В который раз перечитал темы про "запрет доступа", но ни как не могу справиться со своими пользователями. Они по прежнему как-то умудряются вытаскивать инфу через флешки (похоже есть пользователи с "большими" головами).
Как я только ни пытался их закрывать (за исключением BIOS). Последний раз использовал административный шаблон вроде помогало, но на днях заметил флешку в одном из системников. остался после работы проверить воткнул свою и вуаля она работает. Шаблон применялся локально на машинах из под УЗ лок. админа. пользователи сидят под доменными записями.
Есть какие нибудь советы по этому поводу.
Имеется сервер 2003 R2 + AD + DNS.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000001

Создай reg файл Правда Это только на запись флеш накопителей запрет.

http://devicelock.ru/

CASHis, целиком и полность согласен с http://devicelock.ru/ »
система классная, позволяет работать только с зарегеными флэшками, выдавать временное разрешение и т.д., причем не только флэшки, но и любой другой внешний девайс!!!
Только ссылка другая DeviceLock (http://www.devicelock.com/ru/dl/) , причем это отечественная разработка!!!

да возможно система и классная, но она платная и лицензия singl, а если у меня 100 машин и на каждой нужно закрыть доступ как быть (130 тыс. руб. мне просто не дадут)

Ну тогда, если нет USB мышек, принтеров и прочего, отключайте в BIOS. Можно еще кривым методом - узнать, какие dll используют флешки при подключении и на эти файлы убрать доступ пользователям :)
Ну или ищите кряки, варезы и прочее

но она платная и лицензия singl, а если у меня 100 машин и на каждой нужно закрыть доступ как быть (130 тыс. руб. мне просто не дадут) »
ну во-первых не 130, а 70, у них хорошая скидка при большом заказе, а во-вторых: отключайте в BIOS. Можно еще кривым методом - узнать, какие dll используют флешки при подключении и на эти файлы убрать доступ пользователям »

а как вы считаете можно замутить что-то вроде: "воткнул флешку и ушла машина в спящий режим" к примеру

Конечно :) Киньте в корень флешки Autorun.inf, в нем пропишите скрипт на старт Format C :)
Не имеете возможности бороться программными методами - боритесь административными. Я встречал контору, в которой на заднюю часть корпуса одевался металлический кожух с замком, а передние порты просто отключались.

:yahoo: вот оно решение проблемы металлический кожух с замком, спасибо за совет бегу снимать мерки :oszone:
PS шутка конечно. всем спасибо.

http://devicelock.ru/ »
пользуюсь данной программой, нареканий пока нет. Умеет блокировать периферию, вести логи, смотреть все что печатется на принтерах и проч. Тока денег стоит :)

Тока денег стоит »
согласитесь, что оно того стоит...

XaHAleX, для виндовой сети да :) По крайней мере я плачу деньги и получаю то что мне нужно...и немного больше :)

Понимаю что тема давно не активна, я загнал в нетлогон:

Чтобы запретить/разрешить детектить флешки:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor]
"Start"=dword:00000004

2-Automatic
3-Manual
4-Disabled

Обрубило всем и сразу. воплей по началу было :)

Поздравляю если работает, только ты уверен что это помогает. Я тоже сперва так сделал, забил ключ, обновил, перезагрузил, вставляю флешку не открывает, ну думаю все проблема решена, ан нет вставляешь другую флешку ключ опять изменяется на 3. При том под каким бы пользователем ни делал (админ, не админ) не помогает. Так что ты проверь вставить другую флешку (желательно чтобы в этой системе она не светилась ранее).

Кстати видел у себя в инсте админы нашли такой выход:Вставляешь флешку, она определяется (авторан отключен) но как только заходишь на нее устройство отключается и пишет устройство не подключено, вот так, но прикол если не заходить на нее а работать через меню (отправить, вставить) то она работает. Правда не узнал что они сделали (винда терминальная, так что думаю с помощью ГП рулили).

у меня юзеры работают с правами пользователя. пользователям запрещено изменять значения реестра. Хотя и под Админом тоже значение не изменяецца.

Вот тут C:\WINDOWS\inf есть два файлика usbstor.inf и usbstor.PNF. Если файловая система NTFS то поставьте Всем запрет на эти файлы, если FAT, то удалите эти файлы, и тогда ни одна флешка у Вас не определиться.

Diesel315, к тому что написал Edaries, нужно еще запретить читать всем файлы Usbstor.pnf и Usbstor.inf. Лежат в \WINDOWS\inf
Тогда не будет параметр в реестре сбрасываться на 3. У нас сделано так, что вообще эти файлы переименованы. И все работает. Так можно решать кому давать доступ, а кому нет

нужно еще запретить читать всем файлы Usbstor.pnf и Usbstor.inf. Лежат в \WINDOWS\inf »
интересно а централизовано это моно как нибудь осуществить

запретить читать всем файлы Usbstor.pnf и Usbstor.inf. Лежат в \WINDOWS\inf »
интересно а централизовано это моно как нибудь осуществить
В логон-скрипте командой Cacls.