none
разграничения возможности подключения к usb различных устройств (к примеру, принтер, сканер можно, а другие устройства нельзя) RRS feed

  • Общие обсуждения

  • Проблема заключается в следующем; есть сеть состоящая из энного количества клиентских компьютеров, не все имеют доступ к интернет,

     

    поэтому приносят беспроводные модемы, и подключаются к интернет, тем самым нарушают безопасность сети, угроза вирусов, использование техники работодателя не по назначению.

     

    Вопрос как это безобразие прекратить на уровне разграничения возможности подключения к usb различных устройств (к примеру, принтер, сканер можно, а другие устройства нельзя)

    9 февраля 2010 г. 0:28

Все ответы

  • В принципе возможно, необходимо обладать правами локального администратора в системе.
    1. Win+R (аналог Пуск -> Выполнить), regedit.
    2. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR]. Этот ключ хранит информацию о всех когда-либо подключенных USB-носителях.
    3. Даем себе полный доступ на USBSTOR (правая клавиша мыши -> Разрешения, отметить пункт Полный доступ у группы ВСЕ).
    4. Удаляем все содержимое USBSTOR.
    5. Подключаем одобренную фэшку, убеждаемся в том, что она определилась. Внутри USBSTOR должен появиться ключ типа Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07 (F5 для обновления списка).
    6. Опять ПКМ на USBSTOR, Разрешения. Убираем Полный доступ у группы ВСЕ, право на чтение оставляем.
    7. Те же самые права нужно назначить пользователю SYSTEM, но напрямую это сделать не получится. Сначала нужно нажать кнопку Дополнительно, убрать галку Наследовать от родительского обьекта…, в появившемся окне Безопасность сказать Копировать. После очередного нажатия на ОК права пользователя SYSTEM станут доступны для изменения.
    8. Для закрепления эффекта нажимаем кнопку Дополнительно еще раз и отмечаем пункт Заменить разрешения для всех дочерних объектов… Подтверждаем выполнение.

    Microsoft Certified Desktop Support Technician
    9 февраля 2010 г. 7:16
  • Описанный выше путь пригоден только для блокировки устройств хранения данных. Чтобы предотвратить подключение других устройств, вам нужно будет поработать с настройками групповых политик: Computer Configuration|Administrative Templates|System|Device Installation|Device Installation Restrictions. Либо, если этот путь вам труден, можно воспользоваться сторонним ПО, к примеру ZLock.

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    9 февраля 2010 г. 9:49
    Модератор
  • Описанный путь Computer Configuration|Administrative Templates|System| а далее этих пунктов я не нашел ##Device Installation|Device Installation Restrictions.## Групповые политики я запускал командочкой (gpedit.msc) Операционная система XP professional sp3. может быть я че нибудь не так делаю? Не могли бы Вы подсказать, подробнее. Может кая служба незапущена или еще че нибудь?
    9 февраля 2010 г. 15:25
  • USBSTOR я знал но только как полностью отключить флешки, а с правами доступа както незадумывался. За подсказку спасибо.
    9 февраля 2010 г. 15:30
  • Описанный путь Computer Configuration|Administrative Templates|System| а далее этих пунктов я не нашел ##Device Installation|Device Installation Restrictions.## Групповые политики я запускал командочкой (gpedit.msc) Операционная система XP professional sp3. может быть я че нибудь не так делаю? Не могли бы Вы подсказать, подробнее. Может кая служба незапущена или еще че нибудь?
    Жаль, что вы не указали систему сразу - данная политика работает только в ОС начиная с Vista. Так что увы - этот пусть вам закрыт....

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    10 февраля 2010 г. 7:13
    Модератор
  • Для этих целей пользовался сторонним по FileControl.
    Софт вяжется с AD, есть возможность управления и ограничения доступом к usb портам и сd-rom. Имеется возможность разрешить только принтеры, так же есть возможность создания белого и черного списка доступа (допустим можно разрешить использование только одной конкретной флешки, а все остальные будут заблокированы). Настройки блокировки можно прикрутить как к пользователю AD, так и к компьютеру.
    Думаю, что этот софт, как раз для вашего случая.
    17 февраля 2010 г. 7:08