none
Не работают политики ограничения доступа к запоминающим устройствам RRS feed

  • Общие обсуждения

  • Вопрос касается не только W8, но и W7, но тестировалось на "чистой" W8.1, потому пишу сюда, если неправильно выбрал ветку, прошу модераторов, перенести в нужный форум

    С недавнего времени после установки порции обновлений на ОС, обнаружено, что учетные записи пользователей, которым было заблокировано обращение к съемным накопителям, теперь могут свободно получать доступ к этим самым накопителям, т.е. политики не действуют.

    Мониторинг rsop - показал, что политики применяются.
    Мониторинг реестра, так же показал, что на пользователя политики применены.
    (к, примеру:
    HKEY_USERS\S-1-5-21-131375016-159547806-775140847-5848\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\
    Deny_Read=1
    Deny_Write=1
    )
    Политики же, которые применяются на компьютер - нормально отрабатывают.
    Политики компьютера не перекрывают политики пользователя.

    Возникает вопрос: в связи с чем это связано, и собственно, как дальше определять политики на пользователя?

    29 июня 2016 г. 5:18

Все ответы

  • Здравствуйте,


    Посмотрите, пожалуйста, какие именно обновления у вас установились.

    Если было: MS16-072 то попробуйте решение:

    Почему перестали работать некоторые GPO после установки MS16-072

    А также, пожалуйста, посмотрите статью: MS16-072: Security update for Group Policy: June 14, 2016

    29 июня 2016 г. 12:35
  • Доброго времени суток, в общем выяснил сам.

    Возможно обновление MS16-072 и влияет на применение политик, пробовал откатывать - как на контроллерах домена, так и на рядовых компьютерах - проблема не решилась.

    Кроме политик на пользователей - у меня существует еще политика на компьютеры, которая ограничивает запуск со съемных накопителей (данного параметра в политике пользователей нет, применяется для защиты от распространения вирусов с флеш-накопителей).
    Получается если определен хоть один параметр политики на компьютеры, то любые параметры политики пользователей распространяются, но не обрабатываются.

    Если бы это относилось к конфликтующим параметрам политики, то это можно было-бы понять, другое дело, в политике компьютеров не определены параметры чтение-записи на съемные накопители, как понимать то, что политики пользователя просто не берут во внимание???

    Собственно, кроме этого возникает вопрос: как запретить запуск программ со съемных накопителей?

    30 июня 2016 г. 9:08