» Отключение USB через GPO (групповые политики)

rkhodjaev
Или руками редактировать реестр на всех компьютерах,
или создать политику, в кот. ты не отключаешь, а наоборот включаешь внешнии накопители

Etalon
В реестре что надо поправить?

Этот файл вырубает ЮСБ, ЦД-РОМы и ФЛОПЫ

Код:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\flpydisk]
"Start"=dword:00000004



Этот файл врубает всё

Код:


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"Start"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor]
"Start"=dword:00000003

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\flpydisk]
"Start"=dword:00000003



Соответственно комбинаторику никто не отменял

Народ в чем проблема усб вырубается а сд и флоп нет

Ivansuh
Через реестр отключается драйвер устройства.
То есть если ты отключил в реестре, то при подключении устройства типа CD, Flpy, USBStor они не включатся, ибо система не сможет подсунуть драйвер.
Но если у тебя устройство уже стоит в машине, то оно будет продолжать работать.
Чтобы его отключить, используется утилита DEVCON (аналогично ручками отключается устройство через диспетчер устройств)

Подробно я описывал всё это здесь Отключение USB через GPO (групповые политики)

привет, ALL.
надо мне применить эту тему. ну поставил шаблон, применил кустом настройки - ок.
создал в 1 из сайтов ОЮ 'дисаблед юзерс' с запрешающей политикой, и в этом ОЮ создал сегуритиГруппу глобальную 'Disable - USB-FDD-CD'
в свойствах данной политики - секурити убрал авторизованных пользователей, добавил домаин узерс и домаин компутерс и ещё 1 группу --Disable - USB-FDD-CD. всем этим трем объектам поставил свойства: читать и применять политику.
смотрю результаты применения порлитики -- комп который включен в группу Disable - USB-FDD-CD - правой мышкой -- resultant of policy(logging) а тама всетаки не применяется эта политика по запрету.
Что я забыл? Камрады?

кто-нить решил эту проблему?

если ты юзаешь запрешение флэшек через ГПО, то политика с этим АДМ шаблоном не действует на группы, она дествует только на объекты КОМПЬЮТЕРЫ в этом подразделении. Т.е. создавай подразделение типа "USB_Disabled_PC" и добавляй туда все компики, которым нужно выключить порты ставь политику на это подразделение и все.

Этот способ неудобный. Очень негибкий к изменениям. Лучше всего юзать DeviceLock. вот там уже группы и работают.

Как сделать чтобы user невидел пункт "мой комп"

по идее в ГПО как раз есть такой пунк, в меню пуск, "скрыть мой компьютер" а с рабочего стола просто удаляешь его

Подскажите политика применяется только для юзера входящего в группу "пользователи"! А если он входит в группу "опытные пользователи" то уже не канает. Флешка находится без проблемм - единственно что работает так это защита от записи.

Есть решения этой проблеме?

К сожалению все ограничения USB обходятся при загрузке с Live-CD или установкой второй ОС без регистрации в сети.

Цитата:

все ограничения USB обходятся при загрузке с Live-CD

Дык а привод не пробовал отрубить ?

Отключение CD-ROM не желательно (необходимы для работы)

peculiar
lysva1
Загрузка с LiveCD невозможна, если в BIOS отключена загрузка с CD-ROM...
А чтобы в BIOS не лазили, на него можно пароль поставить.
А чтоб пароль не сбросили, ставится антивирус, большинство из которых такие примочки отлавливают...
Безопасность должна быть комплексной.

Romeo91

Цитата:

Подскажите политика применяется только для юзера входящего в группу "пользователи"! А если он входит в группу "опытные пользователи" то уже не канает. Флешка находится без проблемм - единственно что работает так это защита от записи.

Есть решения этой проблеме?

Ваш вопрос лишен смысла. Если юзеру нужно запретить флешки, то этот юзер не должен входить в группу "Опытные пользователи", но если юзер входит в группу "Опытные пользователи", то запрещать ему флешки нет смысла.


PhoenixUA

Цитата:

А чтобы в BIOS не лазили, на него можно пароль поставить.
А чтоб пароль не сбросили, ставится антивирус, большинство из которых такие примочки отлавливают...

А отлавливает ли это большинство ручки пользователя, тупо сковыривающего батарейку?


Цитата:

Безопасность должна быть комплексной.

Именно. И на первом месте должны быть не технические примочки, а простые организационные меры: полез в системный блок, попытался подобрать пароли и т.д. - вон с работы или лишение премии.

Цитата:

А отлавливает ли это большинство ручки пользователя, тупо сковыривающего батарейку?

А это отлавливается наклейкой специальных наклеек на корпус и контролем за их целостностью.

f0boss

Цитата:

А это отлавливается наклейкой специальных наклеек на корпус и контролем за их целостностью.

Что подпадает под мое утверждение:
Цитата:

И на первом месте должны быть не технические примочки, а простые организационные меры: полез в системный блок, попытался подобрать пароли и т.д. - вон с работы или лишение премии.

А как насчет установки второй ОС

lysva1

Цитата:

А как насчет установки второй ОС

Никак. Если в конторе юзеры устанавливают вторые ОСи, то админа, работающего в этой конторе, нужно вздернуть на рее. Организационные меры (наклейки, штрафные санкции и все такое) + работа под ограниченной учеткой + политики ограниченного использования программ - наше все.

Напишити кто решил эту проблему и каким способом, а то много советов - а четкого ответа нету.

Решил - Установкой Symantec Endpoint. Заодно и антивирус неплохой, и разрешает или запрещяет или ограничивает использование определенных девайсов пользователям\компьютерам

Цитата:

Решил - Установкой Symantec Endpoint. Заодно и антивирус неплохой, и разрешает или запрещяет или ограничивает использование определенных девайсов пользователям\компьютерам

Данный метод не подходит, нужно GPO

Цитата:

Данный метод не подходит, нужно GPO

DeviceLock? c GPO работает. Если не знаешь как - хрен удалишь даже из под админа.
Опробовано на 4-х админах

Кстати в BIOS выбор boot устройства при загрузке через F8 или другие хоткеи не блокируется?

flayx

Цитата:

c GPO работает. Если не знаешь как - хрен удалишь даже из под админа.
Опробовано на 4-х админах

Можно,но очень тяжело,на своей шкуре пробовал.Так что внимательно надо поднимать,а то вдруг все системники сети закроются.....потом ...
ИМХО Так что аккуратнее с этим.

Если тема еще актуальна... После прочтения и переработки всей информации, касающейся разграничения доступа к USB-накопителям, которую удалось найти, была создана следующая групповая политика.
Исходные данные: домен win2k3, пользователи имеют ограниченные права, за каждым конкретным пользователем "закреплен" конкретный компьютер, некоторому количеству пользователей по служебной необходимости нужен доступ к USB-накопителям на чтение/запись. Задача: запретить доступ к USB-накопителям на чтение/запись для всех пользователей домена, кроме тех из них, которым работа с USB-накопителями необходима для исполнения служебных обязанностей (при этом работоспособность таких USB-устройств, как принтеры, мыши и т.д. должна сохраниться).

Решение избрано следующее.
Создано 2 объекта групповой политики (GPO): первый применяется к компьютерам тех пользователей, которым нужно дать полный доступ к USB-накопителям, второй - ко всем авторизованным компьютерам домена.

Этот ADM-файл добавлен в Administrative Templates (раздел Computer Configuration) обоих GPO:

; This policy restrict write access to USB device
CLASS MACHINE
CATEGORY !!USBProtect
POLICY !!USBprotectpolicy
EXPLAIN !!USBProtect_Explain
KEYNAME "System\CurrentControlSet\Control\StorageDevicePolicies"
VALUENAME "WriteProtect"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY

POLICY !!USBprotect_old
EXPLAIN !!USBProtect_Explain
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
VALUENAME "Start"
VALUEON NUMERIC 4
VALUEOFF NUMERIC 3
END POLICY
END CATEGORY

[strings]
USBprotectpolicy="Restrict write to USB XP/SP2"
USBProtect="USB Settings"
USBProtect_Explain="Определяет, будет ли пользователь иметь доступ к USB диску с возможностью записи \nЕсли параметр не задан, то доступ к USB не ограничен\nЕсли параметр включен, доступ к USB устройству только в режиме чтения\nЕсли параметр выключен,то доступ к USB не ограничен"
USBprotect_old="Restrict all access to USB Pre XP/SP2"

Настройки политики (Policy Settings) - в данном ADM-файле они носят название "USB settings" - Restrict write to USB XP/SP2 и Restrict all access to USB Pre XP/SP2 для первой GPO имеют значение Disabled, для второй - Enabled.
Далее в разделе Computer Configuration - Windows settings - Security settings - File system жестко заданы права доступа к файлам %systemroot%\inf\usbstor.inf и %systemroot%\inf\usbstor.PNF - для первой GPO локальные администраторы и SYSTEM имеют полный доступ, Users - только на чтение, для второй GPO - полный доступ только для локальных администраторов, для SYSTEM и Users доступ полностью запрещен. Есть мысль сюда же добавить файл %systemroot%\system32\drivers\usbstor.sys с теми же разграничениями прав... Будет время - попробую.
Про очередность применения: политика РАЗРЕШЕНИЯ использования USB-накопителей должна примениться ПОСЛЕ политики запрещения, то есть должна стоять выше.

BagIra    Отправлено 10-11-2008 18:19

шаблон прикольный только при отключении не возвращает значения реестра в начальное состоянии хапнул горя с этим ((((

Где то винете нашел такое.
По умолчанию Групповые Политики не предоставляют возможности простого способа отключения устройств использования сменных носителей, таких как порты USB, дисководы CD дисков, дисководы гибких дисков.
Не смотря на это Групповые Политики могут быть расширены для использования соответствующих настроек посредством ADM шаблона.
ADM шаблон представленный ниже позволит администратору отключить соответствующее устройство. Импортируйте этот административный шаблон в Групповые Политики как .adm файл.

CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Сменные носители"
categoryname="Отключение дисководов"
policynameusb="Отключить порты USB"
policynamecd="Отключить дисководы CD дисков"
policynameflpy="Отключить дисковод гибких дисков"
explaintextusb="Отключение портов USB через отключение драйвера usbstor.sys"
explaintextcd="Отключение дисководов CD дисков через отключение драйвера cdrom.sys"
explaintextflpy="Отключение дисковода гибких дисков через отключение драйвера flpydisk.sys"
labeltextusb="Отключить порты USB"
labeltextcd="Отключить CD дисководы"
labeltextflpy="Отключить Floppy"
Enabled="Включено"
Disabled="Отключено"


В случае если добавленные политики не отображаются в редакторе групповых политик проделайте следующее:
1. В правой части окна редактора политик нажмите правую клавишу мыши, перейдите в пункт меню Вид и нажмите Фильтрация...
2. Снимите отметку с пункта "Показывать только управляемые параметры политики"
3. Нажмите ОК
После этого добавленные политики будут отображены в правой части окна редактора групповых политик.

Для получения дополнительной информации о файлах административных шаблонов обратитесь к этой статье:
Using Administrative Template Files with Registry-Based Group Policy

Тут много написано про отключении USB-накопителей через GPO.
А если нужно отключить доступ к флешкам в раб.группе?
На сайте MS нашел http://support.microsoft.com/kb/823732.
По второму пункту мне понятно:
В реестр добавляем
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000003
Как назначить группе "Пользователи" "Опытные пользователи" запрещающие разрешения на следующие файлы:
%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf
через реестр ?? Не будешь же каждый раз заходиnm во вкладку безопасность. ПК около 100 штук.
Спасибо

Можно батник написать SetACL-ом назначить.