forum.lissyara.su

Добавлено: **2009-06-05 13:16:13**

Истересует даный вопрос. Все пользователи пасутся в домене и нужно сделать так, что бы не тыкали свои флехи в компы.

Покочать USB с биоса очень радикально, могут клавы и мыши не работать, а покупать что-то типа DeviceLock не хочется.

Поковырявшись в нете нашел несколько решений даной проблемы
1) создать административный шаблон по материалу http://support.microsoft.com/default.as ... -us;555324 и импортировать эго в шаблоны политики безпасности домена, лично у меня не заработало

2) залогиниться с правами администратора на комп, запустить

Код: Выделить всё

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor]
"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"DisplayName"="Драйвер запоминающих устройств для USB"
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
  52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\
  00,52,00,2e,00,53,00,59,00,53,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor\Enum]
"Count"=dword:00000000
"NextInstance"=dword:00000000

для блокировки USB или для отркрытия портов

Код: Выделить всё

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"DisplayName"="Драйвер запоминающих устройств для USB"
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
  52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\
  00,52,00,2e,00,53,00,59,00,53,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor\Enum]
"Count"=dword:00000000
"NextInstance"=dword:00000000

а потом в политиках безопасности запретить вносить изменения в реестр
работает

3) использовать скрипт для Logon/Logout, засунуть эго в политики безопасности домена как сценарии входа/выхода
по материалам http://forum.lavteam.com/index.php?show ... st&p=49888
испытал №1 - работает

еще нашел материал http://support.microsoft.com/default.as ... -us;823732 , но там рассматривается ограничение доступа к файлам USBSTOR и будет работать только если FLASH еще ни разу не втыкалась

Поделитесь опытом кто как решает даную проблему?

Добавлено: **2009-06-05 14:41:15**

по идее можно зайти у юзверя на компе под учеткой администратора домена и в диспетчере устройств вырйбить незадействованные usb концентраторы...ето самое примитивное что приходит в голову -)

Добавлено: **2009-06-05 16:31:53**

ну это по сути немного измененный вариант №2 - покоцать и не дать востановить обратно

очень бы подошел какойнить вариант с шаблонами политик безопасности, в 2008 серваке такое есть сразу готовое, а тут (в 2003) приходиться изварачиваться

Добавлено: **2009-06-05 20:10:38**

http://forum.ru-board.com/topic.cgi?for ... 8&start=40 если правильно понял тут есть то что тебе надо
http://forum.windowsfaq.ru/showthread.php?t=106526

http://www.megaupload.com/?d=93EBBZFC небольшой док файлик на данную тему

Код: Выделить всё

Если у вас есть домен и вы хотите запретить доступ к 
CDrom, USB-портам, floppy — то берём этот текст:

CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by 
disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by 
disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by 
disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity 
Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"

Копируем в текстовый редактор и сохраняем файл с расширением .adm, например, disabledisk.adm. Идём в редактор групповой политики — правый клик на «административные шаблоны», в разделе «компьютер» выбираем «добавить-удалить 
шаблон», выбираем наш disabledisk.adm. У нас появляется новый раздел «Custom Policy Settings», если в нем ничего нет, нужно щелкнуть «Вид» > «Фильтрация», и снять галочку с "Показывать только управляемые параметры политики”. Дальше, я думаю, сами разберётесь.

Добавлено: **2009-06-06 20:43:32**

Использование шаблона безопасности ADM не приносит результатов

У когото такой способ работает?

Добавлено: **2009-06-06 21:01:18**

Зающай deviceLock

Добавлено: **2009-06-07 12:44:03**

InventoR писал(а):Зающай deviceLock

нада по фен-шуй - политиками

, если и использовать софтину, то желательно бесплатную

Добавлено: **2009-06-09 10:23:22**

Я для себя отработал способ на основе стартовых скриптов.

Код: Выделить всё

// запрет запуска флешек и приводов
var WShell=WScript.CreateObject("WScript.Shell");
WShell.RegWrite("HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\UsbStor\\Start",4,"REG_DWORD");
WShell.RegWrite("HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\CDrom\\Start",4,"REG_DWORD");

это js
ДЛя отключения USB накопителей нужно в ветке
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor изменить параметр "Start" на 4. Учитываем, что по умолчанию этот параметр могут менять только администраторы и система, поэтому скрипт я размещал в разделе "Конфигурация компьютера" "Автозагрузка" для всех компьютеров. А разрешение на пользование флеш (мне такое не требовалось) можно дать установкой прав на указанный ключ для группы тех, кому разрешено использовать флешки и им же установить в разделе "Конфигурация пользователя" стартовый скрипт, меняющий параметр Start обратно в 3. Ну и при логауте им же надо скрипт, который бы возвращал Start в значение 4

ТО есть в итоге при загрузке компьютера флешки запрещаются, а уже при логоне конкретного пользователя они разрешаются, если это нужно. Ну и при выходе привелегированного пользователя флешки снова запрещаются

Добавлено: **2009-06-11 12:37:34**

а юзер грамотный?
если нет, и не юзает всякие фары, то самое простое - убить букву диска флешки в проводнике через реестр

количество логических дисков то на компах одинаковое? так что подойдет одинаковый reg ключик

юзер в жизни по адресу входить не допрет

ну, естественно, автозапуск флешек тож нада убить, чтобы окно открытия флешки не вылазило

Добавлено: **2009-06-11 15:18:50**

захочет "хавать" - будет рыть землю

Добавлено: **2009-06-15 9:17:16**

у меня проблема есть только наоборот, надо флехи а они не работают

)
короче запретил пользователям ставить дрова вот и всё, в политиках галку поставь и драва влех удали.... намертво отключатся

Добавлено: **2009-06-15 11:15:57**

Мы используем DeviceLock

Добавлено: **2009-06-15 12:42:28**

ADRE писал(а):у меня проблема есть только наоборот, надо флехи а они не работают )
короче запретил пользователям ставить дрова вот и всё, в политиках галку поставь и драва влех удали.... намертво отключатся

все для Вас, дорогие пользователи

forum.lissyara.su

Зарезать USB для юзверей в домене

Зарезать USB для юзверей в домене

Re: Зарезать USB для юзверей в домене

Re: Зарезать USB для юзверей в домене

Re: Зарезать USB для юзверей в домене

Re: Зарезать USB для юзверей в домене

Re: Зарезать USB для юзверей в домене

Re: Зарезать USB для юзверей в домене

Re: Зарезать USB для юзверей в домене

Re: Зарезать USB для юзверей в домене

Re: Зарезать USB для юзверей в домене

Re: Зарезать USB для юзверей в домене

Re: Зарезать USB для юзверей в домене

Re: Зарезать USB для юзверей в домене