Главная > Windows, Администрирование > Windows: Разграничение доступа к USB-носителям.

Windows: Разграничение доступа к USB-носителям.

Столкнулся с такой необходимостью, как отключение USB-носителей для пользователей персонального компьютера. Проблема в том, что в локальной политике, да и в политике домена (экспериментировал на Windows 2003 server), не предусмотрена такой возможности, как отключение USB-носителей.

Причем с помощью реестра можно отключить только полностью USB-порты. Тогда встает другой вопрос – Как быть с принтерами, подключаемыми через USB-порты?
Я нашел два решения данной проблемы:

  • использовать платные программы по мониторингу подключаемых USB-носителей типа DeviceLock или FileControl или другие аналоги,
  • с помощью стандартной возможности ОС Windows, установки прав доступа на файлы usb.inf и usbstor.inf, которые размещены в C:\Windows\inf.

Первый вариант я рассматривать не буду, к ним есть достаточно подробный манул, да и не думаю что многие решат покупать данные программные продукты, ибо обойдутся они в копеечку.Но не могу не отметить простоту и удобство их в эксплуатации.

А теперь рассмотрим второй способ для организации нашей системы разграничения доступа к USB-носителям.

В первую очередь необходимо определиться кому запрещаем использование съемных носителей. В большинстве случаев необходимо ограничить права доступа всем пользователям, а разрешить доступ только системным администраторам. На этом пока и остановимся.

Так как мы определились с правами доступа, то пора их установить. Для этого найдем файлы usb.inf и usbstor.inf. Они лежат в системной папке inf в папке Windows. Далее выделяем их, заходим в свойства, в появившемся диалоговом окне переходим на вкладку безопасность. Кликаем на кнопку «Дополнительно». Убеждаемся, что галочка «Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне» снята.

Если нет, то снимаем, в ответ на это появляется окошко с кнопками «Копировать», «Удалить», «Отмена». Жмем «Копировать», потом «Ок». Теперь на вкладке «Безопасность», в поле «Группы и пользователи» удаляем все, кроме (если там есть) группу администраторов. Если нет то жмем кнопку «Добавить». В поле «Введите имена выбираемых объектов» вводим администраторы, жмем «Проверить имена», если такой объект один, введенное вами слово станет подчеркнутым, иначе появиться окошко со списком, в котором нужно выбрать тот объект, который вас интересует. Далее жмем «Ок», потом снова «Ок». Устанавливаем галочку «Полный доступ», жмем «Ок».

На этом все. Теперь при подключении USB-носителей к ПК, обычному пользователю будут требоваться администраторские права.

Но, есть одно серьезное замечание:
Если ранее к ПК подключались USB-носители, то они будут доступны пользователю.
Чтобы устранить данную брешь в нашей системе разграничения доступа, придется ручками почистить реестр. Для этого запускаем regedit (Пуск->Выполнить->regedit->Enter). Переходим в раздел

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

и удаляем от туда все подразделы. Если не появляется сообщение, что подраздел удалить невозможно, то кликаем правой кнопкой мыши на раздел USBSTOR, выбираем «Разрешения…», устанавливаем для «Все» полный доступ и снова пытаемся удалить подразделы в разделе USBSTOR.

После того, как вышеописанное было осуществлено, для подключения любого USB-носителя потребуются права администратора.

Это мы рассмотрели базовую, так сказать, модель системы разграничения доступа, но можно произвести более гибкую ее настройку, то есть разрешать доступ к подключаемым носителям конкретным пользователям. Для этого надо будет просто в свойствах файлов usb.inf и usbstor.inf на вкладке «Безопасность» добавить конкретного пользователя или какую то конкретную группу.

Замечу, что данная система разграничения будет работать и в домене, и в рабочей группе, а так же возможно установить разграничение доступа и для других устройств.

Пожалуйста, оцените полезность и качество данной статьи. Одна звезда - плохо, 5 - хорошо.
1/5. Мы будем признательны, если вы напишете комментарий с причиной низкой оценки.2/5. Мы будем признательны, если вы напишете комментарий с причиной низкой оценки.3/5. Мы будем признательны, если вы напишете комментарий с причиной низкой оценки.4/5.5/5. (3 голосов, средний: 3,67 из 5)
Загрузка...
  1. Александр
    4 декабря 2013 в 13:54 | #1

    Как определённым устройствам разрешить подключение, а остальным запретить, чтобы они вообще не определялись? Допустим, есть 20 разрешённых флэш-накопителей. Их должен определять каждый компьютер. Остальные внешние устройства не должны определяться вообще.

  2. lizz
    6 декабря 2013 в 13:12 | #2

    @Александр
    Судя по тексту статьи, ответ кроется в содержимом реестра по пути "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR". Попробуйте всё оттуда удалить, потом вставить флешку и посмотреть какие данные сохранились, либо просто загуглите, ну или 3й вариант - вставьте туда 20 разрешённых флешек по очереди и забейте на дальнейшие шаги. Узнав, что там хранится, добавьте нужную инфу о разрешённых носителях и запретите доступ. На практике я это не проверял, просто сделал логические выводы из данного поста.

    Увы, больше помочь не могу, т.к. не автор, да и винды даже под рукой нет на текущий момент.

  1. Пока что нет уведомлений.