Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 14.04.2010, 14:55   #1 (ссылка)
Стажёр
 
Аватар для Гарад
 
Регистрация: 14.04.2010
Сообщений: 713
Записей в блоге: 2
Репутация: 59
Профиль ВКонтакте
Exclamation Отключение флешек. Решения и проблемы.

Приветствую!

Я работаю айтишником в одной крупной конторе и поступило задание от безопасников полность закрыть доступ к флешкам у смертных юзеров и ограниченный (одобренные начальством флешки) у руководителей. Покопавшись в дебрях интеренета нашел достаточно инфы, но она была не систематезирована и возможно некоторые действия излишне.

Вот так примерно выглядит порядок действий (конечно под праввами администратора):

1. В реестре находим ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
Существует 3 ветки ControlSet, 2 из них это последние удачные конфигурации оборудования, а CurrentControlSet - текущая конфигурация.
2. Так вот в текущей конфигурации находим %\Enum\USBSTOR в ней содержится инфа о установленных на компе флешках, открываем для себя полный доступ к ветке и грохаем содержимое. На каждую флешку создается ветка типа Disk&Ven_JetFlash&Prod_T512MJF2B/2l&Rev_2.00.

3. Закрываем полный доступ к ветке %\USBSTOR.
4. Находим в %\CurrentControlSet ветку %\Services\USBSTOR
У этой ветки есть параметр Start со значением 3, меняем его на 4, и так же закрываем полный доступ к ветке.
5. В каталоге %\WINDOWS\Inf (папка Inf скрыта) находим файлы usbstor.inf и usbstor.pnf, меняем в имени "." на "_" и закрываем полный доступ.

Примечание: Везде XP Pro, полный доступ закрывается всем, в том числе и SYSTEM

При проделанной работе остальные USB устройства (мыши, клавиатуры, принтеры) работают нормально, правда возникают проблемы со сканерами, для этого в ветке %\CurrentControlSet ветку %\Services\USBSTOR у параметра Start не меняем его значение, но доступ закрываем.

Если нужно оставить одобренные флешки рабочими, а остальные нет, то перед закрытием доступа к веткам реестра и файлам в винде, вставляем "доверенные" флешки в комп, ждем окончания установки, вытаскиваем флешки и закрываем доступ там где нужно.

Система работала отлично, пока не перезагрузили компы, оказалось, что теперь при открытии "Моего компьютера" долго осуществляется определение девайсов (фонарик катается), около 1.5-2 минуты. Юзеры жалуются на это, что это мешает им быстро работать.

Ребят, кто сталкивался с такими ситуациями и как нашли выход? Решение горит, потому что с одной стороны жмет начальство, с другой юзеры, правда экстпериментировал примерно на 20 машинах, но и эти 20 человек надоедают.

Есть предположение, что я закрыл доступ к какой либо необходимой библиотеке или еще к чему-нить, но если открыть доступ, то флешки читаются снова. Возможно ли отключить эту загрузку?

Надеюсь на вашу помощь, выручайте))
Гарад вне форума  
Старый 15.04.2010, 07:41   #2 (ссылка)
Стажёр
 
Аватар для Гарад
 
Регистрация: 14.04.2010
Сообщений: 713
Записей в блоге: 2
Репутация: 59
Профиль ВКонтакте
По умолчанию

Народ, кто-нить сталкивался с этим? Прошу ответьте!
Гарад вне форума  
Старый 15.04.2010, 09:03   #3 (ссылка)
Мастер
 
Аватар для Iljeben
 
Регистрация: 27.10.2008
Сообщений: 9,488
Записей в блоге: 4
Репутация: 702
По умолчанию

Гарад, а может проще сделать? Изменить вышеуказанный ключ реестра. Плюс создать рег файлы для отмены и обратного закрытия ключа. заархивировать рег файлы с паролем. Пароль сообщить доверенным лицам и все.
Кстати почему закрываешь ветки реестра. Чтоб не изменили?
З.ы. Ну или заклеить все усб порты, бумажками с подписью босса, Доверенным лицам, после работы с компами заклеивать обратно.
Iljeben вне форума  
Старый 15.04.2010, 10:24   #4 (ссылка)
Стажёр
 
Аватар для Гарад
 
Регистрация: 14.04.2010
Сообщений: 713
Записей в блоге: 2
Репутация: 59
Профиль ВКонтакте
По умолчанию

Iljeben, заклеить все усб порты не получится, т.к. используются усб мыши, принтеры, сканетры и т.п.

Просто у доверенных лиц должна работать только ОДНА флешка, одобренная начальством, а если делать пароли, то доступ будет к нескольким((

И не могу понять связь догого открытия моего компьютера с ветками в реестре
Гарад вне форума  
Старый 15.04.2010, 13:01   #5 (ссылка)
Стажёр
 
Аватар для Salmon
 
Регистрация: 05.03.2010
Сообщений: 816
Репутация: 65
По умолчанию

http://www.devicelock.com/ru/dl/index.htm программа платная,подходит для ваших целей,в отзывах читал,что неслабо корежит винду.Возможно стоит поставить на один комп и с помощью снимка реестра посмотреть,как у них это реализовано.
Salmon вне форума  
Старый 15.04.2010, 14:33   #6 (ссылка)
Стажёр
 
Аватар для Гарад
 
Регистрация: 14.04.2010
Сообщений: 713
Записей в блоге: 2
Репутация: 59
Профиль ВКонтакте
По умолчанию

Salmon, это будет очень муторно, сканить весь реестр и смотреть различия. Есть определенные ветки, отвечающие за усб и флешки в частности, вот их и хотелось бы рассмотреть поближе, но не знаю как, в инете очень мало инфы по этому(
Гарад вне форума  
Старый 15.04.2010, 17:32   #7 (ссылка)
Стажёр
 
Аватар для Salmon
 
Регистрация: 05.03.2010
Сообщений: 816
Репутация: 65
По умолчанию

Гарад, Я это и имел ввиду,сравнить различия,по моему Reg Organizer показывает различия в двух снимках реестра,много и других,забейте в поиске "различие в снимках реестра".
Salmon вне форума  
Старый 15.04.2010, 19:04   #8 (ссылка)
Знаток
 
Аватар для winshelp
 
Регистрация: 20.10.2008
Сообщений: 2,863
Записей в блоге: 2
Репутация: 164
По умолчанию

Гарад, здравствуйте!
А вы, спросите у ваших безопасников, сами то они хоть раз делали то чем вас озадачили!
А то точно, как то муторно все получается, иди туда не знаю куда, и возми то не знаю что!!!
Порты USB отрубать нельзя, а флешки должно различать выборочно - Интересный замут!!!

Если уж на то пошло, то
думаю проще бы было тогда реализовать такое при помощи парольной защиты,
с использование софта для этих нужд!
Думаю если погуглите то без проблем найдете программы для этого!

А то копаться в реестре дело не очень благодарное,
и неизвестно к каким ошибкам в работе системы это может привести!

Последний раз редактировалось winshelp; 15.04.2010 в 19:22. Причина: Добавлено
winshelp вне форума  
Ads
Старый 15.04.2010, 20:21   #9 (ссылка)
Стажёр
 
Аватар для bvas
 
Регистрация: 02.09.2009
Сообщений: 1,908
Записей в блоге: 2
Репутация: 101
По умолчанию

Гарад,
Цитата:
Сообщение от Гарад Посмотреть сообщение
Отключение флешек. Решения и проблемы.
Вариант с Касперским не рассматривали..??? http://www.nowa.cc/showthread.php?t=51978&page=3
Цитата:
Сообщение от winshelp Посмотреть сообщение
Если уж на то пошло, то
думаю проще бы было тогда реализовать такое при помощи парольной защиты,
с использование софта для этих нужд!
Думаю если погуглите то без проблем найдете программы для этого!
http://www.nowa.cc/showthread.php?t=51978 здесь почитайте Гарад, про софт
bvas вне форума  
Старый 16.04.2010, 08:38   #10 (ссылка)
Стажёр
 
Аватар для Гарад
 
Регистрация: 14.04.2010
Сообщений: 713
Записей в блоге: 2
Репутация: 59
Профиль ВКонтакте
По умолчанию

winshelp,
bvas, на софт руководство не соглашается, предлагал уже, это противоречит политике компании использовать в основном бесплатное ПО. И по всей стране нам первым дали такое задание, в других городах и филиалах с этим не сталкивались пока. Так что получается, что экспериментируют на нас((

Да и касперского не брали, стоит НОД32 для юр.лиц

Нашел еще один способ, более простой и гуманный, это отключение записи на флешку в реестре:


"Откройте редактор реестра (regedit)

Найдите ветку

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\StorageDevicePolicies

Если ее нет, создайте ее.

В этой ветке создайте запись типа DWORD, назовите ее WriteProtect и присвойте ей значение 1.

Закройте regedit.exe

Все. Теперь доступ к flash дискам будет только для чтения (readonly)"

Источник: n-admin.com

Пробовал - работает, будем изучать.

Теперь надо чтоб на определенную влешку была открыта запись, а на остальные нет...
Гарад вне форума  
Старый 16.04.2010, 10:38   #11 (ссылка)
Стажёр
 
Аватар для Salmon
 
Регистрация: 05.03.2010
Сообщений: 816
Репутация: 65
По умолчанию

Гарад, Посмотрите здесь http://habrahabr.ru/blogs/i_am_clever/52553/ ,http://daemani.livejournal.com/ ,
а это хорошая штука против autoranov,работает в паре с любым антивирусом:http://mobile-t.ru/forum/showthread.php?t=278,еще http://www.osp.ru/win2000/2008/02/4866704/.
Salmon вне форума  
Старый 16.04.2010, 13:40   #12 (ссылка)
Стажёр
 
Аватар для Гарад
 
Регистрация: 14.04.2010
Сообщений: 713
Записей в блоге: 2
Репутация: 59
Профиль ВКонтакте
По умолчанию

Цитата:
Сообщение от Salmon Посмотреть сообщение
Посмотрите здесь http://habrahabr.ru/blogs/i_am_clever/52553/
Решил проблему этим способом, оказывается все проще, чем я думал!)))

В итоге одобренная флешка работает отлично, остальные нет!))

В подведении итогов могу выложить инструкции сюда:

Выборочное подключение USB-флешек в Windows XP

Итак, по шагам (разумеется, нужно обладать правами локального администратора):
1. Win+R (аналог Пуск -> Выполнить), regedit.
2. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\U SBSTOR]. Этот ключ хранит информацию о всех когда-либо подключенных USB-носителях.
3. Даем себе полный доступ на USBSTOR (правая клавиша мыши -> Разрешения, отметить пункт Полный доступ у группы ВСЕ).
4. Удаляем все содержимое USBSTOR.
5. Подключаем одобренную фэшку, убеждаемся в том, что она определилась. Внутри USBSTOR должен появиться ключ типа Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07 (F5 для обновления списка).
6. Опять ПКМ на USBSTOR, Разрешения. Убираем Полный доступ у группы ВСЕ, право на чтение оставляем.
7. Те же самые права нужно назначить пользователю SYSTEM, но напрямую это сделать не получится. Сначала нужно нажать кнопку Дополнительно, убрать галку Наследовать от родительского обьекта…, в появившемся окне Безопасность сказать Копировать. После очередного нажатия на ОК права пользователя SYSTEM станут доступны для изменения.
8. Для закрепления эффекта нажимаем кнопку Дополнительно еще раз и отмечаем пункт Заменить разрешения для всех дочерних объектов… Подтверждаем выполнение.

Разрешенная флешка подключается и отключается без проблем. При попытке же несанкционированного подключения Windows определит устройство, но установить его не сможет, ругнувшись следующим образом:



Причем, в USBSTOR'е будет создан новый ключ, который недвусмысленно укажет на попытку подключения неодобренного USB-накопителя.

Запрещаем запись на flash диски.

1. Откройте редактор реестра (regedit)

2. Найдите ветку HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\StorageDevicePolicies

Если ее нет, создайте ее.

3. В этой ветке создайте запись типа DWORD, назовите ее WriteProtect и присвойте ей значение 1.

4. Закройте regedit.exe

Все. Теперь доступ к flash дискам будет только для чтения (readonly)

Надеюсь данная информация многим пригодится.

Последний раз редактировалось Гарад; 16.04.2010 в 13:41. Причина: Решение найдено
Гарад вне форума  
Старый 19.04.2010, 11:16   #13 (ссылка)
Стажёр
 
Аватар для Гарад
 
Регистрация: 14.04.2010
Сообщений: 713
Записей в блоге: 2
Репутация: 59
Профиль ВКонтакте
По умолчанию

От одной проблемы избавился, появилась другая...

Используя метод выборочного подключения получилось вот что: на локальном админе левые флешки не открываются, на админе домена тоже не открываются, а вот у юзеров сцуко они открываются что за дискриминация

у юзеров выдает сообщение, что для установки оборудования (флешки) требуются права админа и форма ввода, жмешь отмену, он грит, что у вас нет прав и т.д. и т.п., но оборудование установлено и готово к использованию, и флешка открывается и нормально работает, кучу раз ребутал компы, дергал кучу юзеров, фиг, у них работает, у админов нет((((

---------- Добавлено в 13:16 ---------- Предыдущее сообщение было написано в 11:29 ----------

Кстати, в AD-2003 настройки стандартные, может там стоит что-то поменять?
Гарад вне форума  
Старый 20.04.2010, 07:16   #14 (ссылка)
Стажёр
 
Аватар для Гарад
 
Регистрация: 14.04.2010
Сообщений: 713
Записей в блоге: 2
Репутация: 59
Профиль ВКонтакте
Question

Гарад вне форума  
Старый 20.04.2010, 11:46   #15 (ссылка)
Стажёр
 
Аватар для Salmon
 
Регистрация: 05.03.2010
Сообщений: 816
Репутация: 65
По умолчанию

Гарад, Если найдете решение,напишите я думаю будет полезно всем.
Salmon вне форума  
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Поиск решения Ехеl задача Marysa Офис 2 22.11.2010 21:54
Программа ScanDisc - проблемы и решения Михаил_Михаил Windows XP 1 22.08.2010 20:44
Отключение ЮСБ Даэдр Неисправности, настройка 1 02.08.2010 05:34
помогите найти прогу для решения проблемы HelpPLLLZ Программы 8 28.06.2010 10:30
Непонятки с подключением флешек crocodail Неисправности, настройка 3 25.05.2010 17:45
Помогите решить задачу на "Поиск решения", Excel Annitka Офис 3 10.05.2010 23:28
Программа для выявления bad секторов у флешек Чистый листочек Утилиты 7 15.04.2010 23:22
Проблема с драйвером для флешек xa1ter Железо 5 21.01.2010 17:59
Отключение DEP HellWalk Windows XP 7 27.07.2009 01:22
комп виснет от флешек scorpion Периферия 10 23.06.2009 22:04
Exel 2007 "поиск решения"-нужна помощь! Vampyrica Офис 2 17.06.2009 21:18
Проблема с чтением флешек mjc66 Железо 0 30.09.2008 15:09


Текущее время: 10:44. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.