Отключение флешек. Решения и проблемы.

barmaglot17 · Отправлено: **07:09, 21-01-2014** | #6

Успехи следующие. В конторе, где я работаю ныне используются три уровня ограничений на USB-накопители:
1. Разрешены полностью
2. Разрешено только чтение
3. Запрещены полностью

Избирательное разрешение лишь некоторых экземпляров USB-накопителей, честно говоря, не требовалось. Я написал cmd-файлы следующего содержания:

USB-накопители. Разрешить.cmd
@echo off
echo Разрешить запись на съемные носители...
REG ADD HKLM\SYSTEM\CurrentControlSet\control\StorageDevicePolicies /v "writeprotect" /t REG_DWORD /d 00000000 /f
echo Разрешить известные USB-накопители...
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR /v "Start" /t REG_DWORD /d 00000003 /f
echo Разрешить установку новых USB-накопителей...
subinacl /noverbose /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR" /Grant=SYSTEM=F
subinacl /noverbose /file %windir%\inf\usbstor.* /perm
subinacl /noverbose /file %windir%\inf\usbstor.* /Grant=Администраторы=F
subinacl /noverbose /file %windir%\inf\usbstor.* /Grant=SYSTEM=F
subinacl /noverbose /file %windir%\inf\usbstor.* /Grant=Все=R
pause

USB-накопители. Только чтение.cmd
@echo off
echo Запретить запись на съемные носители...
REG ADD HKLM\SYSTEM\CurrentControlSet\control\StorageDevicePolicies /v "writeprotect" /t REG_DWORD /d 00000001 /f
echo Разрешить известные USB-накопители...
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR /v "Start" /t REG_DWORD /d 00000003 /f
echo Разрешить установку новых USB-накопителей...
subinacl /noverbose /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR" /Grant=SYSTEM=F
subinacl /noverbose /file %windir%\inf\usbstor.* /perm
subinacl /noverbose /file %windir%\inf\usbstor.* /Grant=Администраторы=F
subinacl /noverbose /file %windir%\inf\usbstor.* /Grant=SYSTEM=F
subinacl /noverbose /file %windir%\inf\usbstor.* /Grant=Все=R
pause

USB-накопители. Запретить.cmd
@echo off
echo Запретить запись на съемные носители (на всякий случай)...
REG ADD HKLM\SYSTEM\CurrentControlSet\control\StorageDevicePolicies /v "writeprotect" /t REG_DWORD /d 00000001 /f
echo Запретить известные USB-накопители...
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR /v "Start" /t REG_DWORD /d 00000004 /f
echo Запретить установку новых USB-накопителей...
subinacl /noverbose /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR" /perm
subinacl /noverbose /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR" /Grant=Все=R
subinacl /noverbose /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR" /Grant=SYSTEM=R
subinacl /noverbose /file %windir%\inf\usbstor.* /perm
subinacl /noverbose /file %windir%\inf\usbstor.* /Grant=Администраторы=F
subinacl /noverbose /file %windir%\inf\usbstor.* /Deny=SYSTEM=F
subinacl /noverbose /file %windir%\inf\usbstor.* /Deny=Пользователи=F
subinacl /noverbose /file %windir%\inf\usbstor.* /Deny="Опытные Пользователи"=F
pause

По факту полный запрет не используется. WriteProtect же работает прекрасно. Как вы видите, вам потребуется микрософтовская утилита subinacl, пошарьте в интернете сами. Ну и, разумеется, нужно забрать у пользователей права локального администратора. Соответственно, нужно установить жесткий порядок загрузки в биосе и повесить на биос пароль. Данный способ работает в XP и 7.