Приветствую!

Я работаю айтишником в одной крупной конторе и поступило задание от безопасников полность закрыть доступ к флешкам у смертных юзеров и ограниченный (одобренные начальством флешки) у руководителей. Покопавшись в дебрях интеренета нашел достаточно инфы, но она была не систематезирована и возможно некоторые действия излишне.

Вот так примерно выглядит порядок действий (конечно под правами администратора):

1. В реестре находим ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
Существует 3 ветки ControlSet, 2 из них это последние удачные конфигурации оборудования, а CurrentControlSet - текущая конфигурация.
2. Так вот в текущей конфигурации находим %\Enum\USBSTOR в ней содержится инфа о установленных на компе флешках, открываем для себя полный доступ к ветке и грохаем содержимое. На каждую флешку создается ветка типа Disk&Ven_JetFlash&Prod_T512MJF2B/2l&Rev_2.00.

3. Закрываем полный доступ к ветке %\USBSTOR.
4. Находим в %\CurrentControlSet ветку %\Services\USBSTOR
У этой ветки есть параметр Start со значением 3, меняем его на 4, и так же закрываем полный доступ к ветке.
5. В каталоге %\WINDOWS\Inf (папка Inf скрыта) находим файлы usbstor.inf и usbstor.pnf, меняем в имени "." на "_" и закрываем полный доступ.

Примечание: Везде XP Pro, полный доступ закрывается всем, в том числе и SYSTEM

При проделанной работе остальные USB устройства (мыши, клавиатуры, принтеры) работают нормально, правда возникают проблемы со сканерами, для этого в ветке %\CurrentControlSet ветку %\Services\USBSTOR у параметра Start не меняем его значение, но доступ закрываем.

Если нужно оставить одобренные флешки рабочими, а остальные нет, то перед закрытием доступа к веткам реестра и файлам в винде, вставляем "доверенные" флешки в комп, ждем окончания установки, вытаскиваем флешки и закрываем доступ там где нужно.

Система работала отлично, пока не перезагрузили компы, оказалось, что теперь при открытии "Моего компьютера" долго осуществляется определение девайсов (фонарик катается), около 1.5-2 минуты. Юзеры жалуются на это, что это мешает им быстро работать.

Ребят, кто сталкивался с такими ситуациями и как нашли выход? Решение горит, потому что с одной стороны жмет начальство, с другой юзеры, правда экстпериментировал примерно на 20 машинах, но и эти 20 человек надоедают.

Есть предположение, что я закрыл доступ к какой либо необходимой библиотеке или еще к чему-нить, но если открыть доступ, то флешки читаются снова. Возможно ли отключить эту загрузку?

Надеюсь на вашу помощь, выручайте))

Как запретить использование USB портов, дисководов CD-ROM и Floppy с помощью Групповых Политик (http://www.oszone.net/display.php?id=3644#19)

Нашел более быстрое и простое решение, выкладываю сюда, может многим пригодиться!

Выборочное подключение USB-флешек в Windows XP

Итак, по шагам (разумеется, нужно обладать правами локального администратора):
1. Win+R (аналог Пуск -> Выполнить), regedit.
2. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR]. Этот ключ хранит информацию о всех когда-либо подключенных USB-носителях.
3. Даем себе полный доступ на USBSTOR (правая клавиша мыши -> Разрешения, отметить пункт Полный доступ у группы ВСЕ).
4. Удаляем все содержимое USBSTOR.
5. Подключаем одобренную фэшку, убеждаемся в том, что она определилась. Внутри USBSTOR должен появиться ключ типа Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07 (F5 для обновления списка).
6. Опять ПКМ на USBSTOR, Разрешения. Убираем Полный доступ у группы ВСЕ, право на чтение оставляем.
7. Те же самые права нужно назначить пользователю SYSTEM, но напрямую это сделать не получится. Сначала нужно нажать кнопку Дополнительно, убрать галку Наследовать от родительского обьекта…, в появившемся окне Безопасность сказать Копировать. После очередного нажатия на ОК права пользователя SYSTEM станут доступны для изменения.
8. Для закрепления эффекта нажимаем кнопку Дополнительно еще раз и отмечаем пункт Заменить разрешения для всех дочерних объектов… Подтверждаем выполнение.

Разрешенная флешка подключается и отключается без проблем. При попытке же несанкционированного подключения Windows определит устройство, но установить его не сможет, ругнувшись следующим образом:
http://s43.radikal.ru/i099/0902/c0/7defb020b77c.jpg
Причем, в USBSTOR'е будет создан новый ключ, который недвусмысленно укажет на попытку подключения неодобренного USB-накопителя.

Запрещаем запись на flash диски.

1. Откройте редактор реестра (regedit)

2. Найдите ветку HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies

Если ее нет, создайте ее.

3. В этой ветке создайте запись типа DWORD, назовите ее WriteProtect и присвойте ей значение 1.

4. Закройте regedit.exe

Все. Теперь доступ к flash дискам будет только для чтения (readonly)

Мне тоже пришлось заняться этим вопросом и ваш способ (с разделом enum\USBSTOR) мне приглянулся. Но в ходе его проверки выяснилось, что он не дает эффекта. Произведем данную процедуру с enum\USBSTOR, затем возьмем флэшку, которая ранее подключалась к компу, но не считается "доверенной". Подключим ее, появится показанный вами диалог, не закрываем его, извлекаем флэшку и снова вставляем. Флэшка обнаруживается и работает. Все это происходит под админом. Под пользователем еще смешнее. Вставляем флэшку, Винда просит ввести имя и пароль администратора, отказываемся, Винда горестно сообщает, что мы не имеем право устанавливать это устройство, говорим ОК, после этого появляется уведомление, что драйвер установлен и устройство готово к работе. И это истинно так! Сейчас займусь WriteProtect-ом и отключением службы Съемные ЗУ.

И как успехи? :)

Успехи следующие. В конторе, где я работаю ныне используются три уровня ограничений на USB-накопители:
1. Разрешены полностью
2. Разрешено только чтение
3. Запрещены полностью

Избирательное разрешение лишь некоторых экземпляров USB-накопителей, честно говоря, не требовалось. Я написал cmd-файлы следующего содержания:

USB-накопители. Разрешить.cmd
@echo off
echo Разрешить запись на съемные носители...
REG ADD HKLM\SYSTEM\CurrentControlSet\control\StorageDevicePolicies /v "writeprotect" /t REG_DWORD /d 00000000 /f
echo Разрешить известные USB-накопители...
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR /v "Start" /t REG_DWORD /d 00000003 /f
echo Разрешить установку новых USB-накопителей...
subinacl /noverbose /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR" /Grant=SYSTEM=F
subinacl /noverbose /file %windir%\inf\usbstor.* /perm
subinacl /noverbose /file %windir%\inf\usbstor.* /Grant=Администраторы=F
subinacl /noverbose /file %windir%\inf\usbstor.* /Grant=SYSTEM=F
subinacl /noverbose /file %windir%\inf\usbstor.* /Grant=Все=R
pause

USB-накопители. Только чтение.cmd
@echo off
echo Запретить запись на съемные носители...
REG ADD HKLM\SYSTEM\CurrentControlSet\control\StorageDevicePolicies /v "writeprotect" /t REG_DWORD /d 00000001 /f
echo Разрешить известные USB-накопители...
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR /v "Start" /t REG_DWORD /d 00000003 /f
echo Разрешить установку новых USB-накопителей...
subinacl /noverbose /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR" /Grant=SYSTEM=F
subinacl /noverbose /file %windir%\inf\usbstor.* /perm
subinacl /noverbose /file %windir%\inf\usbstor.* /Grant=Администраторы=F
subinacl /noverbose /file %windir%\inf\usbstor.* /Grant=SYSTEM=F
subinacl /noverbose /file %windir%\inf\usbstor.* /Grant=Все=R
pause

USB-накопители. Запретить.cmd
@echo off
echo Запретить запись на съемные носители (на всякий случай)...
REG ADD HKLM\SYSTEM\CurrentControlSet\control\StorageDevicePolicies /v "writeprotect" /t REG_DWORD /d 00000001 /f
echo Запретить известные USB-накопители...
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR /v "Start" /t REG_DWORD /d 00000004 /f
echo Запретить установку новых USB-накопителей...
subinacl /noverbose /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR" /perm
subinacl /noverbose /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR" /Grant=Все=R
subinacl /noverbose /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR" /Grant=SYSTEM=R
subinacl /noverbose /file %windir%\inf\usbstor.* /perm
subinacl /noverbose /file %windir%\inf\usbstor.* /Grant=Администраторы=F
subinacl /noverbose /file %windir%\inf\usbstor.* /Deny=SYSTEM=F
subinacl /noverbose /file %windir%\inf\usbstor.* /Deny=Пользователи=F
subinacl /noverbose /file %windir%\inf\usbstor.* /Deny="Опытные Пользователи"=F
pause

По факту полный запрет не используется. WriteProtect же работает прекрасно. Как вы видите, вам потребуется микрософтовская утилита subinacl, пошарьте в интернете сами. Ну и, разумеется, нужно забрать у пользователей права локального администратора. Соответственно, нужно установить жесткий порядок загрузки в биосе и повесить на биос пароль. Данный способ работает в XP и 7.

А как насчёт утилиты USB Manager (http://imakesoft.ru/) ?
Из возможностей следующее:

Контроль различных устройств (USB-накопители, принтеры, сканеры, аудио и другие устройства);
Защита паролем;
Скрытие в системе;
Автозапуск при загрузке ОС;
Горячие клавиши;
Простой интерфейс;


Либо Ratool (http://www.comss.info/page.php?al=Ratool) (363 Кбайт).
3 режима работы и дополнительные возможности:

«Разрешить чтение и запись» (Allow Read & Write);
«Режим «Разрешить только для чтения» (Allow Read Only);
«Отключить распознавание USB-накопителей» (Disable USB Disks Detection);
Защита паролем;
отключения автозапуска при обнаружении USB-накопителя;
отображение скрытых файлов на накопителях;
эффективное удаление скрытых файлов.

Не встречал. Автозапуск (как при подключении накопителя, так и по двойному щелчку по диску в проводнике) в XP отключается reg-файлом:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"HonorAutoRunSetting"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

Это отключение для всех носителей. Правда, если не установлен фикс, давным давно распространяемый Microsoft через автообновление, это не сработает. Подробнее тут: http://support.microsoft.com/kb/967715/ru

Получается, что данные программы мне уже ни к чему. Пробуйте, пишите результаты.