Здесь может быть Ваша реклама!








Главная | Выборочное подключение USB

Выборочное подключение USB-накопителей в Windows
 
   Однажды на предприятии была поставлена задача: ограничить использование usb-накопителей (флешки, внешние жесткие диски и другие устройства) на компьютерах пользователей, с использованием "белых списков", т.е. одобренные накопители можно использовать - все другие нельзя. Причем сделать это "имеющимися средствами", без дополнительных денежных вложений.





   В интернете было найдено множество статей по данной теме, в результате их анализа родилось решение (спасибо пользователю nik за помощь в поисках).



 
Введение
 
   Когда вы подключаете устройство накопления к usb-порту, система заносит информацию о нем в ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR.
 

  Рисунок 1. Данные об usb-устройстве

 

   Делает она это от имени пользователя system. Соответственно если запретить создавать пользователю system подразделы в USBSTOR то новые устройства хоть и определятся, но работать не будут.
 


Рисунок 2. Запретить пользователю system создавать подразделы

 

Точнее, несмотря на установленный запрет подразделы все равно создадутся, однако параметры будут не все и работать устройство не будет (сравните рисунок 1 и рисунок 3).
 


Рисунок 3. Неполные данные об usb-устройстве
 
Теперь о том, как применить это на практике. Рассмотрим на конкретном примере. Вот, что мы имеем:
 
  • Сеть на Active Directory (домен domain.local)
  • Отдельный компьютер администратора, на котором пользователь system имеет полные права на раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
  • Внешний жесткий диск (hdd1) и 2 флешки (flash1 и flash2)
Требуется сделать так чтобы все usb-накопители кроме hdd1, flash1, flash2 не работали на компьютерах домена.
Итак, приступим.




Получаем данные о разрешённых usb-накопителях:
 
На компьютере, где пользователь system имеет полные права на ветку USBSTOR, подключим по очереди наши устройства, для того чтобы информация о них появилась в реестре:


Рисунок 4. Информация о разрешенных usb-устройствах
 

Выгрузим данные из реестра в reg-файлы:
 

Рисунок 5. Выгружаем данные из реестра

Сохраняем файлы в общую сетевую папку \\domain.local\netlogon\usbstor:

 

Рисунок 6. Выгруженные reg-файлы

 

 

Запрещаем пользователю system создавать подразделы
 
  Итак, файлы с данными по разрешенным устройствам мы получили, теперь необходимо запретить пользователю system создавать подразделы в USBSTOR. Создадим групповую политику Active Directory (напомним на компьютер администратора она распространяться недолжна, иначе на нем не будут правильно создаваться подразделы USBSTOR).
 
 В созданной групповой политике откройте Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Реестр и добавьте раздел MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR



Рисунок 7. Создание ветки реестра в групповой политике


 
Установите параметр "Заменить текущие разрешения во всех подразделах наследуемыми":


Рисунок 8. Свойства раздела USBSTOR
 
Нажмите кнопку "Изменить параметры" и в открывшемся окне установите права:
  • Для пользователя system назначьте права как указано на рисунке 2
  • Для группы DOMAIN\Администраторы установите полные права


 
Способы распространения информации о разрешенных usb-накопителях
 
  Теперь о том, как распространить подготовленные ранее reg-файлы на компьютеры.
 
Локально, на компьютере пользователя:
Зайдите на компьютер пользователя под учетной записью, которая входит в группу DOMAIN\Администраторы (данная группа имеет полные права на раздел USBSTOR) и последовательно импортируйте данные с выгруженных ранее файлов flash1.reg, flash2.reg, hdd1.reg.


С комьютера администратора используя "удаленный реестр":

Откройте редактор реестра (regedit.exe) на компьютере под пользователей администратора домена. Подключите в нем сетевой реестр (Файл\Подключить сетевой реестр). Затем Файл\Импорт и выберите нужные reg-файлы.
 
Не забудьте вначале удалить подразделы USBSTOR, созданные до того как мы ограничили пользователя system, иначе ранее подключенные устройства продолжат работать.

   Дополнительно:
Черные списки (работает на Windows XP)
Чтобы определенная флешка или другой usb-накопитель не работал на компьютерах, установите параметр ConfigFlags (см. рисунок 1) равным 400.













Яндекс.Метрика

^Наверх
Печать | Copyright © 2017-2018 Collectively.Ru All rights reserved | Powered by CMS Status-X 1.05 | Контакты | Условия копирования материалов с сайта