» Отключение USB через GPO (групповые политики)

Не сочтите за рекламу каспера, но...
Сам недавно увидел что вышло его обновление в котором присутствует
Компонент Контроль доступа
Контроль доступа - это новый компонент, который позволяет контролировать доступ пользователей к внешним устройствам. Компонент состоит из одного модуля.

Модуль Контроль устройств позволяет контролировать работу пользователя с внешними устройствами ввода/вывода (внешние USB- и мультимедиа-устройства, устройства хранения данных - CD/DVD, USB HDD и т.п.)

Поставил -проверил - работает! Это конечно не полное решение проблемы обсуждаемой в данной ветке, но как вариант (для админов кто защищает рабочие станции при помощи данного продукта)

RCOleg
В какой версии она присутствует, если можно ссылку

хай all. Обрубаю флешки с помощью GPO, делаю группу компов, кидаю в контейнер для этой группы adm-шаблон, выключаю им флешки. На первом компьютере после 2-х перезагрузок флешка не определяется, ещё на двух всё по-прежнему работает. Причём gpresult показывает, что политика применена на всех 3-х компах. Решил для теста в этом же контейнере отключить автозагрузку с любых устройств. Перезагружаю коомпьютеры по 2 раза, всё нормально, атозагрузка не работает. В журнале ошибок нет никаких. Однако флешки на 2-х компах из 3-х всё равно работают. ОС - WinXP SP3. Кто-нибудь сталкивался?

Народ. у меня после установки SysUtils Device Manager, когда вставляеш флешку, СД-диск комп перезагружается.
Как вылечить? подскажите

Цитата:

хай all. Обрубаю флешки с помощью GPO, делаю группу компов, кидаю в контейнер для этой группы adm-шаблон, выключаю им флешки. На первом компьютере после 2-х перезагрузок флешка не определяется, ещё на двух всё по-прежнему работает. Причём gpresult показывает, что политика применена на всех 3-х компах. Решил для теста в этом же контейнере отключить автозагрузку с любых устройств. Перезагружаю коомпьютеры по 2 раза, всё нормально, атозагрузка не работает. В журнале ошибок нет никаких. Однако флешки на 2-х компах из 3-х всё равно работают. ОС - WinXP SP3. Кто-нибудь сталкивался?  

сам же и разобрался. Включил/выключил драйвер флешки в контейнере, после чего на компах сделал gpupdate. Всё стало как надо. Может кому пригодится

Я решил сделать таким способом. Создал политику и прописал у нее скрипт в автозагрузку по добавлению в реестр отключения флешки. Также создал группу для тех компьютеров для которых юсб разрешено и поставил в свойствах запрещено применение данной политики. Но почему то политика все равно применяется на все компьютеры не зависимо от того что стоит галочка для группы запрещено. Почему так может быть?

Цитата:

Но почему то политика все равно применяется на все компьютеры не зависимо от того что стоит галочка для группы запрещено

видимо, один из объектов GPO перекрывает другjq. Поменяй их местами например - политики применяются снизу вверх кстати! Ещё там с полем "Не перекрывать" похитрить можно

И еще какой то странный прикол мне достался от предшественника админа. После перезагрузки любой тачки параметр start равен 3. А если выполнить комманду gpupdate /force , то параметр переходит в значение 4. Уже все политики пересмотрел. Просмотрел все запуски и административные шаблоны. С чем может быть связано такое? Где это может быть прописано и как отключить?

А у меня наоборот после вируса eKAV перестали работать порты USB. Сами порты рабочие, в BIOS флешки питание получают, а потом отключаются.

Пробовал переустанавливать дрова (мама Soltek с чипсетом nForce2 400). Пробовал в ручную запускать дрова через консоль восстановления (режим запуска Service_boot_start или Service_auto_start). Всё равно они не запускаются (проверял через Everest).

Hi all!
Вопрос вылез, ранее было настроено отключение флешек, и работало.
Теперь зашел добавить компов, а настроек нету, группа и категория есть, но они пустые.

Добавлено:
разборался

http://www.petri.co.il/disable_usb_disks_with_gpo.htmъ
Административный шаблон и манул как включать /отключать USB пользователям.

Кто нибудь переложите usb_removable_drives_adm.zip
т.к. с выше указаного сайда petri.co.il
не качается

MARSIANIN
google еще никто не отменял вот что он нашел:
http://blog.galievr.ru/?p=216

А если у пользователя нет прав на смену значенийв реестре, то эта тема не работает

Административный шаблон не работает на XP SP3 и Win7. Кто-нибудь имеет тот, который работает?

Цитата:

http://www.petri.co.il/disable_usb_disks_with_gpo.htmъ
Административный шаблон и манул как включать /отключать USB пользователям.

он отключает usb для всех пользователей?
нет ли шаблона, который может отключать usb для всех, кроме списка исключений?
т.е. за компом работают 2 пользователя, одному полностью запретить достут к usb, cdrom, floppy, а другому дать например только на usb, а cdrom и floppy так же запретить?
спс...

В WinServ2008 есть возможность отключать флешки и др оборудолвание про ид.Только если клиенты виста и выше.

Может старо, предыдущие страницы не читал.
Лично я делаю так.
Ну да, рабочих станций не много, поэтому позволительно.

Программой USBDeview удаляю драйвера на уже установленные USB устройства.
А потом на каждой машине просто делаю запрет всем на файлы

c:\Windows\inf\usbstor.inf
c:\Windows\inf\usbstor.PNF

Чтобы отключить распознование Flash-ек, делаем такой .reg-овский файлик:

Код: Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004

Прочитал много топиков, но полностью работоспособного ответа на свой вопрос не нашел, может подскажете что-нибудь полезное? сразу оговорюсь я не спец. по AD, а лишь учусь)
Задача: запретить некоторым пользователям использовать флешки и др. съемные носители, диски и флоппи.
Решение 1: есть прекрасный адм. шаблон для GPO конф. компов - не подходит, так как срабатывает при загрузки сис-мы и для всех пользователей данного компьютера, а требуется устанавливать политику только определенным пользователям. Подходит только тем кому нужно отк. уст-ва на конкретных комп-ах.
Решение 2: скрипт срабатывающий при входе в сис-му, находится в GPO конф. пользователей, срабатывает только при условии что пользователь локальный админ компа или админ. домена, что не совсем корректно.
Собственно вопросы и мысли(прошу прокомментировать и по возможности помочь)
Почему не срабатывает политика для опытных пользователей комп-а, как можно на время исполнения скрипта разрешить изменять параметры реестра? Не делать же каждого пол-ля админом домена или не заводить на каждом комп-е учетку лок.админа. Есть идея запускать скрипт от имени администратора домена, но при запуске нужно указывать логин и пароль админа не хотелось бы в теле скрипта держать такие данные. Насколько верны суждения, есть ли конкретные решения?
Так же сущ-ет проблема после срабатывание правил, если исп-ать "новую" флешку то параметр в реестре меняется на "разрешить". Есть решения как это избежать?
Прошу программы наподобие Devicelock не предлагать.

Цитата:

Чтобы отключить распознование Flash-ек, делаем такой .reg-овский файлик:

Код:Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004


Система никак не будет реагировать на подключение именно Flash-ек.

Как понял включается обратно сменой 4 на3. Что то странно метод вроде как рабочий а целый топ нагородили. Или я чтото не понимаю, после его примениния мышка USB работает нормально, блутуз тоже, а флешка звук ошибки даёт. Очень хочется принтер проверить, но пока нет под рукой. Как проверю отпишусь. Зачем всякие девайслокеры и тд? Кто "поопытней" опробывал отпишитесь просьба.

zionxit
Метод рабочий, но с некоторыми ограничениями. При подключение флешки, которая раньше не втыкалась в комп. параметр реестра меняется на 3 и уже все флешки начинают прекрасно работать. Мышь, принтер, сканер и т.п. будут работать, UsbStor отвечает за работу Usb-накопителей, собственно storage так и переводится.

Выше описанная мною проблема все еще актуальна)

Спасибо... хороший аргумент. А реального незамудрённого решения проблемы как смотрю так и не нашлось? А если вообще ветку usbstor грохнуть? Тогда что? Кстати у меня мысль появилась. Есть же наверно файл который при этом обновляется, может его сделать "только чтение"? Пробовал с USBSTOR.SYS не вышло(usbstor в реестре присвоил 4, а этот файл USBSTOR.SYS вообще грохнул думал обновится список побывавших флешек, вставляю свою, она уже там бывала, и опять звук ошибки. Немогу найти новую флешку чтоб проверить ваши слова ). Так вот какой файл отвечает за хранение информации о флешках ранее установленных? Может его и закрыть на запись?

Добавлено:
Disk Drive Administrator оцените, как я говорил кто поопытней.
http://mskd.ru/?id.129639

Вообщем она блокирует доступ к определённому диску, скрывает его, отключает авторан. Я скрыл, да заблокироввал все диски кроме C и D. Пробовал заблокировать и снести прогу, эфект от её действия остался, пробовал зайти под др пользователем, и тоже не получил доступ, заходил не под админом так вообще прогу запустить не смог. На самой проге можно установить пороль. Плохо что когда её снести пытаешься пороль не спрашивают, хотя какая разница её действие всё равно остается.

Жду мнений!

Каспер воркстэйшн 6, 2 релиз...
контроль доступа - контроль устройств...
и -> параметры - включить защиту паролем...

самый простой способ вроде как. у остальных антивирусов что-то похожее тоже должно быть.

http://support.microsoft.com/kb/823732 делаем как в статье, и всё 100% работает.

вопрос в другом-как отключить usb модемы??

Советую попробовать программку "Filecontrol 1.4". Вот официальный сайт разработчика - filecontrol.ru. Программка конечно не бесплатная, можно поюзать триал-версию, чтобы определиться, подойдет или нет. Есть версия и более новая, но есть маленький нюанс. В версии 1.4 можно заморозить триальный период программой "HallOfTheMontainKing" и пользоваться сколько угодно, однако есть вероятность сбоев в работе программы. Описывать прогу не буду, все подробно можно узнать на сайте. Лично мне прога понравилась. Очень эффективно использовал где-то полгода. Сейчас снёс и поставил версию 2.1, пока пробную. Есть явные улучшения и если будет работать без косяков, то скорее всего будем покупать - для предприятия деньги небольшие.

seedov
Попробуйте бесплатную http://www.alnichas.info/adl_ru.html

Столкнулся с таким компом: В нём отключено USB(для флешек) и CD-Rom. Принтер на USB он видит. Залазил и в реестр и ГПО и атрибуты файлов в system32\driver.... короче не понятно. везде стоит нормал, но их не хочет он запускать, в BIOSе тоже самое - хорошо, всё открыто. Где ещё может быть?

Цитата:

Зачем всякие девайслокеры и тд? Кто "поопытней" опробывал отпишитесь просьба.

метод рабочий, проверено, отключает только флешки, остальные USB-девайсы работают
но есть минус: отключается для всех, без возможности оставить флешки какой-либо группе пользователей

вот для тех кому эти минус принципиален и нужны девайслокеры

Все это конечно хорошо и прекрастно даже, политики на уровне ГПО применяются нормально, не на всех компах даже, но это попровимо скриптами. Проблема в другом! Все, обсолютно все сотки определяются и заряжаются даже если ни флеха, ни даже юсби винт не определяется и залочены! Соовественно есть возможность доступа на телефон с SD картой и вытаскивания инфы из конторы! Короче АХТУНГ! Знатоки помогайте...... сторонний софт работает, такой как девайс лок, но это не вариант............