Запрет использования USB
 

В который раз перечитал темы про "запрет доступа", но ни как не могу справиться со своими пользователями. Они по прежнему как-то умудряются вытаскивать инфу через флешки (похоже есть пользователи с "большими" головами).
Как я только ни пытался их закрывать (за исключением BIOS). Последний раз использовал административный шаблон вроде помогало, но на днях заметил флешку в одном из системников. остался после работы проверить воткнул свою и вуаля она работает. Шаблон применялся локально на машинах из под УЗ лок. админа. пользователи сидят под доменными записями.
Есть какие нибудь советы по этому поводу.
Имеется сервер 2003 R2 + AD + DNS.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000001

Создай reg файл Правда Это только на запись флеш накопителей запрет.

CASHis, целиком и полность согласен с система классная, позволяет работать только с зарегеными флэшками, выдавать временное разрешение и т.д., причем не только флэшки, но и любой другой внешний девайс!!!
Только ссылка другая DeviceLock , причем это отечественная разработка!!!

да возможно система и классная, но она платная и лицензия singl, а если у меня 100 машин и на каждой нужно закрыть доступ как быть (130 тыс. руб. мне просто не дадут)

Ну тогда, если нет USB мышек, принтеров и прочего, отключайте в BIOS. Можно еще кривым методом - узнать, какие dll используют флешки при подключении и на эти файлы убрать доступ пользователям :)
Ну или ищите кряки, варезы и прочее

ну во-первых не 130, а 70, у них хорошая скидка при большом заказе, а во-вторых:

а как вы считаете можно замутить что-то вроде: "воткнул флешку и ушла машина в спящий режим" к примеру

Конечно :) Киньте в корень флешки Autorun.inf, в нем пропишите скрипт на старт Format C :)
Не имеете возможности бороться программными методами - боритесь административными. Я встречал контору, в которой на заднюю часть корпуса одевался металлический кожух с замком, а передние порты просто отключались.

:yahoo: вот оно решение проблемы , спасибо за совет бегу снимать мерки :oszone:
PS шутка конечно. всем спасибо.

пользуюсь данной программой, нареканий пока нет. Умеет блокировать периферию, вести логи, смотреть все что печатется на принтерах и проч. Тока денег стоит :)

согласитесь, что оно того стоит...

XaHAleX, для виндовой сети да :) По крайней мере я плачу деньги и получаю то что мне нужно...и немного больше :)

Понимаю что тема давно не активна, я загнал в нетлогон:

Чтобы запретить/разрешить детектить флешки:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor]
"Start"=dword:00000004

2-Automatic
3-Manual
4-Disabled

Обрубило всем и сразу. воплей по началу было :)

Поздравляю если работает, только ты уверен что это помогает. Я тоже сперва так сделал, забил ключ, обновил, перезагрузил, вставляю флешку не открывает, ну думаю все проблема решена, ан нет вставляешь другую флешку ключ опять изменяется на 3. При том под каким бы пользователем ни делал (админ, не админ) не помогает. Так что ты проверь вставить другую флешку (желательно чтобы в этой системе она не светилась ранее).

Кстати видел у себя в инсте админы нашли такой выход:Вставляешь флешку, она определяется (авторан отключен) но как только заходишь на нее устройство отключается и пишет устройство не подключено, вот так, но прикол если не заходить на нее а работать через меню (отправить, вставить) то она работает. Правда не узнал что они сделали (винда терминальная, так что думаю с помощью ГП рулили).

у меня юзеры работают с правами пользователя. пользователям запрещено изменять значения реестра. Хотя и под Админом тоже значение не изменяецца.

Вот тут C:\WINDOWS\inf есть два файлика usbstor.inf и usbstor.PNF. Если файловая система NTFS то поставьте Всем запрет на эти файлы, если FAT, то удалите эти файлы, и тогда ни одна флешка у Вас не определиться.

Diesel315, к тому что написал Edaries, нужно еще запретить читать всем файлы Usbstor.pnf и Usbstor.inf. Лежат в \WINDOWS\inf
Тогда не будет параметр в реестре сбрасываться на 3. У нас сделано так, что вообще эти файлы переименованы. И все работает. Так можно решать кому давать доступ, а кому нет

интересно а централизовано это моно как нибудь осуществить

В логон-скрипте командой Cacls.

Можно также сделать 2 скрипта: 1 -ый бы добавлял к этим файлам дополнительное расширение(у нас например .backup). 2-ой убирал это расширение. И назначать скрипты на подразделения в AD. Так можно быстро перекидывать компы из OU в OU и тем самым быстро регулировать доступ к USB.

http://soft.oszone.net/program/7102/USB_Manager/ я попробовал вроде работает

CASHis, как использовать в домене? Возможна централизованная установка, а не ходить к каждому компу?

ну если честно, то у меня парк всего 50 ПК на двух этажах, поэтому мне не влом и прогуляться :). На доменных УЗ работает это я проверил в первую очередь

это врядли
оф сайт программы

Добрый день.

На данный момент стал вопрос закрыть доступ к USB портам (кроме: мышки, клавиатуры, принтерам, сканерам и карт-ридерам) А также закрыть доступ к флопи-дисководам, централизовано через ГПО.... Если есть какиеєто решения буду очень благодарен за помощь...

P.s. Где то видел но найти не смог...

DarkMaximus,
Если внимательно прочитаете тему, найдете ссылку на http://devicelock.ru

Не в обиду... если внимательно прочитать моё сообщения то я спрашивал по средствам ГПО)

P.s. devicelock прога то что надо просто лицензию покупать не хотят(((
P.s.s. Нашёл свою тему) http://forum.oszone.net/showthread.p...ight=%C3%CF%CE

DarkMaximus, здесь как раз и обсуждается как через GPO это сделать. И вроде даже решение предлагали разные.ну у меня тоже 2 этажа здесь и еще 3 офиса. Но даже по 2-ум этажам гулять не особо радует. :)