» Отключение USB через GPO (групповые политики)

Появилась проблема:
надо запретить подключение FLASH-devices (Disk on Key) и разрешить сканнер/принтер/CDrom через GPO.

Это решение не подходит по причине ненормально большой цены (50$ per seat)
http://www.securewave.com/products/securent/index.html

Тоже мучаюсь с этой проблемой
Не нашел решение?

Цитата:

сканнер/принтер/CDrom

Они тоже флешовые?
Если да, то: ищем дрова, которые они пользуют, и разадем права. На сколько помню, флешовые накопители используют \system32\drivers\usbstor.sys (на w2k as). Ему - заперт на все всем, включая систему. Или отключить старт службы USB Mass Storage Driver (она по-умолчанию в manual).
GPO поможет (должно имхо) раздать эти права по домену, но могу ошибаться, т.к. на на своих "объектах" просто выключаю usb в "устройствах".

Все описанные изменения вносятся в файл %SystemRoot%\inf\sceregvl.inf


Код:
[Register Registry Values]

MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\Start,4,%CdRomStartup%,3,4|%CDDisable%,1|%CDEnable%
MACHINE\SYSTEM\CurrentControlSet\Services\Flpydisk\Start,4,%FlpStartup%,3,4|%FlpDisable%,1|%FlpEnable%

MACHINE\SYSTEM\CurrentControlSet\Services\usbehci\Start,4,%UsbehciStartup%,3,4|%UsbehciDisable%,1|%UsbehciEnable%
MACHINE\SYSTEM\CurrentControlSet\Services\usbuhci\Start,4,%UsbuhciStartup%,3,4|%UsbuhciDisable%,1|%UsbuhciEnable%
MACHINE\SYSTEM\CurrentControlSet\Services\Serial\Start,4,%SerialStartup%,3,4|%SerialDisable%,1|%SerialEnable%
MACHINE\SYSTEM\CurrentControlSet\Services\Parport\Start,4,%ParportStartup%,3,4|%ParportDisable%,1|%ParportEnable%
MACHINE\SYSTEM\CurrentControlSet\Services\usbhub\Start,4,%UsbhubStartup%,3,4|%UsbhubDisable%,1|%UsbhubEnable%


[Strings]
;================================ Devices ======================
CdRomStartup= "Devices: CD-ROM Driver"
CDEnable= "Enable CD-ROM devices"
CDDisable= "Disable CD-ROM devices"

FlpStartup = "Devices: Floppy Disk devices"
FlpEnable= "Enable Floppy Drive devices"
FlpDisable= "Disable Floppy Drive devices"

ParportStartup= "Devices: Parallel port"
ParportEnable= "Enable Parallel port devices"
ParportDisable= "Disable Parallel port devices"

SerialStartup= "Devices: Serial port"
SerialEnable= "Enable Serial port devices"
SerialDisable= "Disable Serial port devices"

UsbehciStartup= "Devices: USB 2.0 Enhanced Host Controller"
UsbehciEnable= "Enable USB 2.0 Enhanced Host Controller devices"
UsbehciDisable = "Disable USB 2.0 Enhanced Host Controller devices"
UsbuhciStartup= "Devices: USB Universal Host Controller"
UsbuhciEnable= "Enable USB Universal Host Controller devices"
UsbuhciDisable = "Disable USB Universal Host Controller devices"
UsbhubStartup= "Devices: USB2 Enabled Hub"
UsbhubEnable= "Enable USB2 Enabled Hub devices"
UsbhubDisable = "Disable USB2 Enabled Hub devices"

;================================================================================================

<b>2 Lamerok</b>
Наверное хороший способ, но IMHO так можно запрещать USB устройства на уровне сервисов... а это значит, что будут запрещены все устройства, а не только Flash диски.

<b>2All</b>
Вообщето странно, что пользователи могут добавлять такие устройства как флэшки... :/

У мелкософта даже есть статья как запретить USBStor на XP:
http://support.microsoft.com/default.aspx?scid=kb;en-us;823732

Кстати... А что если запретить системе доступ к ветке (по умолчанию системе там чтение)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
Если ей не дать читать, то по идее и доступа к флэшке тоже не будет... Только вот кто туда пишет? Кому надо крылья подрезать чтоб новые устройства там не добавлялись?

Централизованная альтернатива

1. http://www.devicelock.com -- не спасает от локальных администраторов.
2. http://www.securewave.com -- на текущий момент лучшая, но очень дорогая.

AceVentura

Цитата:

devicelock

всё лочит, а ЮСБ не лочит:(
смотрю альтернативы

xy

Цитата:

всё лочит, а ЮСБ не лочит
смотрю альтернативы

Почему не лочит, всё лочит нормально для группы Пользователи.

Можно попробовать GFI.LANGuard.Portable.Storage.Control.v2.0
Создает 3 группы юзеров в AD: блокировка флопов, блокировка сидюков, блокировка USB-стореджей.

А в чем проблема - выполнить остановку сервисов, которые отвечают за работу USB, на уровне доменной политики ?

У нас это реализуется раздачей reg файлика:

Этот файл вырубает ЮСБ, ЦД-РОМы и ФЛОПЫ

Код:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\flpydisk]
"Start"=dword:00000004

все описано на сайте M$
HOWTO: Use Group Policy to disable USB, CD-ROM, Floppy Disk and LS-120 drivers
http://support.microsoft.com/?kbid=555324

скриптик тоже :
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"

Работает только под домены 2k & 2k3 и АД десэйблит USB, Floppy, CD-ROM

Whitemaster
Если почитаешь выше, то твое решение не ново. И отрубает весь USB порт. А не отдельные девайсы. Так что остается ждать Vista, в которй можно отрудать девайсы влпоть до ID.

Качнул я эту висту млин

AceVentura
DeviceLock спасает от локальных админов, если использовать Групповые Политики.
Я все софтины перепробовал и пришел в итоге к DeviceLock, удобство администрирования on-line убогое, но на уровне групповых политик в AD сделано очень мощно и не грузит рабочие станции при невидимой инстралляции. убодные отчеты по залоченным портам есть, даже есть отчет - что втыкал юзер в USB

Есть еще одно решение - запрещаем запись и делаем usbдиски - "readonly"

Код: Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000001

dccb
У нас так низя. А то юзеры понаприносят файла... а начальство ругается, что могут игрухи ставить

У нас наоборот - "поуносят фаилА" )). Я просто сам долго искал подобную информацию - не панацея канечно... но от тетенек/дяденек манагеров спасает

Whitemaster
Метод конечно рабочий, но не совсем удобный
Для его применения необходимо создать, как минимум две политики
одну на отключения устройств, а другую на подключение
и соответсвенно две группы компьютеров в АД, к кот. эти политики применяются
А самое неудобное, это то что изменения вступают в силу только после второй перезагрузки компьютера к кот. применена политика.

Etalon
Маленькая ремарка, в АД можна прописать рефреш доменной политики от минимальной 70 минут до 2 недель и совсем не нужно 2 раза перегружать машины.
Относительно груп политики: на определенный OU можна поставить непременение конкретной политики или порядок применения объектов.

Кстати оч даже хорошо написано здесь же http://ru-board.com/new/article.php?sid=174

Whitemaster
Мне нужно, чтобы политика применялась не ко всей OU, а только к отдельной группе компьютеров находящихся в этой OU

И поэтому я создал в АД группу
Назвал её "С отключенными накопителями",
добавил в неё учётные записи нужных компьютеров

Потом создал политику, используя приведённый тобой шаблон
а доступ на чтение и применения этой политики дал не всем учётным записям домена,
а только группе "С отключенными накопителями"

И врезультате этого получается следующее

О том, что компьютер попал в новую группу, он узнаёт только в момент загрузки
соответственно и политика к этому компьютеру применяется применяется только после перезагрузки

Сделал все как описано http://support.microsoft.com/?kbid=555324 все отрубается кроме usb с чем это может быть связано?

Young_Admin

Цитата:

Этот файл вырубает ЮСБ, ЦД-РОМы и ФЛОПЫ

Код:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\flpydisk]
"Start"=dword:00000004



Этот файл врубает всё

Код:


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"Start"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor]
"Start"=dword:00000003

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\flpydisk]
"Start"=dword:00000003



Соответственно комбинаторику никто не отменял

А каким образом ты это реализовал, чтобы реестр править нужны особые права, сами юзеры ведь не могут

Palza
Есть такая замечательная консольная програмка PSEXEC. Она от имени пользователя system запускает указанный файл с нужными параметрами на нужном компьютере (компьютерах)

обратная задача
А можно ли разрешить пользователям забирать файлы через usb?но запретить приносить?

Че-то я не понял
Young_Admin говорит что
...
вырубает ЮСБ
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor]
"Start"=dword:00000004
...

А Whitemaster
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4


Так какое же значение параметра вырубает, а какое врубает?

Есть шаблон административный, который позволяет отключать возможность записи на на USB, при это он читается и т.д. Есть ли такой шаблон для CD приводов?

Ладно, а можно как нить этот шаблон прикрутить к параметрам пользователя? А то одному пользователю нужны ЮСБ, а другому нет.... а параметр применяется во время загрузки компа!

По шаблонам: Если я правильно понял, создается текстовый файл name.adm c содержанием http://support.microsoft.com/?kbid=555324
Добавляем его в Административные шаблоны нужной политики.
но у меня почемуто папки Custom Policy Settings\Restrict Drives
появились, а политик для изменения нет?
Помогите плиз!