Windows: Разграничение доступа к USB-носителям

Столкнулся с такой необходимостью, как отключение USB-носителей для пользователей персонального компьютера. Проблема в том, что в локальной политике, да и в политике домена (экспериментировал на Windows 2003 server), не предусмотрена такой возможности, как отключение USB-носителей.

Причем с помощью реестра можно отключить только полностью USB-порты. Тогда встает другой вопрос – Как быть с принтерами, подключаемыми через USB-порты?
Я нашел два решения данной проблемы:

  • использовать платные программы по мониторингу подключаемых USB-носителей типа DeviceLock или FileControl или другие аналоги,
  • с помощью стандартной возможности ОС Windows, установки прав доступа на файлы usb.inf и usbstor.inf, которые размещены в C:\Windows\inf.

Первый вариант я рассматривать не буду, к ним есть достаточно подробный манул, да и не думаю что многие решат покупать данные программные продукты, ибо обойдутся они в копеечку.Но не могу не отметить простоту и удобство их в эксплуатации.

А теперь рассмотрим второй способ для организации нашей системы разграничения доступа к USB-носителям.

В первую очередь необходимо определиться кому запрещаем использование съемных носителей. В большинстве случаев необходимо ограничить права доступа всем пользователям, а разрешить доступ только системным администраторам. На этом пока и остановимся.

Так как мы определились с правами доступа, то пора их установить. Для этого найдем файлы usb.inf и usbstor.inf. Они лежат в системной папке inf в папке Windows. Далее выделяем их, заходим в свойства, в появившемся диалоговом окне переходим на вкладку безопасность. Кликаем на кнопку «Дополнительно». Убеждаемся, что галочка «Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне» снята.

Если нет, то снимаем, в ответ на это появляется окошко с кнопками «Копировать»«Удалить»«Отмена». Жмем «Копировать», потом «Ок». Теперь на вкладке «Безопасность», в поле «Группы и пользователи» удаляем все, кроме (если там есть) группу администраторов. Если нет то жмем кнопку «Добавить». В поле «Введите имена выбираемых объектов» вводим администраторы, жмем «Проверить имена», если такой объект один, введенное вами слово станет подчеркнутым, иначе появиться окошко со списком, в котором нужно выбрать тот объект, который вас интересует. Далее жмем «Ок», потом снова «Ок». Устанавливаем галочку «Полный доступ», жмем «Ок».

На этом все. Теперь при подключении USB-носителей к ПК, обычному пользователю будут требоваться администраторские права.

Но, есть одно серьезное замечание:
Если ранее к ПК подключались USB-носители, то они будут доступны пользователю.
Чтобы устранить данную брешь в нашей системе разграничения доступа, придется ручками почистить реестр. Для этого запускаем regedit (Пуск->Выполнить->regedit->Enter). Переходим в раздел

и удаляем от туда все подразделы. Если не появляется сообщение, что подраздел удалить невозможно, то кликаем правой кнопкой мыши на раздел USBSTOR, выбираем «Разрешения…», устанавливаем для «Все» полный доступ и снова пытаемся удалить подразделы в разделе USBSTOR.

После того, как вышеописанное было осуществлено, для подключения любого USB-носителя потребуются права администратора.

Это мы рассмотрели базовую, так сказать, модель системы разграничения доступа, но можно произвести более гибкую ее настройку, то есть разрешать доступ к подключаемым носителям конкретным пользователям. Для этого надо будет просто в свойствах файлов usb.inf и usbstor.inf на вкладке «Безопасность» добавить конкретного пользователя или какую то конкретную группу.

Замечу, что данная система разграничения будет работать и в домене, и в рабочей группе, а так же возможно установить разграничение доступа и для других устройств.

Понравилась статья? Поделиться с друзьями:
Комментариев: 2
  1. Александр

    Как определённым устройствам разрешить подключение, а остальным запретить, чтобы они вообще не определялись? Допустим, есть 20 разрешённых флэш-накопителей. Их должен определять каждый компьютер. Остальные внешние устройства не должны определяться вообще.

    1. lizz

      Судя по тексту статьи, ответ кроется в содержимом реестра по пути «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR». Попробуйте всё оттуда удалить, потом вставить флешку и посмотреть какие данные сохранились, либо просто загуглите, ну или 3й вариант — вставьте туда 20 разрешённых флешек по очереди и забейте на дальнейшие шаги. Узнав, что там хранится, добавьте нужную инфу о разрешённых носителях и запретите доступ. На практике я это не проверял, просто сделал логические выводы из данного поста.

      Увы, больше помочь не могу, т.к. не автор, да и винды даже под рукой нет на текущий момент.

Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: