14.04.2010, 14:55 | #1 (ссылка) |
Стажёр
|
Отключение флешек. Решения и проблемы.
Приветствую!
Я работаю айтишником в одной крупной конторе и поступило задание от безопасников полность закрыть доступ к флешкам у смертных юзеров и ограниченный (одобренные начальством флешки) у руководителей. Покопавшись в дебрях интеренета нашел достаточно инфы, но она была не систематезирована и возможно некоторые действия излишне. Вот так примерно выглядит порядок действий (конечно под праввами администратора): 1. В реестре находим ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet Существует 3 ветки ControlSet, 2 из них это последние удачные конфигурации оборудования, а CurrentControlSet - текущая конфигурация. 2. Так вот в текущей конфигурации находим %\Enum\USBSTOR в ней содержится инфа о установленных на компе флешках, открываем для себя полный доступ к ветке и грохаем содержимое. На каждую флешку создается ветка типа Disk&Ven_JetFlash&Prod_T512MJF2B/2l&Rev_2.00. 3. Закрываем полный доступ к ветке %\USBSTOR. 4. Находим в %\CurrentControlSet ветку %\Services\USBSTOR У этой ветки есть параметр Start со значением 3, меняем его на 4, и так же закрываем полный доступ к ветке. 5. В каталоге %\WINDOWS\Inf (папка Inf скрыта) находим файлы usbstor.inf и usbstor.pnf, меняем в имени "." на "_" и закрываем полный доступ. Примечание: Везде XP Pro, полный доступ закрывается всем, в том числе и SYSTEM При проделанной работе остальные USB устройства (мыши, клавиатуры, принтеры) работают нормально, правда возникают проблемы со сканерами, для этого в ветке %\CurrentControlSet ветку %\Services\USBSTOR у параметра Start не меняем его значение, но доступ закрываем. Если нужно оставить одобренные флешки рабочими, а остальные нет, то перед закрытием доступа к веткам реестра и файлам в винде, вставляем "доверенные" флешки в комп, ждем окончания установки, вытаскиваем флешки и закрываем доступ там где нужно. Система работала отлично, пока не перезагрузили компы, оказалось, что теперь при открытии "Моего компьютера" долго осуществляется определение девайсов (фонарик катается), около 1.5-2 минуты. Юзеры жалуются на это, что это мешает им быстро работать. Ребят, кто сталкивался с такими ситуациями и как нашли выход? Решение горит, потому что с одной стороны жмет начальство, с другой юзеры, правда экстпериментировал примерно на 20 машинах, но и эти 20 человек надоедают. Есть предположение, что я закрыл доступ к какой либо необходимой библиотеке или еще к чему-нить, но если открыть доступ, то флешки читаются снова. Возможно ли отключить эту загрузку? Надеюсь на вашу помощь, выручайте)) |
15.04.2010, 09:03 | #3 (ссылка) |
Мастер
|
Гарад, а может проще сделать? Изменить вышеуказанный ключ реестра. Плюс создать рег файлы для отмены и обратного закрытия ключа. заархивировать рег файлы с паролем. Пароль сообщить доверенным лицам и все.
Кстати почему закрываешь ветки реестра. Чтоб не изменили? З.ы. Ну или заклеить все усб порты, бумажками с подписью босса, Доверенным лицам, после работы с компами заклеивать обратно. |
15.04.2010, 10:24 | #4 (ссылка) |
Стажёр
|
Iljeben, заклеить все усб порты не получится, т.к. используются усб мыши, принтеры, сканетры и т.п.
Просто у доверенных лиц должна работать только ОДНА флешка, одобренная начальством, а если делать пароли, то доступ будет к нескольким(( И не могу понять связь догого открытия моего компьютера с ветками в реестре |
15.04.2010, 13:01 | #5 (ссылка) |
Стажёр
Регистрация: 05.03.2010
Сообщений: 816
Репутация: 65
|
http://www.devicelock.com/ru/dl/index.htm программа платная,подходит для ваших целей,в отзывах читал,что неслабо корежит винду.Возможно стоит поставить на один комп и с помощью снимка реестра посмотреть,как у них это реализовано.
|
15.04.2010, 19:04 | #8 (ссылка) |
Знаток
|
Гарад, здравствуйте!
А вы, спросите у ваших безопасников, сами то они хоть раз делали то чем вас озадачили! А то точно, как то муторно все получается, иди туда не знаю куда, и возми то не знаю что!!! Порты USB отрубать нельзя, а флешки должно различать выборочно - Интересный замут!!! Если уж на то пошло, то думаю проще бы было тогда реализовать такое при помощи парольной защиты, с использование софта для этих нужд! Думаю если погуглите то без проблем найдете программы для этого! А то копаться в реестре дело не очень благодарное, и неизвестно к каким ошибкам в работе системы это может привести! Последний раз редактировалось winshelp; 15.04.2010 в 19:22. Причина: Добавлено |
Ads | |
15.04.2010, 20:21 | #9 (ссылка) | |
Стажёр
|
Гарад,
Вариант с Касперским не рассматривали..??? http://www.nowa.cc/showthread.php?t=51978&page=3 Цитата:
|
|
16.04.2010, 08:38 | #10 (ссылка) |
Стажёр
|
winshelp,
bvas, на софт руководство не соглашается, предлагал уже, это противоречит политике компании использовать в основном бесплатное ПО. И по всей стране нам первым дали такое задание, в других городах и филиалах с этим не сталкивались пока. Так что получается, что экспериментируют на нас(( Да и касперского не брали, стоит НОД32 для юр.лиц Нашел еще один способ, более простой и гуманный, это отключение записи на флешку в реестре: "Откройте редактор реестра (regedit) Найдите ветку HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\StorageDevicePolicies Если ее нет, создайте ее. В этой ветке создайте запись типа DWORD, назовите ее WriteProtect и присвойте ей значение 1. Закройте regedit.exe Все. Теперь доступ к flash дискам будет только для чтения (readonly)" Источник: n-admin.com Пробовал - работает, будем изучать. Теперь надо чтоб на определенную влешку была открыта запись, а на остальные нет... |
16.04.2010, 10:38 | #11 (ссылка) |
Стажёр
Регистрация: 05.03.2010
Сообщений: 816
Репутация: 65
|
Гарад, Посмотрите здесь http://habrahabr.ru/blogs/i_am_clever/52553/ ,http://daemani.livejournal.com/ ,
а это хорошая штука против autoranov,работает в паре с любым антивирусом:http://mobile-t.ru/forum/showthread.php?t=278,еще http://www.osp.ru/win2000/2008/02/4866704/. |
16.04.2010, 13:40 | #12 (ссылка) | |
Стажёр
|
Цитата:
В итоге одобренная флешка работает отлично, остальные нет!)) В подведении итогов могу выложить инструкции сюда: Выборочное подключение USB-флешек в Windows XP Итак, по шагам (разумеется, нужно обладать правами локального администратора): 1. Win+R (аналог Пуск -> Выполнить), regedit. 2. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\U SBSTOR]. Этот ключ хранит информацию о всех когда-либо подключенных USB-носителях. 3. Даем себе полный доступ на USBSTOR (правая клавиша мыши -> Разрешения, отметить пункт Полный доступ у группы ВСЕ). 4. Удаляем все содержимое USBSTOR. 5. Подключаем одобренную фэшку, убеждаемся в том, что она определилась. Внутри USBSTOR должен появиться ключ типа Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07 (F5 для обновления списка). 6. Опять ПКМ на USBSTOR, Разрешения. Убираем Полный доступ у группы ВСЕ, право на чтение оставляем. 7. Те же самые права нужно назначить пользователю SYSTEM, но напрямую это сделать не получится. Сначала нужно нажать кнопку Дополнительно, убрать галку Наследовать от родительского обьекта…, в появившемся окне Безопасность сказать Копировать. После очередного нажатия на ОК права пользователя SYSTEM станут доступны для изменения. 8. Для закрепления эффекта нажимаем кнопку Дополнительно еще раз и отмечаем пункт Заменить разрешения для всех дочерних объектов… Подтверждаем выполнение. Разрешенная флешка подключается и отключается без проблем. При попытке же несанкционированного подключения Windows определит устройство, но установить его не сможет, ругнувшись следующим образом: Причем, в USBSTOR'е будет создан новый ключ, который недвусмысленно укажет на попытку подключения неодобренного USB-накопителя. Запрещаем запись на flash диски. 1. Откройте редактор реестра (regedit) 2. Найдите ветку HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\StorageDevicePolicies Если ее нет, создайте ее. 3. В этой ветке создайте запись типа DWORD, назовите ее WriteProtect и присвойте ей значение 1. 4. Закройте regedit.exe Все. Теперь доступ к flash дискам будет только для чтения (readonly) Надеюсь данная информация многим пригодится. Последний раз редактировалось Гарад; 16.04.2010 в 13:41. Причина: Решение найдено |
|
19.04.2010, 11:16 | #13 (ссылка) |
Стажёр
|
От одной проблемы избавился, появилась другая...
Используя метод выборочного подключения получилось вот что: на локальном админе левые флешки не открываются, на админе домена тоже не открываются, а вот у юзеров сцуко они открываются что за дискриминация у юзеров выдает сообщение, что для установки оборудования (флешки) требуются права админа и форма ввода, жмешь отмену, он грит, что у вас нет прав и т.д. и т.п., но оборудование установлено и готово к использованию, и флешка открывается и нормально работает, кучу раз ребутал компы, дергал кучу юзеров, фиг, у них работает, у админов нет(((( ---------- Добавлено в 13:16 ---------- Предыдущее сообщение было написано в 11:29 ---------- Кстати, в AD-2003 настройки стандартные, может там стоит что-то поменять? |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Поиск решения Ехеl задача | Marysa | Офис | 2 | 22.11.2010 21:54 |
Программа ScanDisc - проблемы и решения | Михаил_Михаил | Windows XP | 1 | 22.08.2010 20:44 |
Отключение ЮСБ | Даэдр | Неисправности, настройка | 1 | 02.08.2010 05:34 |
помогите найти прогу для решения проблемы | HelpPLLLZ | Программы | 8 | 28.06.2010 10:30 |
Непонятки с подключением флешек | crocodail | Неисправности, настройка | 3 | 25.05.2010 17:45 |
Помогите решить задачу на "Поиск решения", Excel | Annitka | Офис | 3 | 10.05.2010 23:28 |
Программа для выявления bad секторов у флешек | Чистый листочек | Утилиты | 7 | 15.04.2010 23:22 |
Проблема с драйвером для флешек | xa1ter | Железо | 5 | 21.01.2010 17:59 |
Отключение DEP | HellWalk | Windows XP | 7 | 27.07.2009 01:22 |
комп виснет от флешек | scorpion | Периферия | 10 | 23.06.2009 22:04 |
Exel 2007 "поиск решения"-нужна помощь! | Vampyrica | Офис | 2 | 17.06.2009 21:18 |
Проблема с чтением флешек | mjc66 | Железо | 0 | 30.09.2008 15:09 |