[El Scorpio]

Цитата RUVATA:

А есть вот такие приблуды как USB-ключи, что непосредственно и есть флешки. »

USB-ключ - это не носитель памяти типа USB-Flash,*а устройство совсем другого класса.

[monkkey]

RUVATA,
Для этого существуют специальные программы. http://devicelock.ru/, например.

[Angry Demon]

RUVATA, Выборочное подключение USB-флешек в Windows XP

[RUVATA]

Цитата El Scorpio:

USB-ключ - это не носитель памяти типа USB-Flash,*а устройство совсем другого класса. »

но в USBstor все равно регается... Sentinel яркий тому пример

Цитата monkkey:

Для этого существуют специальные программы. http://devicelock.ru/, например. »

платный софт... не катит

Цитата Angry Demon:

RUVATA, Выборочное подключение USB-флешек в Windows XP »

тоже вариант но там есть маленький косячок:
Долго будешь мучаться когда захочешь "вернуть все взад"
нельзя отбирать права у System. Их будет не так просто вернуть обратно...
нуно будет "удаленный реестр" и под админом, и то не всегда срабатывает,
смотря как наваял с разрешениями, локально-же ковыряя реестр через regedit
кем-бы ты не регнулся в систему, конечное действие всегда осуществляет system,
а если у нее нет прав? все приплыли?

Проблемма решена так:

Если тема еще актуальна... После прочтения и переработки всей информации, касающейся разграничения доступа к USB-накопителям, которую удалось найти, была создана следующая групповая политика.
Исходные данные: домен win2k3, пользователи имеют ограниченные права, за каждым конкретным пользователем "закреплен" конкретный компьютер, некоторому количеству пользователей по служебной необходимости нужен доступ к USB-накопителям на чтение/запись. Задача: запретить доступ к USB-накопителям на чтение/запись для всех пользователей домена, кроме тех из них, которым работа с USB-накопителями необходима для исполнения служебных обязанностей (при этом работоспособность таких USB-устройств, как принтеры, мыши и т.д. должна сохраниться).

Решение избрано следующее.
Создано 2 объекта групповой политики (GPO): первый применяется к компьютерам тех пользователей, которым нужно дать полный доступ к USB-накопителям, второй - ко всем авторизованным компьютерам домена.

Этот ADM-файл добавлен в Administrative Templates (раздел Computer Configuration) обоих GPO:

Код:

; This policy restrict write access to USB device
CLASS MACHINE
CATEGORY !!USBProtect  
POLICY !!USBprotectpolicy
EXPLAIN !!USBProtect_Explain
KEYNAME "System\CurrentControlSet\Control\StorageDevicePolicies"
VALUENAME "WriteProtect"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY
 
POLICY !!USBprotect_old
EXPLAIN !!USBProtect_Explain
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
VALUENAME "Start"
VALUEON NUMERIC 4
VALUEOFF NUMERIC 3
END POLICY
END CATEGORY
 
[strings]
USBprotectpolicy="Restrict write to USB XP/SP2"
USBProtect="USB Settings"
USBProtect_Explain="Определяет, будет ли пользователь иметь доступ к USB диску с возможностью записи \nЕсли параметр не задан, то доступ к USB не ограничен\nЕсли параметр включен, доступ к USB устройству только в режиме чтения\nЕсли параметр выключен,то доступ к USB не ограничен"
USBprotect_old="Restrict all access to USB Pre XP/SP2"

Настройки политики (Policy Settings) - в данном ADM-файле они носят название "USB settings" - Restrict write to USB XP/SP2 и Restrict all access to USB Pre XP/SP2 для первой GPO имеют значение Disabled, для второй - Enabled.
Далее в разделе Computer Configuration - Windows settings - Security settings - File system жестко заданы права доступа к файлам %systemroot%\inf\usbstor.inf и %systemroot%\inf\usbstor.PNF - для первой GPO локальные администраторы и SYSTEM имеют полный доступ, Users - только на чтение, для второй GPO - полный доступ только для локальных администраторов, для SYSTEM и Users доступ полностью запрещен. Есть мысль сюда же добавить файл %systemroot%\system32\drivers\usbstor.sys с теми же разграничениями прав... Будет время - попробую.
Про очередность применения: политика РАЗРЕШЕНИЯ использования USB-накопителей должна примениться ПОСЛЕ политики запрещения, то есть должна стоять выше.

[Pavel85]

Добрый день!

Не могли бы Вы подробнее описать блокирование usb.

Заранее благодарен!

[Angry Demon]

Pavel85, что именно вам непонятно?

[Pavel85]

Настройки политики (Policy Settings) - в данном ADM-файле они носят название "USB settings" - Restrict write to USB XP/SP2 и Restrict all access to USB Pre XP/SP2 для первой GPO имеют значение Disabled, для второй - Enabled. - Это действие понятно, всё получается.


Далее в разделе Computer Configuration - Windows settings - Security settings - File system жестко заданы права доступа к файлам %systemroot%\inf\usbstor.inf и %systemroot%\inf\usbstor.PNF - для первой GPO локальные администраторы и SYSTEM имеют полный доступ, Users - только на чтение, для второй GPO - полный доступ только для локальных администраторов, для SYSTEM и Users доступ полностью запрещен. - На этом моенте у меня начался ступор.
Это всё также настраивается в Управлении групповыми политиками? или (%systemroot%\inf\usbstor.inf и %systemroot%\inf\usbstor.PNF) мы находимв папке Windoes\inf и потом на эти 2 файла выставляем разрешения?

И еще один вопрос - как для первой GPO и для второй GPO мы выставляем разрешения? Если можно скриншот?
Заранее благодарен!!!