» как отобрать права записи на съемные диски

вводная :
есть маленькая сетка на 10 компов .
в ней живет 2003 сервер и AD .
интернет отсутствует .
все пользовали на своем локальном компе имеют админские права . в принципе можно обойтись и без этого, но пока сделано так и менять не хочется .

задача:
максимально осложнить утечку информации , к которой пользователи имеют доступ .

насколько я понимаю надо блокировать
1) дисководы fdd
2) возможность подключения внешних накопителей (usb drive , кард ридеров)
С возможностью подключения модема или ноутбука кроссовым шнуром придется смириться .

Что хочется :
программно (при помощи логин скрипта или политик домена) перевести все сьемные естройства в режим только чтение , если это невозможно то отключить вообще .
при этом привязку желательно осуществить к UserName , то есть на одном компе Вася может работать со сьемными носителями а вот Петя уже нет .

Возможно ли ?

PS. на сегодняшний момент сделано просто до безобразия - в биосе отключен флоп , usb , а так-же com и lpt порты. Хочется чего то более технологичного .

Zlobny_John
Есть спец сторонний софт, например, GFI LANguard Portable Storage Control


Цитата:

GFI LANguard Portable Storage Control (P.S.C) 2.0 Build 20040922. - программа поможет защитить вам конфиденциальную информацию в сети предприятия от неавторизованного доступа сеть от доступа и предотвратит попадание вредоносного ПО через USB-носители, а также другие сменные носители (включая дискеты и компакт-диски).
С помощью GFI LANguard Portable Storage Control администраторы сети смогут разрешать или запрещать подключение сменных носителей, а также контролировать доступ пользователей к устройствам для чтения дискет и CD-дисков. Для этого на клиентском компьютере устанавливается агентское приложение, размер которого составляет всего 1.2 Мб.
Если пользователь не является членом группы, которой предоставлено это право, он автоматически лишается доступа к устройству (флоппи-дисководу или устройству для чтения CD-дисков). Для того чтобы предоставить пользователю возможность чтения и записи информации на сменный носитель, администратору достаточно включить его в состав соответствующей группы Active Directory.

merlkerry
судя по описанию неплохо , возьму на заметку .

all
может есть варианты без спецпрог ?
таки умный юзер их наверняка отключит .

Zlobny_John

Цитата:

таки умный юзер их наверняка отключит

В любом случае, имея физический доступ к компьютеру можно сделать или "сломать" все, не даром одно из основных требований для серверных комнат - ограничение количества людей имеющих право входа в комнату.
Обойти все запреты можно имея админские права, урезай права пользователям - толку больше будет.

Zlobny_John

Отбирай права, и пусть сидят обычными юзерами.
Флоп в бивисе ставится только на чтение.
Обычным юзерам в win2k (XP) запрещено устанавливать новое оборудование, следовательно не могут поставить кардридеры и др.
А вот с привязкой к к юзернэйм, только если давать права выше юзеров.

Добавлено

Цитата:

таки умный юзер их наверняка отключит .

без прав админа трудновато будет. так что тоже вариант.

нашел еще одну забавную программку

http://www.protect-me.com/ru/dl/
как попробую - сброшу отчетец .

Цитата:

может есть варианты без спецпрог ?

Когда пользователи сидять под админскими правами?
Да вы батенька фантазер.

Нужно рубить права и политики настраивать.

GFI LANguard Portable Storage Control (P.S.C) достаточно рульная и гибкая прога (и в варезнике темка есть по ней), но полностью запрещает доступ к девайсам, а как все-таки
Цитата:

отобрать права записи на сьемные диски

Добавлено

Цитата:

если это невозможно то отключить вообще .
при этом привязку желательно осуществить к UserName

а вот с этим справляется на ура, причем я, сидя админом, так и не смог пока ее обойти


Добавлено
сам же и нашел, но пока только про USB
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies
Value Name (DWORD): WriteProtect
Data Value: 0 = disable, 1 = enable
думаю на 10-ти компах поправить будет не трудно
работает вполне прилично, читать можно все, писать и удалять--нет. пишет "диск защищен от записи...." остался вопрос про CD & Floppy

Насколько помню, DeviceLock может запрещать в том числе запись на носитель.
Смотри http://forum.ru-board.com/topic.cgi?forum=35&topic=7719#1

espirits можешь подробнее? а то у меня ссылка не работает:

Цитата:

Компьютерный форум Ru.Board » Ошибка

Специальный форум


Извините, гости не могут заходить в этот форум. Пожалуйста зарегистрируйтесь!.
Возможные причины:
Неправильный пароль
Неправильное имя пользователя
Незарегистрированный Пользователь

UncoNNecteD
А что - политики домена уже отменили ?

Zeleznick
правильно будет вот так .
http://forum.ru-board.com/topic.cgi?forum=35&topic=7719#1

ссылку на сайт проги я давал выше . сегодня буду её тестить

Zlobny_John
потестил и ту и другую... полного удовлетворения нет, но если в GFI можно все-таки как-то поставить в режим только чтение, то однозначно GFI

Zlobny_John

Цитата:

насколько я понимаю надо блокировать
1) дисководы fdd
2) возможность подключения внешних накопителей (usb drive , кард ридеров)

а че не попробуеш в regedit-e поменять и сделай так чтоб не смогли измененить в
regedit-e
я так сделал
если тебе надо как пиши в ПМ и отправлю файл *.reg сделан мною

Статья на securitylab.ru:
От каждого по максимуму, каждому – по минимуму. Разграничение доступа к устройствам в Windows. http://www.securitylab.ru/?ID=49044&R=0.ML.CGI

tswanea
Отправь файлик REG мне на ilcs [at] yandex.ru

to all DeviseLock в случае если доступ к девайсам открыт по сети (расшарен) может вызывать глюки вплоть до внезапной перезагрузки компов. победил только тонкой ручной настройкой пермишенов

Zeleznick

Цитата:

победил только тонкой ручной настройкой пермишенов

А что конкретно настраивал?

Zeleznick

Цитата:

Добавлено
сам же и нашел, но пока только про USB
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies
Value Name (DWORD): WriteProtect
Data Value: 0 = disable, 1 = enable
думаю на 10-ти компах поправить будет не трудно
работает вполне прилично, читать можно все, писать и удалять--нет. пишет "диск защищен от записи...." остался вопрос про CD & Floppy

А у тебя какая операционка стоит? У меня WINXP и мне как раз нужно отключить запись на сменных носителях подключенных по USB. (чтение оставить)

У меня в реестре нет такой записи как у тебя

У меня тоже в XP такой ветки реестра нет
PS
Тоже надо бы запрещать всякие устройства для записи...

Nimnul

Цитата:

У меня тоже в XP такой ветки реестра нет
PS
Тоже надо бы запрещать всякие устройства для записи...

Я эту проблему уже решил с помощью Device Lock. Очень удобно кстати!

Да вообще то чего парится тем более бесплатно
(Но небольшой недостаток это постоянно висящий сервис... сколько он жрет?)

Nimnul
Такой ключ есть только в ХР SP2 если нет - создай, там работает. А вообще я эту проблему давно решил с помощью DeviceLock, на основе Active Directory и отсутствия прав локального админа.

Ici Chacal
Да, я тоже уже поставил DeviceLock, сижу разбираюсь...
Жаль не спасает от локальных админов... (Могут сервис остановить )

Nimnul

Цитата:

Жаль не спасает от локальных админов... (Могут сервис остановить )

дык а ты в политиках настрой что бы этот сервис могли остановить только доменные админы...

Nimnul
Я ее тестировал давно, но по моему остановка службы ничего не дает. Да и процессов то же. Как работает не понятно. А тормознуть прогу локальный админ может очень просто, вообще не заморачиваясь с службами-процессами. Просто через "Установку и удаление..."

Добавлено:
Извините, если остановить службу то доступ появляется. Был не прав.

Добавлено:
nickloayev
Можно подробнее про
Цитата:

в политиках настрой что бы этот сервис могли остановить только доменные админы

nickloayev

Цитата:

дык а ты в политиках настрой что бы этот сервис могли остановить только доменные админы...

Да уж, с этого места поподробней пожалуйста!!!

ivanopulos
Неее спасибо не нужно
DeviceLock рулит!
Ici Chacal
Просто нужно не с контроллера редактировать политику, а с машины где уже стоит этот сервис! (И дать права на все только System & Domain Admins простого админа (локального) можно-нужно выкинуть!)

Насчет того, откуда надо редактировать политику,- не согласен в корне. Но это мое личное мнение. У меня сделано так: в оснастку Active Directory Users and Computers внедрен DeviceLock. Сделана отдельная политика установки на основе .msi файла. Все политики, кроме Flash оставлены пока по умолчанию. В Removable я повыкидывал стандартных юзеров кроме SYSTEM и добавил группы MYDOMAIN\FlashWrite - Full Access, MYDOMAIN\FlashRead - Read Only, создав их предварительно в Active Directory. Засовывая юзера в ту или иную группу я легко управляю его правами со своего рабочего места, выкину из обоих - он флешку даже открыть не сможет.
Сейчас сделал специальную группу компьютеров к которым политика установки не применяется и они чисты от DeviceLock Service - это для серверов и руководства.