[Michael]

Как запретить использование USB портов, дисководов CD-ROM и Floppy с помощью Групповых Политик

[Гарад]

Нашел более быстрое и простое решение, выкладываю сюда, может многим пригодиться!

Выборочное подключение USB-флешек в Windows XP

Итак, по шагам (разумеется, нужно обладать правами локального администратора):
1. Win+R (аналог Пуск -> Выполнить), regedit.
2. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR]. Этот ключ хранит информацию о всех когда-либо подключенных USB-носителях.
3. Даем себе полный доступ на USBSTOR (правая клавиша мыши -> Разрешения, отметить пункт Полный доступ у группы ВСЕ).
4. Удаляем все содержимое USBSTOR.
5. Подключаем одобренную фэшку, убеждаемся в том, что она определилась. Внутри USBSTOR должен появиться ключ типа Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07 (F5 для обновления списка).
6. Опять ПКМ на USBSTOR, Разрешения. Убираем Полный доступ у группы ВСЕ, право на чтение оставляем.
7. Те же самые права нужно назначить пользователю SYSTEM, но напрямую это сделать не получится. Сначала нужно нажать кнопку Дополнительно, убрать галку Наследовать от родительского обьекта…, в появившемся окне Безопасность сказать Копировать. После очередного нажатия на ОК права пользователя SYSTEM станут доступны для изменения.
8. Для закрепления эффекта нажимаем кнопку Дополнительно еще раз и отмечаем пункт Заменить разрешения для всех дочерних объектов… Подтверждаем выполнение.

Разрешенная флешка подключается и отключается без проблем. При попытке же несанкционированного подключения Windows определит устройство, но установить его не сможет, ругнувшись следующим образом:

Причем, в USBSTOR'е будет создан новый ключ, который недвусмысленно укажет на попытку подключения неодобренного USB-накопителя.

Запрещаем запись на flash диски.

1. Откройте редактор реестра (regedit)

2. Найдите ветку HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies

Если ее нет, создайте ее.

3. В этой ветке создайте запись типа DWORD, назовите ее WriteProtect и присвойте ей значение 1.

4. Закройте regedit.exe

Все. Теперь доступ к flash дискам будет только для чтения (readonly)

[barmaglot17]

Мне тоже пришлось заняться этим вопросом и ваш способ (с разделом enum\USBSTOR) мне приглянулся. Но в ходе его проверки выяснилось, что он не дает эффекта. Произведем данную процедуру с enum\USBSTOR, затем возьмем флэшку, которая ранее подключалась к компу, но не считается "доверенной". Подключим ее, появится показанный вами диалог, не закрываем его, извлекаем флэшку и снова вставляем. Флэшка обнаруживается и работает. Все это происходит под админом. Под пользователем еще смешнее. Вставляем флэшку, Винда просит ввести имя и пароль администратора, отказываемся, Винда горестно сообщает, что мы не имеем право устанавливать это устройство, говорим ОК, после этого появляется уведомление, что драйвер установлен и устройство готово к работе. И это истинно так! Сейчас займусь WriteProtect-ом и отключением службы Съемные ЗУ.

[EsTaF]

И как успехи?

[barmaglot17]

Успехи следующие. В конторе, где я работаю ныне используются три уровня ограничений на USB-накопители:
1. Разрешены полностью
2. Разрешено только чтение
3. Запрещены полностью

Избирательное разрешение лишь некоторых экземпляров USB-накопителей, честно говоря, не требовалось. Я написал cmd-файлы следующего содержания:

USB-накопители. Разрешить.cmd
@echo off
echo Разрешить запись на съемные носители...
REG ADD HKLM\SYSTEM\CurrentControlSet\control\StorageDevicePolicies /v "writeprotect" /t REG_DWORD /d 00000000 /f
echo Разрешить известные USB-накопители...
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR /v "Start" /t REG_DWORD /d 00000003 /f
echo Разрешить установку новых USB-накопителей...
subinacl /noverbose /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR" /Grant=SYSTEM=F
subinacl /noverbose /file %windir%\inf\usbstor.* /perm
subinacl /noverbose /file %windir%\inf\usbstor.* /Grant=Администраторы=F
subinacl /noverbose /file %windir%\inf\usbstor.* /Grant=SYSTEM=F
subinacl /noverbose /file %windir%\inf\usbstor.* /Grant=Все=R
pause

USB-накопители. Только чтение.cmd
@echo off
echo Запретить запись на съемные носители...
REG ADD HKLM\SYSTEM\CurrentControlSet\control\StorageDevicePolicies /v "writeprotect" /t REG_DWORD /d 00000001 /f
echo Разрешить известные USB-накопители...
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR /v "Start" /t REG_DWORD /d 00000003 /f
echo Разрешить установку новых USB-накопителей...
subinacl /noverbose /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR" /Grant=SYSTEM=F
subinacl /noverbose /file %windir%\inf\usbstor.* /perm
subinacl /noverbose /file %windir%\inf\usbstor.* /Grant=Администраторы=F
subinacl /noverbose /file %windir%\inf\usbstor.* /Grant=SYSTEM=F
subinacl /noverbose /file %windir%\inf\usbstor.* /Grant=Все=R
pause

USB-накопители. Запретить.cmd
@echo off
echo Запретить запись на съемные носители (на всякий случай)...
REG ADD HKLM\SYSTEM\CurrentControlSet\control\StorageDevicePolicies /v "writeprotect" /t REG_DWORD /d 00000001 /f
echo Запретить известные USB-накопители...
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR /v "Start" /t REG_DWORD /d 00000004 /f
echo Запретить установку новых USB-накопителей...
subinacl /noverbose /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR" /perm
subinacl /noverbose /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR" /Grant=Все=R
subinacl /noverbose /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR" /Grant=SYSTEM=R
subinacl /noverbose /file %windir%\inf\usbstor.* /perm
subinacl /noverbose /file %windir%\inf\usbstor.* /Grant=Администраторы=F
subinacl /noverbose /file %windir%\inf\usbstor.* /Deny=SYSTEM=F
subinacl /noverbose /file %windir%\inf\usbstor.* /Deny=Пользователи=F
subinacl /noverbose /file %windir%\inf\usbstor.* /Deny="Опытные Пользователи"=F
pause

По факту полный запрет не используется. WriteProtect же работает прекрасно. Как вы видите, вам потребуется микрософтовская утилита subinacl, пошарьте в интернете сами. Ну и, разумеется, нужно забрать у пользователей права локального администратора. Соответственно, нужно установить жесткий порядок загрузки в биосе и повесить на биос пароль. Данный способ работает в XP и 7.

[Sanchez.rnd]

А как насчёт утилиты USB Manager ?
Из возможностей следующее:

• Контроль различных устройств (USB-накопители, принтеры, сканеры, аудио и другие устройства);
• Защита паролем;
• Скрытие в системе;
• Автозапуск при загрузке ОС;
• Горячие клавиши;
• Простой интерфейс;

Либо Ratool (363 Кбайт).
3 режима работы и дополнительные возможности:

• «Разрешить чтение и запись» (Allow Read & Write);
• «Режим «Разрешить только для чтения» (Allow Read Only);
• «Отключить распознавание USB-накопителей» (Disable USB Disks Detection);
• Защита паролем;
• отключения автозапуска при обнаружении USB-накопителя;
• отображение скрытых файлов на накопителях;
• эффективное удаление скрытых файлов.

[barmaglot17]

Не встречал. Автозапуск (как при подключении накопителя, так и по двойному щелчку по диску в проводнике) в XP отключается reg-файлом:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"HonorAutoRunSetting"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

Это отключение для всех носителей. Правда, если не установлен фикс, давным давно распространяемый Microsoft через автообновление, это не сработает. Подробнее тут: http://support.microsoft.com/kb/967715/ru

Получается, что данные программы мне уже ни к чему. Пробуйте, пишите результаты.