[решено] Смена прав на раздел реестра и его удаление
 

Доброго времени суток) Проблема: "злые дядьки" постоянно проверяют систему на наличие незаконного подключения флеш-накопителей (флешек). Данная инфа хранится тут:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USBSTOR]

Удалить данные разделы из реестра без разрешения полного доступа невозможно, соответственно необходимо ручками сначала разрешить доступ, а потом уже удалять - что весьма геморно, т.к. за день сослуживцы навтыкают флешек, и к моменту прихода проверяющего не всегда успеваю всё почистить. Каким образом можно через твик реестра, или например запуском bat-файла, автоматизировать данный процесс? (т.е сначала разрешить доступ, потом удалить)

SubInACL в сочетании с reg delete и reg add.

Что-то типа

Каким образом? SubInACL установил, скопировал туда мой батник такого содержания:

не работает, записи в реестре о флешке остаются.

primewar, вы по одной команды запускайте и смотрите - какие ошибки выводятся, применяются ли права, удаляется ли раздел и т.д. Например, нужно сохранять файл в кодировке DOS, раз у вас кириллица в коде...

P.S. Можете для subinacl использовать параметры /outputlog=FileName и/или /errorlog=FileName для записи вывода / ошибок в файл.

как в DOSe? точнее чем? Я пользуюсь заменителем блокнота Bred3

В нем должна быть возможность сохранения в кодировке DOS (OEM). RTFM :)

Vadikan, Пересохранил, запустил, всё сработало) Спасибо! Только последнюю строку "reg add...." не добавлял, незачем, всё равно раздел автоматом создаётся при втыкании флешки)

Ну мало лиа раздела нет, а был в прошлый раз - подозрительно :) Это уж ваше дело...

Я рад, что у вас все получилось!

okshef, Данная программа чистит только драйверы флешек из системной папки, но не трогает реестр - проверено, именно из-за этого и задал вопрос про чистку USB-устройств в реестре.
Создал батник и вместе с subinacl запаковал в сфх-архив, распаковка и работа скрытая, теперь только запускаю свой clearUSB.exe и вуаля) Работу проверил на 4-х машинах, пока глюков не было :)

primewar, специально проверил. Можете взглянуть - снимок окна программы и раздела реестра, сделанный при работе программы до "uninstall" и после "uninstall" и сравнить количество зарегистрированных и прописанных устройств.

Неужели она работает даже при отсутствии у вас прав на раздел реестра?

Вопрос был об автоматизации процесса, не так ли? И он успешно решен.

Vadikan, никогда предъявлять права не требовалось. Не знаю что и подумать :dont-know .
А программа была предложена офф-топом. Удивительно, что на него ответили.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USBSTOR]

перестал работать второй ControlSet002, в смысле не срабатывает административный доступ, соответственно невозможно удалить данную ветку, остальные нормально. На других машинах такая фишка проявляется с некоторой периодичностью, может сработать, а может и нет.
Посмотрите, что не так?

primewar, что это у вас такое странное CurrentControlSet001, CurrentControlSet002 - нет таких веток.
Во-вторых, на английских системах Администратор называется Administrator.
В-третьих, почему Администратор? Не все же работают под этой учетной записью. Разрешения нужно давать группе, а не отдельной учетке.

подкорректировал батник (хотя и без этого работало)

Система русская, поэтому и Администратор

Поскажите как?

Вместо имени учетки - имя группы (Администраторы).

Подскажите, коллеги:
Сделал себе скрипт отключающий автозапуск....
последним пунктом удаляется ключ
затем он создается заново и НАДО выставить разрешения на этот ключ - в рекомендациях предлогается отключить наследование разрешений, чем удаляются все права, для всех.
Как этого добится из командной строки??
Покурил справку по regperm и SubInACL. Ничего похожего не нашел.
Возможно задача решается через запрет Everyone - на запись(а потом групам пользователей и админу разрешение на чтение), я не силен в области разрешений. Но насколько я понял в мануалах рекомендуют добиватся задачи не запретами, а разрешениями.
---=====----

Наверное немного запутанно объяснил.
Попробую уточнить вопрос.

Есть ветка HKLM\Example\One
Надо снять с нее разрешения для всех пользователей из коммандной строки.....

Как дополнительный пример сошлюсь на статью по борьбе с Kido\Conficier
http://support.microsoft.com/kb/962007/ru

там везде рекомендуется и с веток реестра и с папок снимать полностью разрешения. Неуж то нет аналога в коммандной строке ???

Как поставить разрешение на редактирование раздела реестра понятно, а теперь как можно это же разрешение автоматически убрать?
Есть ли соответствующий ключ в программе SubInACL?

Привет всем! Для постоянного пользования, например если запускать на разных компах при разных Пользователях (или Групп)
можно делать так - пишем %username% и берём начало ветки например
subinacl /subkeyreg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum /grant=%username%=F
или
subinacl /subkeyreg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum /grant=%username%=F
Устанавливаем/удаляем ваши ключики и снова убираем права штоб избежать чево-либо лишнего.
ставим за место grant - deny, например вот так
subinacl /subkeyreg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum /deny=%username%=F
Осторожно при удалении!!! Смотрите сто удаляете да и делайре постоянно резервные копии!
Это так, на всякий случай, может кому и пригодитса.