Зарезать USB для юзверей в домене

Windows 95, 98, ME и 3,11; WinNT, Win2000, WinXP, Win2003, Vista, 7
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
---nebo---
старшина
Сообщения: 424
Зарегистрирован: 2008-11-01 21:06:23
Откуда: Киев
Контактная информация:

Зарезать USB для юзверей в домене

Непрочитанное сообщение ---nebo--- » 2009-06-05 13:16:13

Истересует даный вопрос. Все пользователи пасутся в домене и нужно сделать так, что бы не тыкали свои флехи в компы.

Покочать USB с биоса очень радикально, могут клавы и мыши не работать, а покупать что-то типа DeviceLock не хочется.

Поковырявшись в нете нашел несколько решений даной проблемы
1) создать административный шаблон по материалу http://support.microsoft.com/default.as ... -us;555324 и импортировать эго в шаблоны политики безпасности домена, лично у меня не заработало :(

2) залогиниться с правами администратора на комп, запустить

Код: Выделить всё

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor]
"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"DisplayName"="Драйвер запоминающих устройств для USB"
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
  52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\
  00,52,00,2e,00,53,00,59,00,53,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor\Enum]
"Count"=dword:00000000
"NextInstance"=dword:00000000


для блокировки USB или для отркрытия портов

Код: Выделить всё

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"DisplayName"="Драйвер запоминающих устройств для USB"
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
  52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\
  00,52,00,2e,00,53,00,59,00,53,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor\Enum]
"Count"=dword:00000000
"NextInstance"=dword:00000000

а потом в политиках безопасности запретить вносить изменения в реестр
работает :smile:

3) использовать скрипт для Logon/Logout, засунуть эго в политики безопасности домена как сценарии входа/выхода
по материалам http://forum.lavteam.com/index.php?show ... st&p=49888
испытал №1 - работает :smile:

еще нашел материал http://support.microsoft.com/default.as ... -us;823732 , но там рассматривается ограничение доступа к файлам USBSTOR и будет работать только если FLASH еще ни разу не втыкалась


Поделитесь опытом кто как решает даную проблему?
...участки под застройку в живописном месте Интернет

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

qwerty_sequence
рядовой
Сообщения: 12
Зарегистрирован: 2009-05-17 18:44:06

Re: Зарезать USB для юзверей в домене

Непрочитанное сообщение qwerty_sequence » 2009-06-05 14:41:15

по идее можно зайти у юзверя на компе под учеткой администратора домена и в диспетчере устройств вырйбить незадействованные usb концентраторы...ето самое примитивное что приходит в голову -)

Аватара пользователя
---nebo---
старшина
Сообщения: 424
Зарегистрирован: 2008-11-01 21:06:23
Откуда: Киев
Контактная информация:

Re: Зарезать USB для юзверей в домене

Непрочитанное сообщение ---nebo--- » 2009-06-05 16:31:53

ну это по сути немного измененный вариант №2 - покоцать и не дать востановить обратно

очень бы подошел какойнить вариант с шаблонами политик безопасности, в 2008 серваке такое есть сразу готовое, а тут (в 2003) приходиться изварачиваться
...участки под застройку в живописном месте Интернет

qwerty_sequence
рядовой
Сообщения: 12
Зарегистрирован: 2009-05-17 18:44:06

Re: Зарезать USB для юзверей в домене

Непрочитанное сообщение qwerty_sequence » 2009-06-05 20:10:38

http://forum.ru-board.com/topic.cgi?for ... 8&start=40 если правильно понял тут есть то что тебе надо
http://forum.windowsfaq.ru/showthread.php?t=106526


http://www.megaupload.com/?d=93EBBZFC небольшой док файлик на данную тему

Код: Выделить всё

Если у вас есть домен и вы хотите запретить доступ к 
CDrom, USB-портам, floppy — то берём этот текст:

CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by 
disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by 
disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by 
disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity 
Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"

Копируем в текстовый редактор и сохраняем файл с расширением .adm, например, disabledisk.adm. Идём в редактор групповой политики — правый клик на «административные шаблоны», в разделе «компьютер» выбираем «добавить-удалить 
шаблон», выбираем наш disabledisk.adm. У нас появляется новый раздел «Custom Policy Settings», если в нем ничего нет, нужно щелкнуть «Вид» > «Фильтрация», и снять галочку с "Показывать только управляемые параметры политики”. Дальше, я думаю, сами разберётесь.

Аватара пользователя
---nebo---
старшина
Сообщения: 424
Зарегистрирован: 2008-11-01 21:06:23
Откуда: Киев
Контактная информация:

Re: Зарезать USB для юзверей в домене

Непрочитанное сообщение ---nebo--- » 2009-06-06 20:43:32

Использование шаблона безопасности ADM не приносит результатов :(
У когото такой способ работает?
...участки под застройку в живописном месте Интернет

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: Зарезать USB для юзверей в домене

Непрочитанное сообщение InventoR » 2009-06-06 21:01:18

Зающай deviceLock
ну вот и сказочке конец, кто слушал, тот молодец.

Аватара пользователя
---nebo---
старшина
Сообщения: 424
Зарегистрирован: 2008-11-01 21:06:23
Откуда: Киев
Контактная информация:

Re: Зарезать USB для юзверей в домене

Непрочитанное сообщение ---nebo--- » 2009-06-07 12:44:03

InventoR писал(а):Зающай deviceLock
нада по фен-шуй - политиками :smile: , если и использовать софтину, то желательно бесплатную
...участки под застройку в живописном месте Интернет

mazay
проходил мимо

Re: Зарезать USB для юзверей в домене

Непрочитанное сообщение mazay » 2009-06-09 10:23:22

Я для себя отработал способ на основе стартовых скриптов.

Код: Выделить всё

// запрет запуска флешек и приводов
var WShell=WScript.CreateObject("WScript.Shell");
WShell.RegWrite("HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\UsbStor\\Start",4,"REG_DWORD");
WShell.RegWrite("HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\CDrom\\Start",4,"REG_DWORD");   
это js
ДЛя отключения USB накопителей нужно в ветке
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor изменить параметр "Start" на 4. Учитываем, что по умолчанию этот параметр могут менять только администраторы и система, поэтому скрипт я размещал в разделе "Конфигурация компьютера" "Автозагрузка" для всех компьютеров. А разрешение на пользование флеш (мне такое не требовалось) можно дать установкой прав на указанный ключ для группы тех, кому разрешено использовать флешки и им же установить в разделе "Конфигурация пользователя" стартовый скрипт, меняющий параметр Start обратно в 3. Ну и при логауте им же надо скрипт, который бы возвращал Start в значение 4

ТО есть в итоге при загрузке компьютера флешки запрещаются, а уже при логоне конкретного пользователя они разрешаются, если это нужно. Ну и при выходе привелегированного пользователя флешки снова запрещаются

Аватара пользователя
catdog_
сержант
Сообщения: 173
Зарегистрирован: 2007-10-10 1:23:21
Откуда: петрозаводск
Контактная информация:

Re: Зарезать USB для юзверей в домене

Непрочитанное сообщение catdog_ » 2009-06-11 12:37:34

а юзер грамотный?
если нет, и не юзает всякие фары, то самое простое - убить букву диска флешки в проводнике через реестр :) количество логических дисков то на компах одинаковое? так что подойдет одинаковый reg ключик :)юзер в жизни по адресу входить не допрет :)
ну, естественно, автозапуск флешек тож нада убить, чтобы окно открытия флешки не вылазило

Аватара пользователя
---nebo---
старшина
Сообщения: 424
Зарегистрирован: 2008-11-01 21:06:23
Откуда: Киев
Контактная информация:

Re: Зарезать USB для юзверей в домене

Непрочитанное сообщение ---nebo--- » 2009-06-11 15:18:50

захочет "хавать" - будет рыть землю :smile:
...участки под застройку в живописном месте Интернет

Аватара пользователя
ADRE
майор
Сообщения: 2645
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Зарезать USB для юзверей в домене

Непрочитанное сообщение ADRE » 2009-06-15 9:17:16

у меня проблема есть только наоборот, надо флехи а они не работают =))
короче запретил пользователям ставить дрова вот и всё, в политиках галку поставь и драва влех удали.... намертво отключатся
//del


Аватара пользователя
---nebo---
старшина
Сообщения: 424
Зарегистрирован: 2008-11-01 21:06:23
Откуда: Киев
Контактная информация:

Re: Зарезать USB для юзверей в домене

Непрочитанное сообщение ---nebo--- » 2009-06-15 12:42:28

ADRE писал(а):у меня проблема есть только наоборот, надо флехи а они не работают =))
короче запретил пользователям ставить дрова вот и всё, в политиках галку поставь и драва влех удали.... намертво отключатся
все для Вас, дорогие пользователи :smile: :smile: :smile:
...участки под застройку в живописном месте Интернет