В интернете нагуглить информацию о USB flash drive или флешках, а именно как их запретить или разрешить - можно. В этой статье я хочу консолидировать то, что пригодилось мне и сейчас успешно применено и работает. И так, начинаем.
Если мы хотим запретить использование флешек на компьютере - можно запретить подгрузку драйвера USBSTOR.SYS. Сделать это можно так:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004
(тип запуска - отключен)
Если нам нужно дать доступ к флешкам, то немного изменяем на
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000003
Есть еще вариант дать доступ к флешке на чтение:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000001
(По умолчанию этого раздела в реестре нет, поэтому при выполнении такого reg-файла он создастся и создаст двоичный параметр, отвечающий за политику доступа к флешкам). Если поменять на "WriteProtect"=dword:00000000 - то доступ будет полный.
Добавлено...
А вот реалии, они немного другие.
Реально мне помогло изменение прав доступа на файл
%windir%\system32\DRIVERS\USBSTOR.SYS
через настройку доменных политик.
Для начала, открываем доменные политики, идем по пути
Конфигурация Компьютера - Конфигурация Windows - Параметры безопасности - Файловая система.
Там я добавил сначала файл по правой клавише мышки - "Добавить файл" и выбрал файл по пути c:\windows\system32\DRIVERS\USBSTOR.SYS
и далее настроил параметры доступа к нему через вкладку "Безопасность" (по правой клавише мышки - Свойства на выбранном файле - Изменить безопасность)
Примечательно, что после этого на все компьютеры в домене распространились эти разрешения на данный файл. Теперь пользователь может вставлять свою флешку в свой компьютер, но система не сможет подставить ей драйвер, так как он системе недоступен. Заметили? Я убрал пользователя System и всех прочих, ненужных мне....
Если кого-то заинтересует - я напишу, как я решил проблему, когда одним пользователям можно, другим - нельзя видеть флешки. Отмечу лишь, что принцип в разных политиках доступа к этому файлу в зависимости от контейнера групповой политики...
А вот реалии, они немного другие.
Реально мне помогло изменение прав доступа на файл
%windir%\system32\DRIVERS\USBSTOR.SYS
через настройку доменных политик.
Для начала, открываем доменные политики, идем по пути
Конфигурация Компьютера - Конфигурация Windows - Параметры безопасности - Файловая система.
Там я добавил сначала файл по правой клавише мышки - "Добавить файл" и выбрал файл по пути c:\windows\system32\DRIVERS\USBSTOR.SYS
и далее настроил параметры доступа к нему через вкладку "Безопасность" (по правой клавише мышки - Свойства на выбранном файле - Изменить безопасность)
Примечательно, что после этого на все компьютеры в домене распространились эти разрешения на данный файл. Теперь пользователь может вставлять свою флешку в свой компьютер, но система не сможет подставить ей драйвер, так как он системе недоступен. Заметили? Я убрал пользователя System и всех прочих, ненужных мне....
Если кого-то заинтересует - я напишу, как я решил проблему, когда одним пользователям можно, другим - нельзя видеть флешки. Отмечу лишь, что принцип в разных политиках доступа к этому файлу в зависимости от контейнера групповой политики...
Еще есть предложения от разных профи - поменять путь к драйверу USBSTOR.SYS на "нулевой". Приведу этот пример здесь на всякий случай
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
ImagePath system32\DRIVERS\USBSTOR.SYS
меняем на 0. Получится
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
ImagePath 0
Но! Нужно не забывать, что если до внесения этих ограничений флешка уже была распознана на данном компьютере - она так и будет видна, даже если вы запретили запуск драйвера USBSTOR.SYS.
Все дело в том, что эта флешка оставила сведения в реестре о себе.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR]
Этот ключ хранит информацию о всех когда-либо подключенных USB-носителях.
Можно удалить все содержимое этой ветки. Для этого нужно дать себе полный доступ на USBSTOR (правая клавиша мыши -> Разрешения, отметить пункт Полный доступ у группы ВСЕ).
Соответственно, теперь мы можем дать доступ ко вполне конкретной флешке, а к другим - нет. Достаточно заставить систему определить эту флешку, подкорректировать права доступа к ней в безопасности ветки в реестре, отвечающей за эту флешку. Теперь, любая другая флешка не сможет распознаться, а "подготовленная нами" заранее - без проблем.
При написании этой заметки пользовался материалами
Спасибо за запись!
ОтветитьУдалить"Если кого-то заинтересует - я напишу, как я решил проблему, когда одним пользователям можно, другим - нельзя видеть флешки."
Очень интересует, поделитесь пожалуйста.
Видимо, это тема для отдельной статьи. Планирую написать и положить её тут, в блоге. Но в двух словах - решение в добавлении в Active Directory на контроллере домена дополнительного OU (Organisation Unit), в который мы перекидываем компьютеры, где флешки разрешены. И изменяем настройки доступа к USBSTOR.SYS на нужные.
ОтветитьУдалитьВалентин помогите мне пожалуста,мне ето очень важно зделать)
ОтветитьУдалитькак я могу с вами связатя?
Так можно просто дать доступ к этому файлу в доменной политике любому пользователю, которому это необходимо.
ОтветитьУдалитьесть какая то ПО вроде такого? подскажите пожалуйста!
ОтветитьУдалитьПО специализированные есть, но они, как правило, платные. Можно посмотреть в сторону http://www.devicelock.com/ru/products/technology.html
ОтветитьУдалить