none
отключение usb через gpo RRS feed

  • Вопрос

  • Добрый день всем, хочу задать вопрос уже не раз обсуждавшийся на форумах.
    Как отключить usb через gpo?

    Все советы которые нашел работают, но отключат usb целиком на машине.
    А каким образом сделать так чтобы доступ к usb был разграничен по пользователям?
    Заранее спасибо
    3 декабря 2008 г. 10:42

Ответы

  • Нет, тогда не могу. Придётся вам либо посмотреть возможности DeviceLock (сам не пользовался), или отключать USB как класс. Стандартными возможностями системы права доступа на USB-устройства не назначаются.

     

    Организации разные бывают, конечно.. В основном, не получается запретить USB-носители - либо директора, либо бухгалтеры оч. хотят пользоваться ими. От современной жизни не отвертишься, так есть. А в чём цель запретить именно запись? Вынос ценной информации? Ну так они в Интернет отправят или другими путями. Например, в товарной базе данных имеется список клиентов, менеджер его распечатывает и выносит в бумажном виде .)

     

    Вирусный вопрос вообще решается с помощью жёстких прав доступа, членства в ограниченных группах и Software Restriction Policies..

    4 декабря 2008 г. 12:24
    Отвечающий

Все ответы

  • Не пробовал, но по логике наверное так:
    В "Active Directory - Пользователи и компьютеры" создать Подразделение, туда перетащить пользователей
    из Users которым доступ к USB не нужен (или наоборот, которым нужен - как удобнее) и на Подразделение уже настроить GPO для этих определенных пользователей.
    3 декабря 2008 г. 11:08
  • Так же можно настроить разрешение для различных групп на файлы %SystemRoot%\Inf\usbstor.pnf и usbstor.inf (Если воспользуетесь этим методом). Нужен полный доступ Админам и Опытным пользователям, значит им права полные, если юзерам не нужно давать доступа, то ставим им Full deny. Соостветсвенно обращение и разрешение к этим файлам уже будет идти на уровне NTFS.
    3 декабря 2008 г. 12:07
  •  Modicus написано:
    Не пробовал, но по логике наверное так:
    В "Active Directory - Пользователи и компьютеры" создать Подразделение, туда перетащить пользователей
    из Users которым доступ к USB не нужен (или наоборот, которым нужен - как удобнее) и на Подразделение уже настроить GPO для этих определенных пользователей.


    Так пробовал делать, но административный шаблон которым я пользовался:
    CLASS MACHINE
    CATEGORY !!category
     CATEGORY !!categoryname
      POLICY !!policynameusb
       KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
       EXPLAIN !!explaintextusb
         PART !!labeltextusb DROPDOWNLIST REQUIRED
     
           VALUENAME "Start"
           ITEMLIST
            NAME !!Disabled VALUE NUMERIC 3 DEFAULT
            NAME !!Enabled VALUE NUMERIC 4
           END ITEMLIST
         END PART
       END POLICY
      POLICY !!policynamecd
       KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
       EXPLAIN !!explaintextcd
         PART !!labeltextcd DROPDOWNLIST REQUIRED
     
           VALUENAME "Start"
           ITEMLIST
            NAME !!Disabled VALUE NUMERIC 1 DEFAULT
            NAME !!Enabled VALUE NUMERIC 4
           END ITEMLIST
         END PART
       END POLICY
      POLICY !!policynameflpy
       KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
       EXPLAIN !!explaintextflpy
         PART !!labeltextflpy DROPDOWNLIST REQUIRED
     
           VALUENAME "Start"
           ITEMLIST
            NAME !!Disabled VALUE NUMERIC 3 DEFAULT
            NAME !!Enabled VALUE NUMERIC 4
           END ITEMLIST
         END PART
       END POLICY
      POLICY !!policynamels120
       KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
       EXPLAIN !!explaintextls120
         PART !!labeltextls120 DROPDOWNLIST REQUIRED
     
           VALUENAME "Start"
           ITEMLIST
            NAME !!Disabled VALUE NUMERIC 3 DEFAULT
            NAME !!Enabled VALUE NUMERIC 4
           END ITEMLIST
         END PART
       END POLICY
     END CATEGORY
    END CATEGORY
     
    [strings]
    category="Custom Policy Settings"
    categoryname="Restrict Drives"
    policynameusb="Disable USB"
    policynamecd="Disable CD-ROM"
    policynameflpy="Disable Floppy"
    policynamels120="Disable High Capacity Floppy"
    explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
    explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
    explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
    explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
    labeltextusb="Disable USB Ports"
    labeltextcd="Disable CD-ROM Drive"
    labeltextflpy="Disable Floppy Drive"
    labeltextls120="Disable High Capacity Floppy Drive"
    Enabled="Enabled"
    Disabled="Disabled"

    прописывается в реестре в разделе HKEY_LOCAL_MACHINE который грузится при загрузке компьютера,а не пользователя (может подскажете где достать такой но только для пользователя), соответственно если надо будет под админом воспользоваться флэшкой на том компьютере на котором до етого сидел пользователь с запретом к ЮСБ, то потребуется две перезагрузки прежде чем можно будет воспользоваться флешкой.
    3 декабря 2008 г. 13:14
  •  A.I.Naumtsev написано:
    Так же можно настроить разрешение для различных групп на файлы %SystemRoot%\Inf\usbstor.pnf и usbstor.inf (Если воспользуетесь этим методом). Нужен полный доступ Админам и Опытным пользователям, значит им права полные, если юзерам не нужно давать доступа, то ставим им Full deny. Соостветсвенно обращение и разрешение к этим файлам уже будет идти на уровне NTFS.

    а за что эти файлы отвечают???
    если за установку ЮСБ, то это не подходит надо чтоб пользователи считывать инфу с флешек могли, а записывать нет.
    3 декабря 2008 г. 13:15
  • Видимо, вам хочется иметь бесплатное решение назначения прав доступа(devicelock - платное).. Попробуйте поработать в таком направлении:

     

    - известен баг системы монтирования томов, Windows XP/2003 пытается монтировать подключаемую флешку на ближайшую букву, не занятую локальными дисками. Если эта буква уже занята сетевым соединением, монтирование де-факто срывается, флешка не видна в MyComputer

    - Это даёт вам возможность сказать пользователю, что "флешка должна пройти утверждение администратором, только тогда будет допущена к работе". И монтируйте её в Disk Management не буквой, а в папку на NTFS, на которую заранее назначите права.

    - Чтобы создать эмуляцию собстно флешки, выполните Subst F: D:\FlashDrive , где F: будет играть роль буквы flash-диска.

     

    Таким образом регулировались права доступа к дисководу. Только было проще, ибо \\VolumeID у дисковода не менялся..

    3 декабря 2008 г. 20:30
    Отвечающий
  • а за что эти файлы отвечают???
    если за установку ЮСБ, то это не подходит надо чтоб пользователи считывать инфу с флешек могли, а записывать нет.

    Да, они отвечают за установку. Цитата с Майкрософт:

    Если USB-устройство хранения данных еще не установлено в компьютер

    Если USB-устройство хранения данных еще не установлено в компьютер, назначьте пользователю или группе запрещающие разрешения на следующие файлы:
    • %SystemRoot%\Inf\Usbstor.pnf
    • %SystemRoot%\Inf\Usbstor.inf
    После этого пользователи не смогут установить USB-устройство хранения данных в компьютер.

    А можно вопрос? Для чего пользователям иметь возможность считывать файлы с юсб?

    4 декабря 2008 г. 6:30
  •  A.I.Naumtsev написано:
    а за что эти файлы отвечают???
    если за установку ЮСБ, то это не подходит надо чтоб пользователи считывать инфу с флешек могли, а записывать нет.

    Да, они отвечают за установку. Цитата с Майкрософт:

    Если USB-устройство хранения данных еще не установлено в компьютер

    Если USB-устройство хранения данных еще не установлено в компьютер, назначьте пользователю или группе запрещающие разрешения на следующие файлы:
    • %SystemRoot%\Inf\Usbstor.pnf
    • %SystemRoot%\Inf\Usbstor.inf
    После этого пользователи не смогут установить USB-устройство хранения данных в компьютер.

    А можно вопрос? Для чего пользователям иметь возможность считывать файлы с юсб?




    Им клиенты иногда фотографии приносят на ЮСБ носителях.))))
    4 декабря 2008 г. 11:26
  • Им клиенты иногда фотографии приносят на ЮСБ носителях.))))

    Может быть тогда лучше выделить одного ответственного человека у которого будет доступ юсб. А остальным закрыть. Тем самым вы обезопасите сеть от беспорядочных(не по работе) тыканий флешек в компы. По крайней мере у меня так. Есть старший в отделе. У него есть право на юсб, у остальных нет. Но я точно знаю что не по работе он не будет этим "правом" пользоваться. Следовательно и другим не позволит приность какие-либо игры,музыку, фильмы и пр. А в случае, заражения вирусом, всегда известен источник. В Вашем же случае есть возможность подхватить вирус на множестве компьютеров.
    4 декабря 2008 г. 11:37
  •  WindowsNT.LV написано:

    Видимо, вам хочется иметь бесплатное решение назначения прав доступа(devicelock - платное).. Попробуйте поработать в таком направлении:

     

    - известен баг системы монтирования томов, Windows XP/2003 пытается монтировать подключаемую флешку на ближайшую букву, не занятую локальными дисками. Если эта буква уже занята сетевым соединением, монтирование де-факто срывается, флешка не видна в MyComputer

    - Это даёт вам возможность сказать пользователю, что "флешка должна пройти утверждение администратором, только тогда будет допущена к работе". И монтируйте её в Disk Management не буквой, а в папку на NTFS, на которую заранее назначите права.

    - Чтобы создать эмуляцию собстно флешки, выполните Subst F: D:\FlashDrive , где F: будет играть роль буквы flash-диска.

     

    Таким образом регулировались права доступа к дисководу. Только было проще, ибо \\VolumeID у дисковода не менялся..



    А можно как нибудь попроще это сделать, ведь к примеру iphone определяется в системе как камера с флеш памятью и имя диска ему не назначается)))
    4 декабря 2008 г. 12:17
  •  A.I.Naumtsev написано:
    Им клиенты иногда фотографии приносят на ЮСБ носителях.))))

    Может быть тогда лучше выделить одного ответственного человека у которого будет доступ юсб. А остальным закрыть. Тем самым вы обезопасите сеть от беспорядочных(не по работе) тыканий флешек в компы. По крайней мере у меня так. Есть старший в отделе. У него есть право на юсб, у остальных нет. Но я точно знаю что не по работе он не будет этим "правом" пользоваться. Следовательно и другим не позволит приность какие-либо игры,музыку, фильмы и пр. А в случае, заражения вирусом, всегда известен источник. В Вашем же случае есть возможность подхватить вирус на множестве компьютеров.


    Желание начальства ЗАКОН!!! Вот хотят так и все тут(((. и разумеется бесплатно)))
    4 декабря 2008 г. 12:18
  • Нет, тогда не могу. Придётся вам либо посмотреть возможности DeviceLock (сам не пользовался), или отключать USB как класс. Стандартными возможностями системы права доступа на USB-устройства не назначаются.

     

    Организации разные бывают, конечно.. В основном, не получается запретить USB-носители - либо директора, либо бухгалтеры оч. хотят пользоваться ими. От современной жизни не отвертишься, так есть. А в чём цель запретить именно запись? Вынос ценной информации? Ну так они в Интернет отправят или другими путями. Например, в товарной базе данных имеется список клиентов, менеджер его распечатывает и выносит в бумажном виде .)

     

    Вирусный вопрос вообще решается с помощью жёстких прав доступа, членства в ограниченных группах и Software Restriction Policies..

    4 декабря 2008 г. 12:24
    Отвечающий
  • Всем прив!
    Отключить USB через GPO очень просто. Инструкция с картинками тут it-ep.ru
    2 августа 2012 г. 6:58