[решено] Можно ли заблокировать подключение "флеш" избирательно?

Цитата:

Цитата El Scorpio

USB-ключ - это не носитель памяти типа USB-Flash,*а устройство совсем другого класса. »

но в USBstor все равно регается... Sentinel яркий тому пример

Цитата:

Цитата monkkey

Для этого существуют специальные программы. http://devicelock.ru/, например. »

платный софт... не катит

Цитата:

Цитата Angry Demon

RUVATA, Выборочное подключение USB-флешек в Windows XP »

тоже вариант :) но там есть маленький косячок:
Долго будешь мучаться когда захочешь "вернуть все взад"
нельзя отбирать права у System. Их будет не так просто вернуть обратно...
нуно будет "удаленный реестр" и под админом, и то не всегда срабатывает,
смотря как наваял с разрешениями, локально-же ковыряя реестр через regedit
кем-бы ты не регнулся в систему, конечное действие всегда осуществляет system,
а если у нее нет прав? все приплыли?

Проблемма решена так:

Если тема еще актуальна... После прочтения и переработки всей информации, касающейся разграничения доступа к USB-накопителям, которую удалось найти, была создана следующая групповая политика.
Исходные данные: домен win2k3, пользователи имеют ограниченные права, за каждым конкретным пользователем "закреплен" конкретный компьютер, некоторому количеству пользователей по служебной необходимости нужен доступ к USB-накопителям на чтение/запись. Задача: запретить доступ к USB-накопителям на чтение/запись для всех пользователей домена, кроме тех из них, которым работа с USB-накопителями необходима для исполнения служебных обязанностей (при этом работоспособность таких USB-устройств, как принтеры, мыши и т.д. должна сохраниться).

Решение избрано следующее.
Создано 2 объекта групповой политики (GPO): первый применяется к компьютерам тех пользователей, которым нужно дать полный доступ к USB-накопителям, второй - ко всем авторизованным компьютерам домена.

Этот ADM-файл добавлен в Administrative Templates (раздел Computer Configuration) обоих GPO:

Код:

; This policy restrict write access to USB device

CLASS MACHINE

CATEGORY !!USBProtect  

POLICY !!USBprotectpolicy

EXPLAIN !!USBProtect_Explain

KEYNAME "System\CurrentControlSet\Control\StorageDevicePolicies"

VALUENAME "WriteProtect"

VALUEON NUMERIC 1

VALUEOFF NUMERIC 0

END POLICY

 

POLICY !!USBprotect_old

EXPLAIN !!USBProtect_Explain

KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"

VALUENAME "Start"

VALUEON NUMERIC 4

VALUEOFF NUMERIC 3

END POLICY

END CATEGORY

 

[strings]

USBprotectpolicy="Restrict write to USB XP/SP2"

USBProtect="USB Settings"

USBProtect_Explain="Определяет, будет ли пользователь иметь доступ к USB диску с возможностью записи \nЕсли параметр не задан, то доступ к USB не ограничен\nЕсли параметр включен, доступ к USB устройству только в режиме чтения\nЕсли параметр выключен,то доступ к USB не ограничен"

USBprotect_old="Restrict all access to USB Pre XP/SP2"

Настройки политики (Policy Settings) - в данном ADM-файле они носят название "USB settings" - Restrict write to USB XP/SP2 и Restrict all access to USB Pre XP/SP2 для первой GPO имеют значение Disabled, для второй - Enabled.
Далее в разделе Computer Configuration - Windows settings - Security settings - File system жестко заданы права доступа к файлам %systemroot%\inf\usbstor.inf и %systemroot%\inf\usbstor.PNF - для первой GPO локальные администраторы и SYSTEM имеют полный доступ, Users - только на чтение, для второй GPO - полный доступ только для локальных администраторов, для SYSTEM и Users доступ полностью запрещен. Есть мысль сюда же добавить файл %systemroot%\system32\drivers\usbstor.sys с теми же разграничениями прав... Будет время - попробую.
Про очередность применения: политика РАЗРЕШЕНИЯ использования USB-накопителей должна примениться ПОСЛЕ политики запрещения, то есть должна стоять выше.