Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   [решено] Запрет использования USB накопителей (http://forum.oszone.net/showthread.php?t=260731)

BBKa 17-05-2013 10:28 2151427
Запрет использования USB накопителей
 
Здравствуйте, уважаемые форумчане.

Суть вопроса:
ОС - Windows 7. На компьютере 2 учётные записи - Админ и Оператор. Необходимо сделать так, чтобы всевозможные флэшки и прочие USB накопители можно было использовать только под учётной записью Администратора. А под Оператором они даже не открывались.

В процессе поиска решения я, естественно, наткнулся на статью Microsoft http://support.microsoft.com/kb/823732. Сделал, как там всё описано. Флэшки, которые уже были подключены к комьютеру, действительно, после манипуляций с реестром, не определялись. Но если воткнуть новую флэшку, мало того, что она открывается, так ещё и все эти настройки слетают, т.е. "уже запрещённые" флэшки так же открываются, пока не запретишь в реестре ещё раз. И так с каждой новой флэшкой.

Пошёл искать решение дальше. Наткнулся на следующую статью - http://habrahabr.ru/post/52553/ . Но так как там описано решение для Win XP, я на семёрке столкнулся с некоторыми проблемами.

Вот решение:
Цитата:
Итак, по шагам (разумеется, нужно обладать правами локального администратора):
  1. Win+R (аналог Пуск -> Выполнить), regedit.
  2. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR]. Этот ключ хранит информацию о всех когда-либо подключенных USB-носителях.
  3. Даем себе полный доступ на USBSTOR (правая клавиша мыши -> Разрешения, отметить пункт Полный доступ у группы ВСЕ).
  4. Удаляем все содержимое USBSTOR.
  5. Подключаем одобренную фэшку, убеждаемся в том, что она определилась. Внутри USBSTOR должен появиться ключ типа Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07 (F5 для обновления списка).
  6. Опять ПКМ на USBSTOR, Разрешения. Убираем Полный доступ у группы ВСЕ, право на чтение оставляем.
  7. Те же самые права нужно назначить пользователю SYSTEM, но напрямую это сделать не получится. Сначала нужно нажать кнопку Дополнительно, убрать галку Наследовать от родительского обьекта…, в появившемся окне Безопасность сказать Копировать. После очередного нажатия на ОК права пользователя SYSTEM станут доступны для изменения.
  8. Для закрепления эффекта нажимаем кнопку Дополнительно еще раз и отмечаем пункт Заменить разрешения для всех дочерних объектов… Подтверждаем выполнение.
На 3-м пункте система не дала мне выставить разрешения полного доступа для группы Все.

Пробовал и так и эдак, ничего не получается. Заранее благодарен за дельные советы.

UPD. Ах да, чуть не забыл. Решение нужно штатными средствами Windows, без стороннего ПО.

WindowsNT 18-05-2013 11:43 2151973
На Windows 7 это делается абсолютно не так.

Для всех это настраивается через Start -> GPEdit.msc -> User Configuration -> Administrative Templates -> System -> Removable Storage Access -> Removable Disks.

А если запустить mmc -> Add/Remove Snap-In -> Group Policy Object Editor -> можно указать целевые группы, сделав политику для не-администраторов.

morozoff 18-05-2013 14:22 2152033
BBKa, Ограничение доступа к внешним накопителям CD, FD, USB с помощью Group Policy Preferences

WindowsNT 19-05-2013 11:19 2152418
Preferences настраиваются только в домене.

BBKa 22-05-2013 09:55 2153891
Спасибо! Сделал, как посоветовал WindowsNT, всё работает.

Цитата:
А если запустить mmc -> Add/Remove Snap-In -> Group Policy Object Editor -> можно указать целевые группы, сделав политику для не-администраторов.
Только пришлось сделать 2 политики: для не-администраторов - включить запрет использования, для администраторов - отключить. Если для администраторов оставить по умолчанию - Не задано - то, видимо, применяется явно заданная политика Запрещения.

Тему закрываю.

Алексей_Максимов@fb 05-09-2013 18:36 2213319
Цитата:
Цитата morozoff
BBKa, Ограничение доступа к внешним накопителям CD, FD, USB с помощью Group Policy Preferences »
Новая ссылка на статью http://blog.it-kb.ru/2011/10/14/gpp-...-write-access/

Владимир_Стародуб@vk 28-01-2014 13:06 2297799
Подскажите,у меня пишет нет прав администратор на 3 шаге)очень нужно

BBKa 31-01-2014 12:11 2299778
Цитата:
Цитата Владимир_Стародуб@vk
Подскажите,у меня пишет нет прав администратор на 3 шаге)очень нужно »
Какая версия винды? Все операции нужно выполнять под учётной записью локального администратора

konstvl 24-12-2016 11:44 2698036
Да коне что тут все правильно описывается но не сказана что реестр нужно запустить от имени администратора вот в этой статье все подробно рассказано http://helpform.ru/309777 тат же тут не описаны ветки реестра для 64 разрядных систем


Время: 06:04.

Время: 06:04.
© OSzone.net 2001-