Нам нужен способ запретить пользователям копировать что-либо на USB-накопители и с них, если они не являются системным администратором. Что можно сделать, чтобы удалить этот доступ в целях безопасности.
В базе знаний Microsoft есть статья по этой самой проблеме (KB555324). Вам необходимо создать настраиваемый ADM групповой политики. О'Рейли легче найти запись по адресу:
Отключение USB-накопителя с помощью групповой политики | WindowsDevCenter.
Надеюсь это поможет.
Если вы работаете с Windows Vista и более поздними версиями, существуют параметры групповой политики, которые позволяют детально контролировать, какие USB-устройства разрешены, а какие нет. (Если вам нужно поддерживать WinXP, см. Другие ответы, перечисленные здесь.)
В Windows Vista или более поздней версии перейдите в редактор групповой политики и перейдите к: Конфигурация компьютера \ Административные шаблоны \ Система \ Установка устройства \ Ограничения установки устройства.
Там вы найдете варианты белого списка устройств из черного списка либо по конкретным идентификаторам устройства, либо по классу устройства. Также внизу есть очень важная политика, которая позволяет вам блокировать все, что не охвачено другими политиками.
Все, что вам нужно знать, это либо идентификатор оборудования устройства, либо руководство по классу устройства. Обе эти вещи можно найти в диспетчере устройств, если вы подключите устройство к машине.
Используя имеющиеся там политики, вы можете, например, разрешить использование всех мышей и клавиатур, разрешить определенную модель USB-сканера и заблокировать все остальное.
Другой вариант - использовать USBSecure. Это небольшой развертываемый скрипт, который считывает белый список USB-устройств из общей папки. Таким образом, вы можете явно разрешить устройства хранения USB для некоторых пользователей или разрешить устройства конкретных поставщиков (например, все USB-клавиатуры и мыши от logitech). ох, и это бесплатное ПО.
В Windows вы можете отключить драйвер USB-накопителя установив ключ реестра. Это можно настроить в объекте групповой политики и применить к ограниченному набору машин. Если хочешь позволять подмножество USB-устройств хранения данных, вам, вероятно, придется обратиться к стороннему продукту, на котором работает какой-то агент.
Эпоксидная смола отлично работает
Быстрым и грязным решением будет использование групповой политики, отключающей доступ к USB-устройствам, взгляните на следующая статья. Существуют также коммерческие продукты, которые могут выполнять то же самое с более высокой степенью защиты.
GPO отключит драйверы:
Все решения хороши, но вам также нужно подумать о процессе, позволяющем загружать данные с USB.
В данный момент я нахожусь в банке, и по умолчанию все USB-порт заблокированы GPO, который не загружает диск.
Проблема в том, что у них нет процесса, когда внешний консультант приходит для загрузки некоторых данных, это настоящая боль для передачи файла iso или любых документов, потому что, если вы не можете подключить USB-ключ, вы также не можете подключить ноутбук к сети.
Если вы заблокируете весь свой USB-накопитель, не забывайте, что вам все равно когда-нибудь понадобится способ загрузки данных с USB-накопителя, а 5 ГБ данных через Интернет / почту не всегда являются ответом.
Безопасность всегда имеет цену.
Я думаю, что лучшим решением является программа DeviseLock: http://www.devicelock.com/ Это действительно полезно и имеет огромный функционал.
MyUSBonly от компании AC Element и StopUSB от EverStrike также будут работать.
Оба они запрашивают пароль, если вы хотите подключить новое неизвестное USB-устройство.
Если честно, оба могут быть разработаны лучше, но, по крайней мере, они справляются со своей задачей.