[VitRom]

Цитата Enforcer2K:

в шапке предлагается что-то другое? »

да то же самое! Только "чужими руками" типа "ван-клик солюшн".
Риск сноса есть всегде и -- да, нарастает -- ну так "хоть что-то" всё лучше, чем "вообще ничего"!
Кстати, два недавно упомянутых скрипта как раз и "обезопасивают СЕБЯ", ведь первоначально юзер запускает их на своём компе, где они тут же бодренько и отрубают всякие автоплеи и пр. Да, это делается напрямую, через реестр, это можно и "откатить" через тот же реестр, ну так то же самое относится и к политикам -- у многих ли включен запрет запуска и/или логона, если невозможно обработать политику? А "покоцать" соотв. файлы -- и только через эвентлог узнаешь, что политики не применены. Зато есть совместимось с системами, которые о политиках ни сном ни духом.

Цитата romall:

1 аппаратно отключать запись на флеху »

В моём посте была только теория, однако есть непроверенные данные (см. сайт ниже), что не всё так просто, и есть побочные эффекты, увы

Цитата romall:

2 программы для ограничения доступа к разделам. »

В случае ходьбы по клиентам вполне достаточно просто доступа на чтение.
Кстати, этот вариант возможно реализовать перепрограммированием контроллера флехи.

В общем, велкам на FlashBoot.ru, там среди всего и подобные вопросы тоже активно обсуждаются.

ЗЫ. Кстати, вариант 2 из пред. поста можно превратить в такой.
Вар-т 3: один раздел, разрешённый на запись, но в корне и каждом подкаталоге лежит "сюрпрайз!" типа "LPT3" и/или "..", а размер раздела указан точно равным сумме размеров файлов, т.е. свободного места типа нет

ЗЗЫ. Ну и вар-т 4: как оказалось (кажется, инфа на том же флешбут-е), таки есть ещё мозги у производителей "фляжки" с "замочком"!

[volk1234]

Pili и другие заинтересованные лица.

Ваял я тут свой скрипт для Complete Autorun Off - с автоустановкой KB967715 если не установлен
с закрытием всех 4 ключей автозапуска, с удалением mountpoints и тд....

обнаружил такую вещь

Код:

del x:\autorun.inf /f
rd x:\autorun.inf

Запросто удаляет созданную Flash Drive Disinfector "неудаляемую" папку.
Первая команда удаляет все файлы из директории x:\autorun.inf\* вместе с хитрым lpt3
Прошу обратить на это внимание, так как вирусописатели не дремлют...
А ложное ощущение безопастности хуже чем просто незащищенная флешка...

[Pili]

volk1234, ответ здесь

[volk1234]

Вот в развитие дискусии протекающей в этой ветке (спасибо всем за идеи),
сделал утилиту для полного отключения автозапуска. , пользуйтесь кому надо...

[archiv@rius_31]

ShaddyR, что Вы там говорили насчет защиты файлов? У меня все получилось! Но все равно, спасибо за замечания, усовершенсововал. Этот способ, думаю, получше будет.

1) Во-первых, все-таки стоит отформатировать или преобразовать флешку в NTFS (не следует бояться это делать для обычных флэшек - для них это практически безопасно, но надо бояться для проигрывателей, телефонов и камер, ибо можете этим убить некоторые из них);
2) Создать на флэшке отдельную папку и переместить туда все данные;
3) Выбрать "Свойства" (для ВСЕЙ флэшки) и на вкладке "Безопасность" установить для пользователя "Все" (то есть, для всех, другие записи из списка удалив, если есть) (кнопка "Дополнительно" > "Изменить") запрет на "Создание файлов / Запись данных", "Создание папок / Дозапись данных", "Запись атрибутов", "Запись дополнительных атрибутов", "Смену разрешений" и "Смену владельца". Удаление оставить разрешенным. Поставить птичку "Заменить разрешения для всех дочерних объектов..."
4) Для папки с данными следует отменить "Наследование от родительского объекта применимых к дочерним объектам разрешений...", нажать "Добавить" > "Дополнительно" > "Поиск" > "Все" > "ОК", разрешить полный доступ к папке и "Заменить разрешения для всех дочерних объектов...". Применить все.
5) Чтобы папку никто не мог удалить, можно для этой папки (но не для дочерних объектов и вложенных файлов!) поставить атрибут "только чтение" и запрет на "Удаление", "Смену разрешений" и "Смену владельца".
6) Если на флэшке присутствует свой autorun.inf (папка, файл - не важно) и другие системные данные, которые перемещать не рекомендуется (например, поставляемые вместе с флэшкой программы или файлы, связанные с autorun.inf), то для них следует выставить атрибуты "только чтение" и задать те же параметры, что и в п.2, добавив к этому запреты на "Удаление папок и файлов" и "Удаление".

В итоге получаем носитель, на который в корень не может записаться АБСОЛЮТНО ничего ни с какого компа (только со своего - теоретически - но и в этом случае удаление разрешено), но в то же время сохраняется возможность записи, редактирования и удаления пользовательских данных в папках. Чтобы при запуске флэшки открывалась папка с данными, можно использовать файл autorun.inf, указывающий на папку. Таким образом реализуется двухступенчатая защита флэшки.

Что в итоге у меня получилось? В общем, ковырялся я после этого с autorun.inf, написал, казалось бы безвинный, файл, защитил флэшку и файл вновь и включил NOD32. Антивирус сразу же посчитал файл за троянскую программу под общим названием INF/Autorun.gen, клятвенно пообещав удалить ее после перезагрузки (ага, значит с первого раза не получилось - уже хорошо). После перезагрузки файл остался лежать на том же самом месте, и антивирус продолжал ругаться. Испытал флэшку в "полевых" условиях - третий день активного пользования на работе на разных компах (рассадниках вирусов) ни одна вирусня пока еще туда не пролезла.

Вообще, защита в NTFS? как оказывается, полна нюансов (или криво организованы ее настройки?). В общем, смотря как ее ставить. При некоторых, казалось бы рабочих, комбинациях защищенные файлы удаляются по обычному shift+del, или перезаписываются вирусом. Думаю, описанного выше способа будет достаточно (и необходимо), чтобы запретить перезапись.

Остается лишь молиться о том, чтобы вирусописатели не состряпали вирус, реализующий защиту на основе NTFS, иначе всем худо будет.

___________
PS: Насчет NTFS: Лучше не форматировать, а конвертировать флэшку, не изменяя ее свойств оборудования, при этом она по прежнему будет оптимизирована для извлечения, а не для выполнения, что увеличит срок ее службы. То есть, при имеющейся на ней системе NTFS, работа Windows с ней будет напоминать работу с FAT-разделом. Сам уже больше года, как преобразовал ее в NTFS и активно использую на разных компах - флэшка жива и не думает умирать. У друга - больше двух лет работает.

[DmB89]

Хочется внести ясность в один вопрос.
Как уже ранее отмечалось в этой теме, надо разделять функции автозапуска (autorun), и автовоспроизведения (autoplay).
Что такое автозапуск? Это обработка файла autorun.inf, и выполнение его инструкций - либо через контекстное меню, либо по двойному щелчку на иконке диска, либо просто при вставке компакт-диска в дисковод.
Что такое автовоспроизведение? Это сканирование содержимого подсоединённого диска, и при обнаружении мультимедийных файлов - выбрасывание окошка с выбором приложений, коими эти файлы можно открыть. Данный выбор можно запомнить, и в дальнейшем для данного диска это приложение будет запускаться автоматически. И выбор этот сохраняется в разделе реестра

Код:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\UserChosenExecuteHandlers

В чём проблема? Как обычно, в Microsoft!
Это не шутка. На сей раз Microsoft умудрились запутать даже самих себя! Дело в том, что ключики NoDriveAutoRun и NoDriveTypeAutoRun в разделе реестра

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

отвечают вовсе не за автозапуск, как можно решить из названия, а за автовоспроизведение!!! Соответственно, все их (MS) прежние советы по отключению автозапуска на отдельных дисках -

читать дальше »

Цитата:

Для всех вышеперечисленных версий кроме XP Home Edition: пуск - выполнить - gpedit.msc - конфигурация компутера - административные шаблоны - Система - отключить автозапуск (выберите, где отключать). Далее примените новую политику командой gpupdate в консоли. В Home оснастка управления групповыми политиками отсутствует,однако тот же эффект может быть достигнут ручной правкой реестра: 1) Пуск -> выполнить -> regedit 2) открыть ветку HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies 3) Создать новый раздел 4) Переименовать созданный раздел в Explorer 5) В этом разделе создать ключ NoDriveTypeAutoRun Допустимые значения ключа: 0x1 - отключить автозапуск на приводах неизвестных типов 0x4 - отключить автозапуск сьемных устройств 0x8 - отключить автозапуск НЕсьемных устройств 0x10 - отключить автозапуск сетевых дисков 0x20 - отключить автозапуск CD-приводов 0x40 - отключить автозапуск RAM-дисков 0x80 - отключить автозапуск на приводах неизвестных типов 0xFF - отключить автозапуск вообще всех дисков. Значения могут комбинироваться суммированием их числовых значений. Значения по умолчанию: 0x95 - Windows 2000 и 2003 (отключен автозапуск сьемных, сетевых и неизвестных дисков) 0x91 - Windows XP (отключен автозапуск сетевых и неизвестных дисков) Комментарий: в XP Home по умолчанию этот ключ отсутствует (как и сам раздел Explorer), поэтому выше описан процесс его создания. Для остальных версий создавать не надо, он уже есть, просто исправьте его.

так вот эти советы к автозапуску не имеют никакого отношения!!!
Да и сама групповая политика, которая в Windows 2000 называлась правильно - "Disable Autoplay", в Windows XP русской версии почему-то названа "Отключить автозапуск".
Теперь MS признала свои ошибки

Цитата:

С помощью ранее опубликованных рекомендаций невозможно правильно отключить функции автозапуска.

и появилась статья 967715. После установки данного обновления вышеуказанные ключи реестра начинают-таки работать так, как и задумано - отключать автозапуск!
Некоторые товарищи как-то чересчур бурно отреагировали на это нововведение. Хотя ничего принципиально нового тут нет. Большинство рабочих решений описаны на первых страницах этой темы, и вовсе не требуют наличия данного обновления. А если думать только о себе, так можно вовсе ничего не ставить -

Цитата Morpheya:

Открывайте съёмные диски через левую панель проводника - "Папки" или через Win-E »

И будет вам счастье!

[Vadikan]

DmB89, отличный пост, спасибо!

[volk1234]

archiv@rius_31
Боятся NTFS на флэшках надо - ибо эта файловая система сильно уменьшает их ресурс.

Разрешения достаточно поставить на всю флэшку стразу - Все - чтение(без выполнения можно) и скопировать будет можно, а записать и запустить с флэшки нет ... ( перед этим удалить всех пользователей из разрешений)
Я такое практикую на своих пользователях которые выкладывают видео и музыку для других, дабы не повадно было остальным простматривать фильмы по сети с чужого компа. Но поидее такое можно применить и в любой общей папке - разрешить запись и чтение - а выполнение нет.

Цитата archiv@rius_31:

Остается лишь молиться о том, чтобы вирусописатели не состряпали вирус, реализующий защиту на основе NTFS, иначе всем худо будет »

А толку ? встроенная УЗ Администратора всегда может вернуть себе любые права в NTFS - сделано для защиты от утраты информации. Плюс chkdsk умеет видеть такие "ошибки" в правах и если нет ни одного пользователя с доступом к разделу\папке - исправляет это дело...

---

DmB89

Спасибо за разъяснения. Я сам запутался в этих терминах.

Вопросы:
Я в своей утилите удаляю ключ MountPoints2 и создав его пустым - блокирую всем доступ в него. Насколько это критично для системы?

Насколько критично с точки зрения вирусной защиты отключать autorun с CD\DVD - в принципе вирусов не встречал на дисках, а без автозапуска пользователям очень грустно вставлять диск и вручную искать исполняемый файл....
Могут ли вирусы используя механизм автозапуска с CD\DVD пролезть с флешек и тд???

[DmB89]

Цитата volk1234:

удаляю ключ MountPoints2 и создав его пустым - блокирую всем доступ в него. Насколько это критично для системы? »

М-да... Вопрос, что называется - на засыпку! На самом деле механизм работы этого раздела реестра нигде не освещён. Я тоже не совсем верно представлял его работу. Предыдущий пост поправлен.
Пришлось провести ещё несколько экспериментов. Выяснилось следующее. При вставке USB-диска в этой ветке появляется ещё один раздел

Код:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ID}

где ID - это цифробуквенный идентификатор, причём на один диск их может быть несколько! И внутри этого раздела - дополнительные разделы и параметры, повторяющие структуру файла Autorun.inf!
При установлении запрета для всех на доступ к разделу MountPoints2, значения из файла Autorun.inf не могут скопироваться в этот раздел, и как оказалось - не обрабатываются!
Про отрицательные последствия к сожалению, ничего не могу сказать, просто отсутствует информация. Возможно при работе с сетевыми дисками могут быть ошибки в логах, но вряд ли что-то критичное.
Я думаю, что опасность этого раздела, как бы это сказать... несколько преувеличена. При удалении файла Autorun.inf из корня диска никакие файлы не запустятся, даже если "память" о них и осталась в соответствующем разделе. Но это я утверждаю, исходя только из собственных экспериментов. Точной информации, повторюсь, у меня нет. Если кто-то найдёт описание от Microsoft - выкладывайте сюда!

Цитата volk1234:

Насколько критично с точки зрения вирусной защиты отключать autorun с CD\DVD .............. Могут ли вирусы используя механизм автозапуска с CD\DVD пролезть с флешек и тд??? »

Если установлено обновление 967715, то используя параметры реестра NoDriveAutoRun и NoDriveTypeAutoRun можно настроить систему так, что автозапуск с CD/DVD останется, в то время как у подключаемых дисков автозапуск не будет срабатывать. И тут вирус с флешки никак не сможет использовать механизм автозапуска с CD/DVD, поскольку настраивается и то и другое одним параметром реестра!
Мне тоже представляется, что оптимальнее было бы оставить автозапуск с CD/DVD. Столкнулся с одной ситуацией, DVD с игрой Neverwinter Nights Diamond edition. Файл autorun.inf следующего содержания:

читать дальше »

Код:

[autorun]
OPEN=autorun.exe
ICON=autorun.exe,0

[Disk]
Disk=1
Label1=Disk1
Flavour=Diamond
Medium=DVD
CritRebuild=NWNEnglish1.66HotUUpdate.exe

[General]
Language=0
Background=background.bmp
BackgroundSound=background.wav
ClickSound=click.wav
Data=Data

[Messages]
Caption=Neverwinter Nights: Diamond Edition
CheckCD=Please check your CD for dirt or damage.

[Button1]
x=145
y=330
down=button_down.bmp
over=button_over.bmp
label=Install

[Button2]
x=145
y=390
down=button_down.bmp
over=button_over.bmp
label=Exit

При отключении автозапуска любым способом, ручной запуск файла autorun.exe никакого результата не даёт! Не появляются кнопки "Install" и "Exit", прописанные в autorun.inf.
Так что возможности файла autorun.inf тоже описаны далеко не полностью...

[volk1234]

Inf-файл для логического диска

Цитата:

Еще одной возможностью, которую предоставляют inf-файлы, является добавление в контекстное меню логических дисков своих команд, а также изменение значка логического диска. Для этого необходимо создать специальный файл, который должен называться autorun.inf. Созданный inf-файл необходимо поместить в корень логического диска. Давайте рассмотрим пример создания файла autorun.inf. Пример создания файла autorun.inf Код: [autorun] icon = E:\images\fotoo\Art_galery\p.BMP shell = open shell\RunPh\command = photoshop.exe shell\RunPh = Запустить photoshop Файл autorun.inf не содержит блока версии inf-файла, но он должен содержать в себе блок [AUTORUN]. Содержимое этого блока довольно просто в понимании, если вы прочитали раздел книги о корневом разделе HKEY_CLASSES_ROOT в главе о реестре. Как можно заметить, ключевые слова, начинающиеся со слова SHELL, являются просто подразделами реестра, которые должны быть добавлены к ветви HKEY_CLASSES_ROOT\DRIVE при отображении контекстного меню данного логического диска, а ключевое слово ICON определяет значок диска. Тем не менее, давайте вспомним содержимое корневого раздела HKEY_CLASSES_ROOT\DRIVE\SHELL и опишем, что же конкретно делают ключевые слова данного файла. s Код: hell = open — добавляет в параметр по умолчанию подраздела SHELL строку open. Эта строка говорит о том, что по умолчанию при двойном щелчке на диске диск должен открываться. Shell\RunPh = Запустить photoshop — добавляет в параметр по умолчанию подраздела RUNPH строку Запустить photoshop. Эта строка определяет название команды в контекстном меню нашего диска. Shell\RunPh\command = photoshop.exe — добавляет в параметр по умолчанию подраздела COMMAND строку photoshop.exe. Эта строка определяет команду, которая будет выполняться при выборе из контекстного меню нашего диска соответствующей команды. Для возможности работы файла autorun.inf необходимо, чтобы параметр типа REG_BINARY NoDriveTypeAutoRun, расположенный в ветви реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, был равен 0.

Получается autorun.inf можно запускать некой командой через rundll32 ?