» блокировка USB флэш

Задача: закрыть локальный компьютер от обмена информацией (флэш, сд, флоппи, и т.д.) оставив полный доступ только к 1 устройству (конкретной usb флэш)

Что хотелось бы видеть: вставляю флэшку - не определяется\нет доступа.
Вставляю РАЗРЕШЕННУЮ флэшку - могу писать\читать.

Проблемы в блокировке флопаря и сд не возникают. По ним информация не приходит.

Решение желательно с использованием OpenSource\FreeWare софта, хотя с большим удовольствием рассмотрю ВСЕ варианты.

На крайний случай рассматривается вариант с ограничением пользователя в правах установки железа; последующая установка валидной флэшки.
Минусы данного решения - если купят такую же флэшку все насмарку.

смотреть в сторону DeviceLock

Zlock

А виндовыми средствами нельзя флешки побороть? (если не стоит задачи чтоб работала одна единственная - нада все отрубить..)

можно даже проще отруби usb в bois и бутет тебе счастье

групповыми политиками можно запретить использование флэшек (именно флэшки, мышки и клавы и при этом будут работать )

как если не секрет, где эта пункт находится?

andrey753
Vista может ограничивать так, как тебе нужно без дополнительного софта.

В ХР тоже можно: в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR параметр Start поставь = 4 Флешки работать не будут, а принтера и прочее - да. Юзер к этой ветке вжизни не доберется, а тебе для включения флеши достаточно запустить рег-файл.

andrejvb
Чуть внимательнее читаем первый пост:

Цитата:

оставив полный доступ только к 1 устройству (конкретной usb флэш)

FreemanRU

Цитата:

На крайний случай рассматривается вариант с ограничением пользователя в правах установки железа; последующая установка валидной флэшки.

Комментарии?

В ХР тоже можно: в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR параметр Start поставь = 4 Флешки работать не будут, а принтера и прочее - да. Юзер к этой ветке вжизни не доберется, а тебе для включения флеши достаточно запустить рег-файл.

тока что проверил после внесения изменений реестр флэшка работает

Ты её сначала отмонтируй, а потом вноси изменения. Они запрещают старт драйвера USB Storage, но не останавливают его. Может не работать, если в компе стоит железный карт-ридер или на нек. мамах с NVidia и SATA - там HDD видится как съёмное устройство

Цитата:

Может не работать, если в компе стоит железный карт-ридер или на нек. мамах с NVidia и SATA - там HDD видится как съёмное устройство

похоже мой вариант , но мать у меня intel, картридер отсутствует , 4 sata + 2 ide порта, таким образом на современных материнках этот метод не работает ?

andrey753
Посмотри в Диспетчере устройств, USB, виден ли USB Storage Device. Если виден даже без флэшки - тебе не повезло, какое-то другое железо вызывает его старт. Если не виден - должно работать. Либо что-то накручено в параметрах старта служб и драйверов. Для начала, проверь на аналогичной машине. Потом - отлови, какой драйвер стартует при втыкании флэшки и запрети его старт. Там делов на 15 мин

ок попробую помучить ток сёдня уже врятли получиться, отпишусь после праздника!

VovaMozg
а можно подробнее пожалуйста как групповыми политиками запретить обычному юзеру пользоватса флешками? (усб - мышки и принтер при этом должны работать..)
чтобы флешку можно было тока под админом юзать....

mitkas делаешь свой adm шаблон (просто текстовый фал с расширением adm)

Цитата:

CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"

и прикручиваешь её в групповыхз политиках к какой группе нужно.

В этом шаблоне есть ещё возможность отключения других устройств...

Эта политака запретит обычному пользователю, или наоборот разрешит только админу флеши и пр, скажу проще к какой группе прикручивать? И еще вопрос, для висты тоже прокатит?

Для висты не пробовал. Там надо новые АДСИ ставить (если я не ошибаюсь). Енту адм прикручиваешь к группе. Там появится новая вкладка. В ней можно поставить: разрешить или запретить. Прикрчивай к группе юзеров.

andrejvb

Цитата:

Комментарии?

На самом деле имелось в виду не то что Вы предложили. Ваша идея не совсем подходит, т.к. у самого пользователя и должна быть возможность запускать эту валидную флэшку при наличии рег. файла он сможет разблокировать любой накопитель.
Про "...ограничение прав на уст-ку железа..." имелся ввиду такой вариант:
1) пользователь на компьютере имеет ограниченные права (нет возможности устанавливать новое оборудование)
2)убиваются драйвера на usb флэш
3)под админом устанавливается валидная флэшка
4)пользователь пытается вставить свою - невозможно, т.к. нет прав на установку оборудования; вставляет валидную - т.к. она установлена, то открывается...

в общем рассмотрев варианты склоняюсь к платным решениям видимо придется пробно чегонить купить и потестировать. Рассчитывал найти что-нить бесплатное , но видимо не тот сегмент рынка

Можно проще.
В реестре удаляешь ключи в папке [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
Один раз втыкаешь флешку. В папке USBSTOR появляется папка этой конкретной флешки типа: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_&Prod_Silicon-Power&Rev_PMAP\E678150056A8&0]

Закрываешь доступ пользователям и системе к этой папке и к файлам c:\WINDOWS\inf\usbstor.*. (Хотя к файлам можно и не закрывать)

Все. Теперь эта конкретная флешка работает, работают мышь, клава, принтер, сканер. Все остальные USB накопители не работают.

Security guard v 3.3 Vista
Совместимость XP, Vista. На русском.
Запрет или разрешение, нет избирательности для авторизованных носителей. А так же можно запретить запуск любых программ, доступ к любым разделам и пр.
Офсайт
USB Lock Standard
Крутая прога. Можно разрешить только авторизованные флешки. Процесс не убивается, прога не удаляется без пароля.
Офсайт
В Варезнике есть темы по обеим.

Аналогичная ситуация... Нужно разрешить одну флешку (в идеале - ещё и фильтр для типов файлов...), остальные запретить...
Буду пробовать USB Lock Standard...

Aydahar
получилось?

Использую adm шаблон (просто текстовый фал с расширением adm) чтобы запретить пользователям работать с флеш. Но, это запрещение распространяется на всех пользователей данного компьютера, включая администратора. Я правильно понимаю, что с помощью групповых политик windows можно либо всем разрешить использовать флеш либо никому?

Добавлено:
Использую adm шаблон (просто текстовый фал с расширением adm) чтобы запретить пользователям работать с флеш. Но, это запрещение распространяется на всех пользователей данного компьютера, включая администратора. Я правильно понимаю, что с помощью групповых политик windows можно либо всем разрешить использовать флеш либо никому?

KonstLD

Цитата:

Можно проще.
В реестре удаляешь ключи в папке [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
Один раз втыкаешь флешку. В папке USBSTOR появляется папка этой конкретной флешки типа: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_&Prod_Silicon-Power&Rev_PMAP\E678150056A8&0]

Закрываешь доступ пользователям и системе к этой папке и к файлам c:\WINDOWS\inf\usbstor.*. (Хотя к файлам можно и не закрывать)

Все. Теперь эта конкретная флешка работает, работают мышь, клава, принтер, сканер. Все остальные USB накопители не работают.

Не рекоминдую использовать, так как это работает только под правами администратора, под пользователем флешки будут подключатся

Отличное решение www.endpointprotector.com позволяет доступ только определённым устройствам и контролирует всё происходящее: какие файлы были копированны или удаленны и каким пользователем.

у меня в конторе работает Symantec endpoint protection, там есть модуль "управление приложениями и устройствами" можно на уровне политик запретить или разрешить целый класс устройств, например USB, bluetooth или конкретное устройство из класса, в пределах групп компьютеров или пользователей.

И все рекомендации не по теме...

Человек интересовался вопросом не о запрете флеш как класса... Это и Касперский умеет... Необходимо запретить все, кроме конкретной! А вот тут уже проблема...

Можно запретить все, а разрешить конкретные через групповые политики AD 2008 R2. Но вот незадача... Такое разрешение действует на уровне UID девайса. А наши добрые друзья китайца выпускают партию под одним UID. Соответственно, если на предприятии была закуплена целая партия, то разрешив одну - разрешаем все!