Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   [решено] Как запретить использование USB портов, дисководов CD-ROM и Floppy (http://forum.oszone.net/showthread.php?t=65858)

Danwer 18-05-2006 11:50 439403
Как запретить использование USB портов, дисководов CD-ROM и Floppy
 
Вложений: 1
Т.к раздел администрирование нет на форуме, то пишу в эту ветку.
Давно задавался вопросом как запретить флэшки в сети сразу скопом. Воспользовальcя информацией изложенной в "Как запретить использование USB портов, дисководов CD-ROM и Floppy с помощью групповых политик". Причем раннее я раскопал это на сайте майкрософта еще до публикации на oszone.net. Когда я пытюсь импортировать adm файл в Групповые политики то в итоге я получю вот это. Кодировка содержимого файла - win1251, пробовал таже Unicode, но результат то же самый. У кого получилось вопользоваться описанным выше советом?

Blast 18-05-2006 13:50 439448
Вложений: 1
Danwer
Нужно в правом поле редактора политик по правой лапе - Вид - Фильтрация - снять птицу с опции "Показывать только управляемые параметры политики"
как это выглядит после отключения этой настройки фильтрации можно увидеть на скриншоте

Danwer 18-05-2006 14:24 439466
Good. Спасибо.

Blast 18-05-2006 20:31 439646
и вам спасибо - вопрос в FAQ дополнил с учетом данной особенности

Dan Swano 20-08-2008 12:01 879464
Добрый день!

Подниму старую тему. У нас, на компьютерах с ХР сервис-пак 2 перечисленные способы не действуют, что я только не делал - запрещал доступ к %SystemRoot%\inf\usbstor.* для рядового пользователя и для учетной записи SYSTEM, переключал тип запуска драйвера usbstor.sys в реестре, не помогает...
Переключение типа запуска помогает только для уже установленных в системе USB Flash drive, но как только приносят новую флэшку - она определяется и устанавливается...

Может быть, есть еще какой-нибудь способ?

Blast 20-08-2008 12:07 879468
Dan Swano, а чем не устраивает решение с использованием групповой политики?

Dan Swano 20-08-2008 12:12 879472
У нас домен на Samba, я могу только ntconfig.pol на контроллер домена положить. Собственно, это тоже вариант, но он не работает, это тот же способ, что и вручную в реестре рабочей станции исправить HKLM\System\CurrentControlSet\Services\usbstor, вписав в параметр "Start" четверку вместо тройки. Это не помогает.

Blast 20-08-2008 12:18 879475
Цитата:
Цитата Dan Swano
это тоже вариант, но он не работает »
работает, неоднократно проверно в полевых условиях, попробуйте на раб. станции применить политику

exo 20-08-2008 12:56 879497
Цитата:
Цитата Blast
Вид - Фильтрация - снять птицу с опции "Показывать только управляемые параметры политики" »
вот нигде этого нет в описанииях! Спасибо, долго искал...

Dan Swano 20-08-2008 13:05 879508
Применил политику, не работает. Имеем после применения политики и ДО установки флэшки:
Код:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):73,79,73,74,65,6d,33,32,5c,44,52,49,56,45,52,53,5c,55,53,42,\
  53,54,4f,52,2e,53,59,53,00
"DisplayName"="Драйвер запоминающих устройств для USB"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
После установки флэшки (под рядовым юзером):

Код:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):73,79,73,74,65,6d,33,32,5c,44,52,49,56,45,52,53,5c,55,53,42,\
  53,54,4f,52,2e,53,59,53,00
"DisplayName"="Драйвер запоминающих устройств для USB"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum]
"Count"=dword:00000000
"NextInstance"=dword:00000000
Флэшка, конечно же, определяется и доступна. Как бороться?

Dan Swano 20-08-2008 13:23 879519
Пока что решил проблему так, как описано в http://support.microsoft.com/kb/823732/ru
Цитата:
Если USB-устройство хранения данных еще не установлено в компьютер
Если USB-устройство хранения данных еще не установлено в компьютер, назначьте пользователю или группе запрещающие разрешения на следующие файлы:
• %SystemRoot%\Inf\Usbstor.pnf
• %SystemRoot%\Inf\Usbstor.inf
После этого пользователи не смогут установить USB-устройство хранения данных в компьютер. Чтобы назначить пользователю или группе запрещающие разрешения на файлы Usbstor.pnf и Usbstor.inf, выполните следующие действия.
1. Запустите проводник Windows и найдите папку %SystemRoot%\Inf.
2. Щелкните правой кнопкой мыши по файлу Usbstor.pnf и выберите пункт Свойства.
3. Перейдите на вкладку Безопасность.
4. В списке Группы или пользователи выберите пользователя или группу, для которых необходимо установить запрещающие разрешения.
5. В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив элемента Полный доступ и нажмите кнопку OK.
Примечание. Кроме того, добавьте в список Запретить учетную запись System.
6. Щелкните правой кнопкой мыши по файлу Usbstor.inf и выберите пункт Свойства.
7. Перейдите на вкладку Безопасность.
8. В списке Группы или пользователи выберите пользователя или группу, для которых необходимо установить запрещающие разрешения.
9. В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив элемента Полный доступ и нажмите кнопку OK.
Оказывается, надо не просто удалить группу SYSTEM из списка пользователей, а запретить ей доступ. Однако, это придется делать на каждой рабочей станции, что неудобно. Я думаю, можно соответсвующий logon-скрипт написать, да вот только выполняется он с правами пользователя, входящего в домен...

exo 20-08-2008 18:21 879719
Цитата:
Цитата Dan Swano
Применил политику, не работает. »
я где то читал, что это рабоатет если стоят только майкрасофтовские драва...

Delirium 21-08-2008 01:45 880021
Цитата:
Цитата Dan Swano
Оказывается, надо не просто удалить группу SYSTEM из списка пользователей, а запретить ей доступ. Однако, это придется делать на каждой рабочей станции, что неудобно. Я думаю, можно соответсвующий logon-скрипт написать, да вот только выполняется он с правами пользователя, входящего в домен... »
надо положить скрипт на сервере, дать пользователям право на запуск (не чтение), в нем прописать скрипт, меняющий политику для SYSTEM (через cacls). А чтобы выполнилось под правами админа - достаточно использовать runas в том же скрипте

Ctrl-Alt-Del 17-11-2008 17:29 955060
Цитата:
Цитата Dan Swano
Применил политику, не работает. »
У меня тоже самое.
На одном из форумов нашел другой код, с ним всё ОК.

Вот этот код

;Removable media/serial ports/parallel ports access policy settings

CLASS MACHINE
CATEGORY !!CATDESCR
KEYNAME !!REGKEY
POLICY !!FDDDESCR
KEYNAME !!FDDREGKEY
#if VERSION >= 3
EXPLAIN !!FDDEXPLAIN
#endif
VALUENAME "Start"
VALUEON NUMERIC 4
VALUEOFF NUMERIC 3
END POLICY; Block FDD

POLICY !!USBDESCR
KEYNAME !!USBREGKEY
#if VERSION >= 3
EXPLAIN !!USBEXPLAIN
#endif
VALUENAME "Start"
VALUEON NUMERIC 4
VALUEOFF NUMERIC 3
END POLICY; Block USB

POLICY !!CDROMDESCR
KEYNAME !!CDROMREGKEY
#if VERSION >= 3
EXPLAIN !!CDROMEXPLAIN
#endif
VALUENAME "Start"
VALUEON NUMERIC 4
VALUEOFF NUMERIC 1
END POLICY; Block CD-ROM

POLICY !!LPTDESCR
KEYNAME !!LPTREGKEY
#if VERSION >= 3
EXPLAIN !!LPTEXPLAIN
#endif
VALUENAME "Start"
VALUEON NUMERIC 4
VALUEOFF NUMERIC 1
END POLICY; Block LPT port

POLICY !!SERDESCR
KEYNAME !!SERREGKEY
#if VERSION >= 3
EXPLAIN !!SEREXPLAIN
#endif
VALUENAME "Start"
VALUEON NUMERIC 4
VALUEOFF NUMERIC 1
END POLICY; Block Serial ports
END CATEGORY; Block devices

[STRINGS]
CATDESCR="Block removable storage/ports"
REGKEY="system\currentcontrolset\services"

FDDDESCR="Block Floppy drives"
FDDREGKEY="system\currentcontrolset\services\flpydisk"
FDDEXPLAIN="This policy removes the ability of user to access floppy drives."

USBDESCR="Block USB Storage"
USBREGKEY="system\currentcontrolset\services\usbstor"
USBEXPLAIN="This policy removes the ability of user to access USB Storage drives."

CDROMDESCR="Block CD-ROM drives"
CDROMREGKEY="system\currentcontrolset\services\cdrom"
CDROMEXPLAIN="This policy removes the ability of user to access CD-ROM drives."

LPTDESCR="Block LPT ports"
LPTREGKEY="system\currentcontrolset\services\parport"
LPTEXPLAIN = "This policy removes the ability of user to access LPT ports or any devices connected to LPT ports."

SERDESCR="Block Serial ports"
SERREGKEY="system\currentcontrolset\services\serial"
SEREXPLAIN="This policy removes the ability of user to access Serial ports or any devices connected to Serial ports."


Время: 00:09.

Время: 00:09.
© OSzone.net 2001-