Консультации Портала - Консультация #146318

Задать вопрос Консультации Пользователи Форум

Задать вопрос экспертам

Консультация № 146318

07.10.2008, 12:20

0.00 руб.

07.10.2008, 12:33

0 6 2

Компьютеры Программное обеспечение Операционные системы

Добрый день!
Сеть из 40 компьютеров, все включены в домен, у всех - права пользователей/опытных пользователей (у не администрирующего персонала).
Руководство внесло изменение в политику безопасности нашей организации, а именно потребовало запретить использование USB устройств.
В связи с этим следующий вопрос:

1) Как запретить использование этих устройств (с помощью политики безопасности)
2) Как при этом исключить из запрета принтеры и прочие устройства.

Прошу ответить серьезно. Речь не идет об одной машине. Использование сторонних программных продуктов да еще и не лицензионных также не одобряется.

Заранее благодарен.

Приложение:
WinXP sp2
WinServer 2003 sp2
права строго соблюдены, у работающих пользователей максиум права опытных юзеров.

Обсуждение

Неизвестный

07.10.2008, 22:14

общий

это ответ

Здравствуйте, Дядя Михайло!
Ссылки в приложении. Рекомендую начать с сайта Microsoft

Приложение:
http://support.microsoft.com/kb/823732
http://www.strizhkov.ru/archives/51

Неизвестный

08.10.2008, 07:46

общий

Знал что надо в реестре отключать, но оказывается еще можно доступ на файлы закрыть - прикольно

ну а вот что касается доменной политики и как это накатить на все сразу машины а не по одной

то тут наверно надо бы в групповой политике создать сценарий запуска из файла, где будет строка типа regedit /s \\server\1\nousb.reg. А в файле реестра только и нужно утсновить параметр start =4. Но при этом наверно все таки пользователей на коротки срок надо будет включить административную группу на своих машинах, что бы под их учетками можно было это сделать

Неизвестный

10.10.2008, 00:38

общий

это ответ

Здравствуйте, Дядя Михайло!
В групповых политиках домена под Windows Server 2003 нет готовых встроенных средств для блокировки сменных носителей.
Однако Вы можете создать новый административный шаблон, скопировав текст в приложении, и сохранив его как .adm файл. После этого Вам нужно будет импортировать новый шаблон в Ваши групповые политики (ПКМ на административных шаблонах -> добавление или удаление шаблонов). После импорта у Вас появятся новые пункты групповых политик в Custom Policy Settings, позволяющие отключать сменные носители. Для того, чтобы увидеть их, Вам нужно будет выбрать административные шаблоны, в правой части окна редактора политик нажать ПКМ, выбрать пункт Вид -> Фильтрация -> убрать галку с пункта "Показывать только управляемые параметры политики".
Настройки данного шаблона обладают т.н. "эффектом памяти". То есть при удалении групповой политики все сделанные изменения остаются. Для возврата начальных настроек для каждого пункта придется выбрать противоположное значение (enabled/disabled).

Приложение:
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"

Неизвестный

12.10.2008, 15:17

общий

Можно просто изменить значение реестра на "4" и закрыть доступ к этому параметру для System.

Неизвестный

15.10.2008, 15:57

общий

Да, кстати, за флешки отвечает usbstor.sys
Если его удалить/переместить/запретить системе доступ, то флешек (а возможно и usb-жестких дисков) не будет.

Неизвестный

17.10.2008, 12:35

общий

Можно просто запретить для этого параметра доступ для System

И тогда он сбрасываться не будет.

Форма ответа

Отправка постов/ответов доступна только зарегистрированным и подтвержденным пользователям.

Если Вы уже зарегистрированы на Портале - войдите в систему, если Вы еще не регистрировались - пройдите простую процедуру регистрации.