Назад | Перейти на главную страницу

Автоматический механизм отключения USB-носителя + журнал попыток монтирования?

Для этого мне нужна помощь в сборке частей:

  1. Запустите сценарий или программу, отключающую USB-накопители.
  2. Записывайте все заблокированные устройства в журнал системных событий..
  3. Запустите второй сценарий или программу (или отмените запущенную программу с шага 1) и повторно включите запоминающие устройства USB.

(Мое приложение запускается на ПК в общедоступных лабораториях, чтобы создать «песочницу» с ограниченным доступом, в которой пользователь проходит тест. Мне нужно заблокировать USB-устройства хранения, чтобы предотвратить мошенничество)

Мои ограничения:

  1. Мое решение будет применено к общедоступным компьютерам, которые я не контролирую. Все, что требует перезагрузки, изменения BIOS или физического изменения компьютера, работать не будет.
  2. Я могу предположить, что решение будет выполняться от имени администратора, но бонусные баллы, если оно работает для неадминистратора.
  3. Беспокоился только о Windows XP прямо сейчас. Бонусные баллы за совместимость с Vista или Win7.

Частичные решения:

  1. Блокировать автоматический монтаж устройств через КБ 823732. Быстро и легко, но:

    • Я не получаю уведомления, когда устройство заблокировано. (Я хочу знать, пытается ли кто-нибудь обмануть, даже если он заблокирован)
    • В соответствии с Эта статья, если драйвер USB-накопителя еще не установлен, система Plug-N-Play установит его при первом использовании, перезаписав ключ реестра и разрешив доступ

  2. Отключить USB-накопитель с помощью групповой политики (КБ 555324).

    • Могу я сценарий применение этих политик к локальному компьютеру во время выполнения, без перезагрузки?
    • Насколько легко я могу вернуть политику в ее предыдущее состояние, когда закончу?
    • Будут ли заблокированы устройства отображаться в журнале безопасности?

  3. Измените ACL для USBSTOR.SYS, как показано в этом вопросе SF]4.

    • Если я откажу в правах на файл для текущего класса пользователей, сможет ли мой сценарий возврата вернуть права?
    • Если я откажу в правах на файл, как мне убедиться, что все попытки монтирования устройства записываются в журнал безопасности?

Я открыт для решений в .NET, использования командных файлов или сценариев PowerShell.

(Примечание: это связано с мой аналогичный вопрос о переполнении стека. Если вы заботитесь о SO rep, не стесняйтесь отвечать и там)

для реализации групповой политики перезагрузка не требуется. Достаточно запустить gpupdate / force (дважды) на клиенте (например, используйте для этого psexec).

Если вы хотите отменить политику, просто отсоедините ее от ou и повторно запустите gpupdate / force на клиенте (снова с помощью psexec).

Если компьютеры не находятся в AD и вы не можете реализовать групповые политики, вы все равно можете получить те же результаты с помощью импорта регистров. Взгляните на шаблон adm, который вы будете использовать в AD, и импортируйте изменения реестра с помощью reg.exe и psexec. Другой вариант - использовать wpkg (http://wpkg.org), где у вас есть xml-описание действий по установке / удалению. Он отлично работает и ничего не стоит.