Назад | Перейти на главную страницу

Стратегия блокировки съемных носителей для сетей Windows XP

В Windows Vista и более поздних версиях есть параметр групповой политики для блокировки съемных носителей, таких как флэш-накопители USB и мобильные телефоны USB.

Однако в Windows XP такой настройки нет (или я не могу ее найти), поэтому мне нужна альтернативная стратегия для реализации общесетевой блокировки съемных носителей для всех сеансов учетных записей пользователей без прав администратора.

Есть ли независимое программное обеспечение, которое я могу использовать, или параметр реестра, который автоматически активируется для новых пользователей? (Наши учетные записи пользователей находятся в домене через Windows Server 2008, любой пользователь может войти на любой ПК)

http://support.microsoft.com/kb/823732

если вы не можете заставить это работать, попробуйте отключить контроллер usb в BIOS!

убедитесь, что вы используете разъем типа ps2 для мыши и клавиатуры.

также физическая профилактика http://www.lindy.co.uk/usb-port-blocker-pack-of-4-colour-code-blue/40452.html

Я не нашел универсальной стратегии для установки этого на компьютерах домена. Вам обязательно придется взглянуть на разные методы (возможно, даже придется попробовать несколько из них самостоятельно)и посмотрите, что лучше всего подойдет вашим пользователям (и вам). Microsoft предлагает модификации реестра, но не упоминает способы реализации этого с помощью более эффективных методов, таких как GPO и / или сценарии запуска / входа в систему.

Это сообщение в блоге Ханнеса Шмидта Подробнее об автоматизированном методе ограничения использования USB-накопителей с помощью объекта групповой политики с шаблоном ADM (предоставленным им). Он направлен на ограничение запуска процесса Plug-n-Play (PNP) в течение USBSTOR (Доступ к USBSTOR.INF и USBSTORE.PNF). Что мне нравится в этом подходе, так это то, что он по-прежнему дает 'разрешается' доступ пользователей к использованию USB-устройств хранения данных (например, администраторов и специальных групп), им нужно будет выполнить лишь пару дополнительных шагов.

Howto!

  1. В Active Directory - пользователи и компьютеры откройте существующий объект групповой политики или создайте новый и откройте его. Используйте параметры безопасности этого объекта групповой политики, чтобы указать, на какие компьютеры он влияет.
  2. В этом GPO перейдите в Конфигурация компьютера - Параметры Windows - Параметры безопасности - Файловая система и создайте новую запись (щелкните правой кнопкой мыши «Файловая система» и выберите «Добавить файл»). Укажите расположение USBSTOR.INF (обычно SystemRoot% \ Inf \ USBSTOR.INF)
  3. Измените настройки безопасности новой записи. Указанные здесь параметры безопасности будут применены к USBSTOR.INF каждого компьютера, к которому применяется объект групповой политики. Этот процесс не является аддитивным, что означает, что предыдущие настройки безопасности USBSTOR.INF будут перезаписаны теми, которые указаны в GPO. Поэтому рекомендуется предоставить полный контроль системным и локальным администраторам. Но в отличие от настроек безопасности USBSTOR.INF по умолчанию, вы не должны предоставлять какие-либо привилегии всем. Вам не нужно явно запрещать доступ - просто опустите запись для всех. При желании вы можете предоставить доступ для чтения определенной группе. Члены этой группы смогут использовать USB-накопители.
  4. Повторите два вышеуказанных шага для USBSTOR.PNF.
  5. Скачать USBSTOR.ADM.
  6. Вернувшись в GPO, щелкните правой кнопкой мыши «Административные шаблоны» в разделе «Конфигурация компьютера» и выберите «Добавить / удалить шаблоны». Нажмите «Добавить» и перейдите к расположению USBSTOR.ADM. Закройте диалог.
  7. Теперь у вас должна быть дополнительная запись «Службы и драйверы» в административных шаблонах. Нажмите здесь. Если он пуст, выберите «Просмотр» в меню и снимите флажок «Показать только политики». Снова щелкните Службы и драйверы в административных шаблонах. Теперь он должен отображать политику USB-накопителя. Дважды щелкните по нему, выберите «Включено» и выберите «Отключено» в раскрывающемся списке «Тип запуска». Опять же, политика должна быть включена, а тип запуска должен быть отключен.
  8. Закройте диалоговое окно, а также GPO и загрузите / перезагрузите одну из ваших рабочих станций. Убедитесь, что к этому компьютеру не подключено USB-накопитель. Войдите в систему с правами администратора и проверьте разрешения USBSTOR.INF и USBSTOR.PNF. Проверьте значение файла HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ UsbStor \ Start. Должно быть 4. Также нормально, если ключ UsbStor не существует вообще.
  9. На той же рабочей станции выйдите из системы и снова войдите в нее как пользователь, у которого не должно быть доступа к USB-накопителю. Подключите карту памяти USB или подобное устройство. Ничего не должно происходить. Извлеките карту памяти.
  10. Войдите в систему как пользователь, который должен иметь доступ к USB-накопителю, и выполните команду net start usbstor в командной оболочке или в меню Пуск - Выполнить перед подключением карты памяти. Карта памяти должна быть инициализирована и сопоставлена ​​с буквой диска. Если USBSTOR не запускается, это, вероятно, связано с тем, что карта памяти подключается к рабочей станции впервые, и в этом случае USBSTOR еще не установлен. Тем не менее, карта памяти должна быть инициализирована и сопоставлена ​​правильно, но вам необходимо перезагрузить компьютер, чтобы повторно применить административный шаблон, чтобы USBSTOR снова был отключен. Кроме того, вы можете отключить его вручную, загрузив и дважды щелкнув USBSTOR.REG а также выполнение net stop usbstor.
  11. Сообщите пользователям, имеющим доступ к USB-накопителю, что им необходимо выполнить команду net start usbstor, прежде чем они смогут подключить USB-накопитель.

Вы найдете множество советов по устранению неполадок, прочитав комментарии ниже. Статья Ханне.