Доброго времени суток) Проблема: "злые дядьки" постоянно проверяют систему на наличие незаконного подключения флеш-накопителей (флешек). Данная инфа хранится тут:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USBSTOR]

Удалить данные разделы из реестра без разрешения полного доступа невозможно, соответственно необходимо ручками сначала разрешить доступ, а потом уже удалять - что весьма геморно, т.к. за день сослуживцы навтыкают флешек, и к моменту прихода проверяющего не всегда успеваю всё почистить. Каким образом можно через твик реестра, или например запуском bat-файла, автоматизировать данный процесс? (т.е сначала разрешить доступ, потом удалить)

или например запуском bat-файла, автоматизировать данный процесс? »
SubInACL (http://www.microsoft.com/downloadS/details.aspx?familyid=E8BA3E56-D8FE-4A91-93CF-ED6985E3927B&displaylang=en) в сочетании с reg delete и reg add.

Что-то типа
subinacl /subkeyreg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR /grant=ИмяПользователя(или Группы)=F
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR /f
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

SubInACL в сочетании с reg delete и reg add. »

Каким образом? SubInACL установил, скопировал туда мой батник такого содержания:

subinacl /subkeyreg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR /grant=Администратор=F
subinacl /subkeyreg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Enum\USBSTOR /grant=Администратор=F
subinacl /subkeyreg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet002\Enum\USBSTOR /grant=Администратор=F
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USBSTOR /f

не работает, записи в реестре о флешке остаются.

primewar, вы по одной команды запускайте и смотрите - какие ошибки выводятся, применяются ли права, удаляется ли раздел и т.д. Например, нужно сохранять файл в кодировке DOS, раз у вас кириллица в коде...

P.S. Можете для subinacl использовать параметры /outputlog=FileName и/или /errorlog=FileName для записи вывода / ошибок в файл.

нужно сохранять файл в кодировке DOS, раз у вас кириллица в коде... »

как в DOSe? точнее чем? Я пользуюсь заменителем блокнота Bred3

В нем должна быть возможность сохранения в кодировке DOS (OEM). RTFM :)

Vadikan, Пересохранил, запустил, всё сработало) Спасибо! Только последнюю строку "reg add...." не добавлял, незачем, всё равно раздел автоматом создаётся при втыкании флешки)

Только последнюю строку "reg add...." не добавлял, незачем, всё равно раздел автоматом создаётся при втыкании флешки) »
Ну мало ли"злые дядьки" постоянно проверяют систему »
а раздела нет, а был в прошлый раз - подозрительно :) Это уж ваше дело...

Я рад, что у вас все получилось!

primewar, дополнительно. Решаю аналогичную проблему с помощью USBDeview 1.30 (http://soft.oszone.net/program/2688/USBDeview/). Только нужно "мышки" и "принтеры" снимать из всех выделенных.

okshef, Данная программа чистит только драйверы флешек из системной папки, но не трогает реестр - проверено, именно из-за этого и задал вопрос про чистку USB-устройств в реестре.
Создал батник и вместе с subinacl запаковал в сфх-архив, распаковка и работа скрытая, теперь только запускаю свой clearUSB.exe и вуаля) Работу проверил на 4-х машинах, пока глюков не было :)

primewar, специально проверил. Можете взглянуть - снимок окна программы и раздела реестра, сделанный при работе программы до "uninstall" (http://okshef.narod.ru/Tech_Img/USB_befor.JPG) и после "uninstall" (http://okshef.narod.ru/Tech_Img/USB_after.JPG) и сравнить количество зарегистрированных и прописанных устройств.

Решаю аналогичную проблему с помощью USBDeview 1.30. »
Неужели она работает даже при отсутствии у вас прав на раздел реестра?

Только нужно "мышки" и "принтеры" снимать из всех выделенных. »
Вопрос был об автоматизации процесса, не так ли? И он успешно решен.

Vadikan, никогда предъявлять права не требовалось. Не знаю что и подумать :dont-know .
А программа была предложена офф-топом. Удивительно, что на него ответили.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USBSTOR]

перестал работать второй ControlSet002, в смысле не срабатывает административный доступ, соответственно невозможно удалить данную ветку, остальные нормально. На других машинах такая фишка проявляется с некоторой периодичностью, может сработать, а может и нет.
Посмотрите, что не так?

primewar, что это у вас такое странное CurrentControlSet001, CurrentControlSet002 - нет таких веток.
Во-вторых, на английских системах Администратор называется Administrator.
В-третьих, почему Администратор? Не все же работают под этой учетной записью. Разрешения нужно давать группе, а не отдельной учетке.

странное CurrentControlSet001, CurrentControlSet002 »

подкорректировал батник (хотя и без этого работало)

на английских системах Администратор называется Administrator »

Система русская, поэтому и Администратор

Разрешения нужно давать группе, а не отдельной учетке »

Поскажите как?

Поскажите как?
Вместо имени учетки - имя группы (Администраторы).

Подскажите, коллеги:
Сделал себе скрипт отключающий автозапуск....
последним пунктом удаляется ключ
Reg Delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"
затем он создается заново и НАДО выставить разрешения на этот ключ - в рекомендациях предлогается отключить наследование разрешений, чем удаляются все права, для всех.
Как этого добится из командной строки??
Покурил справку по regperm и SubInACL. Ничего похожего не нашел.
Возможно задача решается через запрет Everyone - на запись(а потом групам пользователей и админу разрешение на чтение), я не силен в области разрешений. Но насколько я понял в мануалах рекомендуют добиватся задачи не запретами, а разрешениями.
---=====----

Наверное немного запутанно объяснил.
Попробую уточнить вопрос.

Есть ветка HKLM\Example\One
Надо снять с нее разрешения для всех пользователей из коммандной строки.....

Как дополнительный пример сошлюсь на статью по борьбе с Kido\Conficier
http://support.microsoft.com/kb/962007/ru

там везде рекомендуется и с веток реестра и с папок снимать полностью разрешения. Неуж то нет аналога в коммандной строке ???

Как поставить разрешение на редактирование раздела реестра понятно, а теперь как можно это же разрешение автоматически убрать?
Есть ли соответствующий ключ в программе SubInACL?