Каталог статей
Языки программирования
Ассемблер
Языки С и C++
Дельфи
Perl
Язык управления 1С
Инструменты и технологии проектирования ПО
Переводы
Программирование в ОС
Windows
Linux
FreeBSD
WinCE
QNX
Mac OS
Базы данных
Общее
MS SQL
Oracle
MySQL
ADO.NET
Направления и технологии
Микроконтроллеры
Драйвера
.NET
Сети и протоколы
COM
Real-Time
Администрирование ОС
Solaris
Unix
Linux
Windows
Начинающим
Теория
Курсы
Разное
Web
PHP
Графика
OpenGL
Переводы Дейкстры
Разное
Обзоры
Видео
Наши поездки
История
Оружие
Практическое
Юмор
Languages
English for beginners
Intermediate English.
Статья
Версия для печати
Обсудить на форуме
Ограничение на использование USB-накопителей.


Автор: Sla
Первоисточник: http://slasoft.kharkov.ua/article/usb_dev
Под редакцией Клуба программистов «Весельчак У».


Политика безопасности предприятия может требовать ограничений по использованию USB-устройств. Копание в Интернете и чтение различных форумов привело к такому сборнику советов.

Глобально.

Запретить все USB-устройства. «Управление компьютером→диспетчер устройств→контроллеры универсальной последовательной шины USB→(корневые USB концентраторы)→применение устройства»: «отключено». Например, если принтер подключен к какому-либо концентратору, то его можно не отключать.

Примечание 1.

Диспетчер устройств можно запустить из командной строки:

Код:
start devmgmt.msc


Примечание 2.

Интересное свойство диспетчера устройств из консоли выполнить две команды:

Код:
set devmgr_show_nonpresent_devices=1
start devmgmt.msc

Тогда в «Диспетчере устройств» отобразятся скрытые устройства.

Быстрый и простой способ.

Остановка службы «Съемные ЗУ». Если не требуется USB — отключение контролеров USB. Запретить использование всем, кроме избранных через «Управление компьютером→Запоминающие устройства→СъемныеЗУ→Свойства→Безопасность».

Недостатки.

Здесь есть некие подводные камни, например, запрет на использование группе «User». Но администратор может входить в группу «User». Впрочем, это равносильно изменению следующего параметра:

Код:
HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR "Start"
"Start"=dword:00000004 - запретить
"Start"=dword:00000003 - разрешить


Примечание.

Запустить службу можно из командной строки:

Код:
net start "Съемные ЗУ"


USB-устройство еще ни разу не подключалось к компьютеру.

Только-только установленная система. Идем в папку «%Windows%\inf» (папка имеет атрибут hidden), в ней есть два файла: «Usbstor.inf» и «Usbstor.inf». Запрещаем доступ к этим файлам всем, кроме группы администраторов или конкретного пользователя. Более подробно это описано у Microsoft'а.

Запрет записи на USB-устройство.

Зачем запрещать USB совсем, когда можно запретить только запись?

Код:
HKLM\SYSTEM\CurrentControlSet\control\StorageDevicePolicies.

Параметр «WriteProtect» — скорей всего его нет. Тогда его нужно создать с типом «dword» и присвоить значение «1». И не забыть перегрузить компьютер. Чтобы восстановить — присвоить значение «0».

Групповые политики.

Код:
CLASS MACHINE

CATEGORY !!category
  CATEGORY !!categoryname
    POLICY !!policynameusb
      KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
      EXPLAIN !!explaintextusb
      PART !!labeltextusb DROPDOWNLIST REQUIRED
        VALUENAME "Start"
        ITEMLIST
          NAME !!Disabled VALUE NUMERIC 3 DEFAULT
          NAME !!Enabled VALUE NUMERIC 4
        END ITEMLIST
      END PART
    END POLICY

    POLICY !!policynamecd
      KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
      EXPLAIN !!explaintextcd
      PART !!labeltextcd DROPDOWNLIST REQUIRED
        VALUENAME "Start"
        ITEMLIST
          NAME !!Disabled VALUE NUMERIC 1 DEFAULT
          NAME !!Enabled VALUE NUMERIC 4
        END ITEMLIST
      END PART
    END POLICY

    POLICY !!policynameflpy
      KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
      EXPLAIN !!explaintextflpy
      PART !!labeltextflpy DROPDOWNLIST REQUIRED
        VALUENAME "Start"
        ITEMLIST
          NAME !!Disabled VALUE NUMERIC 3 DEFAULT
          NAME !!Enabled VALUE NUMERIC 4
        END ITEMLIST
      END PART
    END POLICY

    POLICY !!policynamels120
      KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
      EXPLAIN !!explaintextls120
      PART !!labeltextls120 DROPDOWNLIST REQUIRED
        VALUENAME "Start"
        ITEMLIST
          NAME !!Disabled VALUE NUMERIC 3 DEFAULT
          NAME !!Enabled VALUE NUMERIC 4
        END ITEMLIST
      END PART
    END POLICY
  END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by
disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by
disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by
disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity
Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"

Сохранить приведенный код в файл с расширением «adm». Запустить редактор групповых политик (gpedit.msc). В разделе «Конфигурация компьютера→Административные шаблоны» добавляем новый шаблон (правый клик), предварительно скопировав файл шаблона в папку «%Windows%\system32\GroupPolicy\Adm\». Должен появиться пункт «Custom Policy Settings». Если не появился, то «Вид→Фильтрация...», и снять галочку с «Показывать только управляемые параметры политики». Если вы дошли до этого пункта, то, я думаю, что дальше сами разберётесь.
Замечу, что в этой политике, также задействованы и другие устройства (CD-ROM, НГМД). Принцип основан на изменении параметра start на значение «4». Эта политика отработает после перезагрузки компьютера.

Еще один из вариантов для групповой политики:

Код:
CLASS MACHINE

CATEGORY "Services und Drivers"
    POLICY "USB Storage"
      KEYNAME "System\CurrentControlSet\Services\usbstor"
      PART "Startup type" DROPDOWNLIST
        VALUENAME "Start"
        ITEMLIST
          NAME "Boot" VALUE NUMERIC 0
          NAME "System"   VALUE NUMERIC 1
          NAME "Auto Load"   VALUE NUMERIC 2 DEFAULT
          NAME "Load On Demand"       VALUE NUMERIC 3
          NAME "Disabled"   VALUE NUMERIC 4
        END ITEMLIST
      END PART
    END POLICY
END CATEGORY

Здесь описано как организовать выборочное использование USB накопителей. Поэтому приведу здесь только краткое описание.

  • Ключ «HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR». Он хранит информацию о всех когда-либо подключенных USB-носителях.
  • Даем себе полный доступ на USBSTOR («правая клавиша мыши→Разрешения», отметить пункт «Полный доступ у группы Все»). Удаляем все содержимое USBSTOR.
  • Подключаем одобренную фэшку, убеждаемся в том, что она определилась. Внутри USBSTOR должен появиться ключ типа «Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07» (F5 для обновления списка).
  • Опять ПКМ на USBSTOR, Разрешения. Убираем Полный доступ у группы Все, право на чтение оставляем.
  • Те же самые права нужно назначить пользователю «System», но напрямую это сделать не получится. Сначала нужно нажать кнопку «Дополнительно», убрать галку «Наследовать от родительского обьекта», в появившемся окне «Безопасность» сказать «Копировать». После очередного нажатия на ОК права пользователя «System» станут доступны для изменения.
  • Для закрепления эффекта нажимаем кнопку «Дополнительно» еще раз и отмечаем пункт «Заменить разрешения для всех дочерних объектов...» Подтверждаем выполнение.

Несколько полезных ссылок.

How To Configure Group Policies to Set Security for System Services


Версия для печати
Обсудить на форуме