Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   Блокировка работы USB (http://forum.oszone.net/showthread.php?t=2400)

lucky sv 31-10-2003 15:25 14588

Подскажите, пожалуйста, как в W2000/XP запретить работу по USB-порту с любыми устройствами, кроме мыши и сканера, *пользователю с правами ADVANCED USER.

Pashtet 31-10-2003 15:57 14589

К сожалению это не возможно с помощья политик...
Есть простой способ:
Запретить использование драйвера для устройств "Съёмный диск" (не помню как он называется :)) всего один файлик...

Sadok 03-11-2003 11:58 14590

2 способа:
1. Запретить доступ определенным пользоваетлям к %windir%\system32\drivers\usbstor.sys
2. Не стартовать "Драйвер  запомнинающих устройств для USB" (он же и есть usbstor.sys)

По умолчанию он подключается автоматически при "втыкании" usb-флешки.

Dennis 03-11-2003 12:17 14591

Поставил разрешения тольок администраторам, результат то же, переткнул флешку и диск нарисовался

[s]Исправлено: Dennis, 13:34 3-11-2003[/s]

Добавлено:

Единственное что удалось, так запретить "Запоминающее устройство для USB"

Sadok 03-11-2003 15:46 14592

Цитата:

Поставил разрешения тольок администраторам, результат то же, переткнул флешку и диск нарисовался
NTFS или FAT?
Попробуй пункт 2 из моего предыдущего поста.

Dennis 04-11-2003 10:22 14593

Цитата:

NTFS или FAT?
Ntfs.
А пункт 2 прошел.

Sadok 04-11-2003 10:32 14594

Dennis
Цитата:

А пункт 2 прошел.
И флэшки отвалились для всех? А про пункт 1, -  видимо, так и должно быть. Там ведь от имени system (по идее) должно стартовать...

Dennis 04-11-2003 10:56 14595

Да, для всех. Что и требуется в моем случае.
А по п.1. :gigi: Удалил доступ ВСЕМ, ктроме админа (даже system), результат не изменился, как будто система плюет на права на уровне драйверов...

Sadok 04-11-2003 11:09 14596

Dennis
Цитата:

будто система плюет на права на уровне драйверов...
.... Windows предмет темный, и потому изучению не подлежит :)

Greyman 20-01-2004 12:11 14597

Тут пришла в голову мысль попробовать воспользоваться сценарием входа. Для пользователей, которым разрешена такая работа с USB - прописать копирование этого драйвера из специально созданного резервного каталога туда, где его потом ищет система, а для тех, кому подобная работа запрещена - прописать в сценарии удаление этого драйвера из системного каталога. Единственный минус - не знаю можно ли в вин2к прописывать сценарии для групп, а не для отдельных пользователей - я не нашел...:(

Raistlin 25-01-2004 16:07 14598

Цитата:

можно ли в вин2к прописывать сценарии для групп, а не для отдельных пользователей
Можно. Создай политику, пропиши её всему домену, убери у "Прошедших проверку" право применения этой политики, затем добавь в список доступа нужную группу (NB: глобальную) и дай ей право применять политику.

Greyman 26-01-2004 06:32 14599

Raistlin
На сколько я понял (по крайней мере я писал именно об этом) речь шла о локальных политиках. Что на сервере можно процедуры для групп оформлять я в курсе (по крайней мере на вин2003). А здесь я поднял вопрос, справедливый для всех станций, в том числе и вообще не включенных в сеть.

Raistlin 27-01-2004 00:17 14600

Цитата:

речь шла о локальных политиках
Как-то не подумал об этом :). Зато подумал вот о чём: чтобы твои сценарии заработали, надо будет дать всём пользователям право записи в %SystemRoot% -- ведь сценарии, насколько я знаю, исполняются от имени пользователей. Т. е. дыра в системе безопасности гарантирована.

SkyF 28-01-2004 23:07 14601

Цитата:

ведь сценарии, насколько я знаю, исполняются от имени пользователей.
нихт..
если указать сценарий на запуск компьютера - то они будут выполняться от имени localSystem.

Greyman 29-01-2004 13:59 14602

SkyF
Цитата:

нихт..
если указать сценарий на запуск компьютера - то они будут выполняться от имени localSystem.
Даже если этот сценарий запускается из сценария входа конкретного пользователя (интересно, а это хоть возможно...)?

SkyF 29-01-2004 15:36 14603

Цитата:

Даже если этот сценарий запускается из сценария входа конкретного
при чем здесь этот сценарий?
я указывал на сценарий "автозагрузки" компьютера в групповой политике домена, а не на атрибут учетной записи "сценарий входа". в этом сценарии, конечно все от имени пользователя делается..

Raistlin 29-01-2004 15:48 14604

Цитата:

если указать сценарий на запуск компьютера
Речь-то шла о сценариях для пользователей:
Цитата:

Для пользователей, которым разрешена такая работа с USB - прописать копирование этого драйвера

SkyF 29-01-2004 17:00 14605

Greyman
Цитата:

Тут пришла в голову мысль попробовать воспользоваться сценарием входа. Для пользователей, которым разрешена такая работа с USB - прописать копирование этого драйвера из специально созданного резервного каталога
насколько я понял вот это исходная фраза.
тут имеется ввиду вообще возможность замены драйверов - для одних пользователей и копирование для других.

как именно это делать - это вторично..
просто автор не акцентировал на этом внимание. С моей точки зрения, если заменить "сценарием входа" (logon) на сценарий автозагрузки (start), то предложение будет законченным и верным.
ИМХО. =)

Другое дело, что етсь желание прописывать всеэто именно сценариями входа - тогда действительно, для этого учетные записи должны иметь право доступа к замене системных файлов - те членами локальной группы администраторов.
что явно пойдет на вред безопасности домена. С этим согласен.

достигнули консенсуса? =)

Greyman 27-07-2004 16:04 14606

Тут кстати наткнулся на одну вестч, дык может она подойдет:
Цитата:

* * * * * * * * *DeviceLock 5.6
* * * * * * * * *Мощное средство контроля доступа к сменным носителям в системах, работающих под управлением Windows 2000/NT. DeviceLock позволяет назначать права доступа для пользователей и групп пользователей. Дает возможность контролировать дисководы, CD-ROM, принтерные и модемные порты, ZIP’ы, JAZZ’ы, магнитооптику и любые другие устройства, несмотря на установленную на них файловую систему! Поддерживаются все виды файловых систем — FAT, NTFS (версии 4 и 5), CDFS и т.п. DeviceLock имеет систему удаленного управления, что дает возможность администратору сети управлять всеми функциями, не покидая своего рабочего места. Клиент для удаленного администрирования может работать как под Windows 2000/NT, так и под Windows 95/98 и Windows Me
http://www.securitylab.ru/tools/29777.html


Время: 09:39.

Время: 09:39.
© OSzone.net 2001-