Столкнулся с такой необходимостью, как отключение USB-носителей для пользователей персонального компьютера. Проблема в том, что в локальной политике, да и в политике домена (экспериментировал на Windows 2003 server), не предусмотрена такой возможности, как отключение USB-носителей.
Причем с помощью реестра можно отключить только полностью USB-порты. Тогда встает другой вопрос – Как быть с принтерами, подключаемыми через USB-порты?
Я нашел два решения данной проблемы:
- использовать платные программы по мониторингу подключаемых USB-носителей типа DeviceLock или FileControl или другие аналоги,
- с помощью стандартной возможности ОС Windows, установки прав доступа на файлы usb.inf и usbstor.inf, которые размещены в C:\Windows\inf.
Первый вариант я рассматривать не буду, к ним есть достаточно подробный манул, да и не думаю что многие решат покупать данные программные продукты, ибо обойдутся они в копеечку.Но не могу не отметить простоту и удобство их в эксплуатации.
А теперь рассмотрим второй способ для организации нашей системы разграничения доступа к USB-носителям.
В первую очередь необходимо определиться кому запрещаем использование съемных носителей. В большинстве случаев необходимо ограничить права доступа всем пользователям, а разрешить доступ только системным администраторам. На этом пока и остановимся.
Так как мы определились с правами доступа, то пора их установить. Для этого найдем файлы usb.inf и usbstor.inf. Они лежат в системной папке inf в папке Windows. Далее выделяем их, заходим в свойства, в появившемся диалоговом окне переходим на вкладку безопасность. Кликаем на кнопку «Дополнительно». Убеждаемся, что галочка «Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне» снята.
Если нет, то снимаем, в ответ на это появляется окошко с кнопками «Копировать», «Удалить», «Отмена». Жмем «Копировать», потом «Ок». Теперь на вкладке «Безопасность», в поле «Группы и пользователи» удаляем все, кроме (если там есть) группу администраторов. Если нет то жмем кнопку «Добавить». В поле «Введите имена выбираемых объектов» вводим администраторы, жмем «Проверить имена», если такой объект один, введенное вами слово станет подчеркнутым, иначе появиться окошко со списком, в котором нужно выбрать тот объект, который вас интересует. Далее жмем «Ок», потом снова «Ок». Устанавливаем галочку «Полный доступ», жмем «Ок».
На этом все. Теперь при подключении USB-носителей к ПК, обычному пользователю будут требоваться администраторские права.
Но, есть одно серьезное замечание:
Если ранее к ПК подключались USB-носители, то они будут доступны пользователю.
Чтобы устранить данную брешь в нашей системе разграничения доступа, придется ручками почистить реестр. Для этого запускаем regedit (Пуск->Выполнить->regedit->Enter). Переходим в раздел
1 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR |
и удаляем от туда все подразделы. Если не появляется сообщение, что подраздел удалить невозможно, то кликаем правой кнопкой мыши на раздел USBSTOR, выбираем «Разрешения…», устанавливаем для «Все» полный доступ и снова пытаемся удалить подразделы в разделе USBSTOR.
После того, как вышеописанное было осуществлено, для подключения любого USB-носителя потребуются права администратора.
Это мы рассмотрели базовую, так сказать, модель системы разграничения доступа, но можно произвести более гибкую ее настройку, то есть разрешать доступ к подключаемым носителям конкретным пользователям. Для этого надо будет просто в свойствах файлов usb.inf и usbstor.inf на вкладке «Безопасность» добавить конкретного пользователя или какую то конкретную группу.
Замечу, что данная система разграничения будет работать и в домене, и в рабочей группе, а так же возможно установить разграничение доступа и для других устройств.
Как определённым устройствам разрешить подключение, а остальным запретить, чтобы они вообще не определялись? Допустим, есть 20 разрешённых флэш-накопителей. Их должен определять каждый компьютер. Остальные внешние устройства не должны определяться вообще.
Судя по тексту статьи, ответ кроется в содержимом реестра по пути «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR». Попробуйте всё оттуда удалить, потом вставить флешку и посмотреть какие данные сохранились, либо просто загуглите, ну или 3й вариант — вставьте туда 20 разрешённых флешек по очереди и забейте на дальнейшие шаги. Узнав, что там хранится, добавьте нужную инфу о разрешённых носителях и запретите доступ. На практике я это не проверял, просто сделал логические выводы из данного поста.
Увы, больше помочь не могу, т.к. не автор, да и винды даже под рукой нет на текущий момент.