Запрет на установку USB устройств (дисков)
Модератор: Модераторы
Сообщений: 18
• Страница 1 из 2 • 1, 2
Дрын » 20 июл 2005, 11:27
Прошу помочь в следующей ситуации:
по внутренней политике в организации пользователям надо запретить работу с переносными дисками. Пробовал ставить в реестре в разделе USBSTOR в параметре Start = 4. Тогда для установленного до этого момента устройства запрет срабатывал. Но при подключении к компьютеру нового устройства под обычным пользователем оно опять становится равным 3. Пробовал ставить локальному SYSTEM запрет на изменение этого раздела, только чтение. Не помогло. Право на изменение раздела только у администатора и владельца ключа.
Доменные пользователи входят в локальную группу на компьютерах Power Users, но этой группе тоже данный раздел запрещен на запись. Какая зараза может еще изменять данный раздел? Подскажите куда копать дальше?
Предлагать отключить USB как класс не надо, т.к. клавиатура и "мыши" тоже на этом сидят
по внутренней политике в организации пользователям надо запретить работу с переносными дисками. Пробовал ставить в реестре в разделе USBSTOR в параметре Start = 4. Тогда для установленного до этого момента устройства запрет срабатывал. Но при подключении к компьютеру нового устройства под обычным пользователем оно опять становится равным 3. Пробовал ставить локальному SYSTEM запрет на изменение этого раздела, только чтение. Не помогло. Право на изменение раздела только у администатора и владельца ключа.
Доменные пользователи входят в локальную группу на компьютерах Power Users, но этой группе тоже данный раздел запрещен на запись. Какая зараза может еще изменять данный раздел? Подскажите куда копать дальше?
Предлагать отключить USB как класс не надо, т.к. клавиатура и "мыши" тоже на этом сидят
sea » 20 июл 2005, 11:53
вкл аудит на ветки реестра. вкл аудит на доступ к объектам в локальной политике. все увидишь.
Правильно настроенный бэкап значительно сокращает трафик форумов.
biohazard » 11 авг 2005, 09:28
Не знаю как дела будут обстоять с локальной политикой, но в доменной групповой политике я cделал так - во первых сделал скрипт перезаписывающий значение реестра USBSTOR в 4, при загрузки; во вторых запретил полный доступ к файлам - "%SystemRoot%\windows\inf\usbstor.inf;
%SystemRoot%\windows\inf\usbstor.PNF;
%SystemRoot%\windows\System32\Drivers\usbstor.sys" группе users.
Работает на ура. USB диски вообще не подключаются, благодарные пользователи выражают своё восхищение
.
%SystemRoot%\windows\inf\usbstor.PNF;
%SystemRoot%\windows\System32\Drivers\usbstor.sys" группе users.
Работает на ура. USB диски вообще не подключаются, благодарные пользователи выражают своё восхищение
. Daniil » 18 авг 2005, 10:08
| Цитата (slz @ 11.08.2005 - 10:00) | ||||||||
| Дрын
http://support.microsoft.com/default.as ... -us;823732 http://support.microsoft.com/default.as ... -us;555324 [/quote] Пошел по первой ссылке, все работает. Недостатка два - только для усб-драйвов, и для 100 компьютеров в сети это сделать несколько обременительно. Попробовал второй вариант - отключение всех сьемных дисков, то что надо. И автоматически. В актив директори создал подразделение NoDrive. Для него в групповой политике создал объект "запрет сменных носителей". Прицепил на него diz-port.adm из вышеуказанной ссылки. Появилось Custom policy settings\Restrict drives. В Адм. шаблонах - вид - убрал показ только политик. Появилось Disable usb, Disable cd-rom и так далее. Политику Disable USB - включил. Значение Disable usb ports установил в enable. Создал в подразделении NoDrive группу Group_NoDrive, включил в нее пользователя usbtest. Зашел под usbtest. Воткнул флешку - а она все равно работает! Что я сделал не так?
|