ИМХО если возможно, что бы не возится с програмными вариантами решения ворпоса, то просто опечатать USB разъемы на компах.
Програмные варианты часто раззадоривают пользователя наоборот сделать, а тут видно четко НИЗЯ.
Правильно заданный вопрос - это уже половина ответа.
В политике безопасности запретить установку устройств (драйверов) тем пользователям (группам пользователей), кому это не положено
[/quote]
Вопрос прямо противоположный заданному - как разрешить пользователям работать только с USB Flash, если при этом они должны быть только обычным User и совет в разрешении загрузки драйверов им явно не подходит по причине своей дырявости?
Windows XP sp1
Вопрос прямо противоположный заданному - как разрешить пользователям работать только с USB Flash, если при этом они должны быть только обычным User и совет в разрешении загрузки драйверов им явно не подходит по причине своей дырявости?
Windows XP sp1
[/quote]
Вы меня поправляете или это новый вопрос?
Если новый вопрос, то даю новый ответ:
В той же политике безопасности в параметрах пользователей, кажись в настройке рабочего стола (или проводника - не помню) есть возможность скрыть локальные диски. Так что делаем так:
1. Всех нужных юзверей кладем в один контейнер (подразделение), оснастка AD пользователи и компьютеры. Лучше создать новый и как нибудь по-соему его обозвать.
2. Правим политику для этого контейнера, не забыв выставить требуемый режим наследования ее параметров
3.Работаем.
Я не помню, можно ли скрыть какой либо диск кроме С, но я думаю для вас не проблема сделать на машине только один логический диск.
Так же можно выставить ограничения по чтению/записи/исполнению для группы пользователей в свойствах диска.
Вопрос прямо противоположный заданному - как разрешить пользователям работать только с USB Flash, если при этом они должны быть только обычным User и совет в разрешении загрузки драйверов им явно не подходит по причине своей дырявости?
Windows XP sp1
[/quote]
Вы меня поправляете или это новый вопрос?
Если новый вопрос, то даю новый ответ:
В той же политике безопасности в параметрах пользователей, кажись в настройке рабочего стола (или проводника - не помню) есть возможность скрыть локальные диски. Так что делаем так:
1. Всех нужных юзверей кладем в один контейнер (подразделение), оснастка AD пользователи и компьютеры. Лучше создать новый и как нибудь по-соему его обозвать.
2. Правим политику для этого контейнера, не забыв выставить требуемый режим наследования ее параметров
3.Работаем.
Я не помню, можно ли скрыть какой либо диск кроме С, но я думаю для вас не проблема сделать на машине только один логический диск.
Так же можно выставить ограничения по чтению/записи/исполнению для группы пользователей в свойствах диска.
[/quote]
Имелось в виду несколько не то - Я имел ввиду следующее - из всех USB устройств(и не только), которые можно подсоединять к компьютеру "на лету" разрешить пользоваться только флешем, при этом желательно оставить его рядовым пользователем и не давать разрешения загружать всякие левые драйвера(ибо это дыра).
Дыра - это загрузка с флеши, разрешенная политикой безопасности. А драйвера можно разрешить ставить только подписанные (не левые).
А какие устройства имеются в виду?
Я не могу понять причины беспокойства. Вам известны атаки через сканер? Какие проблемы могут быть решены, если пользователи будут работать только с флешем?
Пусть сидят на съемном винчестере с правами ниже пола, да и дырки все на машине заклеить и опечатать - для пущей убедительности.
Дыра - это загрузка с флеши, разрешенная политикой безопасности. А драйвера можно разрешить ставить только подписанные (не левые).
А какие устройства имеются в виду?
Я не могу понять причины беспокойства. Вам известны атаки через сканер? Какие проблемы могут быть решены, если пользователи будут работать только с флешем?
Пусть сидят на съемном винчестере с правами ниже пола, да и дырки все на машине заклеить и опечатать - для пущей убедительности.
[/quote]
Поясняю свое желание.
1. Грузится с Flash никакой политикой безопасности не запретить - для этого есть BIOS
2. Подписанные драйвера это конечно хорошо, но я не могу разрешить ставить "подписанные" драйвера, например от той же NVideo каждому пользователю имеющему Flash Drive.
3. Нет нужды иронизировать по поводу атаки через USB сканер, имелась ввиду атака через "подписанные" драйвера, причем атака может выражаться не в краже информации, а в простом и банальном развале системы.
4. Пользователи могут работать со всеми устройствами подключенными к их компьютеру - но только по одной причине - все это оборудование настроенно было ранее человеком с правами локального админа, и имеет некое постоянство. Кол-во же Flash Drive поражает, и естественно каждое определяется системой вновь, и Виндовс постоянно хочет устанавливать драйвера для Flash Drive, хотя они уже стояли ранее.
Поясняю ситуацию
1. Устанавливаем в систему USB Drive фирмы Transcend - с правами админа - все рабоатет, под обычным пользователем эта модель работает просто супер, но стоит установить в систему более емкий накопитель от той же трансенд - и винда вновь хочет драйвера - но мы ведь не админы - Объяснил как мог.
Понял. Вопрос в следуещем: как разрешить польз-ю установку драйверов только если это дрова флеши.
Ответ - ни как.
Разреши в винде устанавливать все, а коллегам объясни, что ничего кроме флеши ставить не надо.
И вообще, термин "политика безопасности" подразумевает совокупность мероприятий, как технических так и организационных, согласованых по месту цели и времени.
А то - админ флеши запрещает, а через проходную винч унести спокойно можно.
Да и ктому же, если немного порассуждать: в работающей системе переставлять дрова не надо. Если это было сделано - значит юзверь враг - хотел развалить систему, и его надо будет избить. Если не согласен - можно и клаву с мышей убрать - а то вдруг удалит чего.
А то - админ флеши запрещает, а через проходную винч унести спокойно можно.
Да и ктому же, если немного порассуждать: в работающей системе переставлять дрова не надо. Если это было сделано - значит юзверь враг - хотел развалить систему, и его надо будет избить. Если не согласен - можно и клаву с мышей убрать - а то вдруг удалит чего.
[/quote]
Через проходную пронести нельзя - Системные блоки опечатаны.
- /fix by Gifted - пользователь должен работать на машине, а не следовать советам журналов типа Chip или хакер
Rookie » 09 дек 2004, 17:52 
- Я имел ввиду следующее - из всех USB устройств(и не только), которые можно подсоединять к компьютеру "на лету" разрешить пользоваться только флешем, при этом желательно оставить его рядовым пользователем и не давать разрешения загружать всякие левые драйвера(ибо это дыра).
- Объяснил как мог.