系统故障的技术 | |
CN104598842B (zh) | 一种虚拟机监控器信任域分割方法 | |
CN105550567A (zh) | 一种Windows虚拟机USB设备读写权限管控方法 | |
CN101827091A (zh) | 一种利用强制访问控制检测Solaris系统故障的方法 | |
US20230342472A1 (en) | Computer System, Trusted Function Component, and Running Method | |
US20230359741A1 (en) | Trusted boot method and apparatus, electronic device, and readable storage medium | |
US20170178105A1 (en) | Basic input/output system (bios) credential management | |
GB2515736A (en) | Controlling access to one or more datasets of an operating system in use |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160504 |
|
RJ01 | Rejection of invention patent application after publication |