Заборона використання флешок або перший крок до параної

Відео: Як заборонити використання флешки через групові політики

Бажання деяких організацій захиститися від "зливу" інформації на сторону цілком зрозуміло. Існують спеціалізовані технічні засоби контролю витоків інформації (DLP-системи). Але про них ми говорити не будемо - це вже зовсім для параноїків. У нас все буде простіше.

Можливо я зараз когось розстрою, але абсолютно безпечну систему побудувати не вдасться. Якщо задатися такою метою, то завжди знайдеться спосіб обійти будь-які технічні обмеження. Адже все в кінцевому рахунку впирається в конкретної людини, а тут система безсила.

Спробуємо все-таки трохи ускладнити життя потенційним шпигунам і Павлика Морозова (до речі, якщо вони у вас до сих пір живуть під адміністраторськими правами, то з цим краще зав`язувати).

Повна заборона на використання USB накопичувачів

Радикальний метод (відключення USB в BIOS комп`ютера з подальшим запароліваніем цього самого BIOS) розглядати не будемо. Отут скажімо привіт не тільки флешка, але і мишкам з USB клавіатурами, локальним принтерів та іншої необхідної дурниці.

Будемо діяти тими засобами, які нам надає система. Відкриваємо редактор реєстру і слідуємо в гілку:

HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services USBSTOR

Нас цікавить значення параметра Start, де:

3 - стандартний режим, без блокувань (за замовчуванням)

4 - блокування USB накопичувачів

Виставляємо потрібне значення. Для застосування змін необхідно перезавантажити комп`ютер. Якщо встановлена блокування, ніякі USD накопичувачі (флешки, внежніе HDD або карти пам`яті) ні опізнаватися комп`ютером.

Установка захисту записи на флешку



На мій погляд, цей варіант цікавіше - майже як у фільмі "... всіх впускати - нікого не випускати ..." (Москва сльозам не вірить). Іншими словами ми забороняємо тільки запис на USB-накопичувачі, що власне і потрібно. Заходимо до реєстру:

HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control

Увага! спочатку розділу StorageDevicePolicies в резделе Control немає (бувають винятки) і його необхідно створити. Тепер в розділі StorageDevicePolicies створюємо параметр WriteProtect типу DWORD.

Значенні параметра WriteProtect:

1 - режим читання (readonly)

0 - режим запису

Ставимо потрібне значення і підключаємо флешку. В даному випадку комп`ютер годі й перезавантажувати. При спробі записати що-небудь на флешку (WriteProtect = 1) буде виведено повідомлення що диск захищений від запису.

Мабуть, на цьому можна було закінчити розповідь, але залишалося відчуття, що чогось не вистачає ... Для повного щастя не вистачало заборони на запуск редактора реєстру, щоб зайвого спокуси не було.

Забороняємо запуск відновлення та редагування реєстру

HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVerson Policies System

Потрібно додати ключ типу DWORD DisableRegistryTools зі значенням 1.

Запуск редактора реєстру буде заборонений, проте залишиться можливість вносить зміни за допомогою програмного забезпечення сторонніх розробників або за допомогою REG-файлу. Тільки нікому про це не розповідайте -)

Відео: Захист флешки від вірусів, заборона запису autorun файлів на флешку, вимкнення автозапуску флешок

Microsoft нічого не може зробити нормально, так щоб один раз налаштувати і більше не повертатися до цього питання. Складається відчуття, що розробники Windows між собою не спілкуються і права рука не знає що робить ліва.

Забавна ситуація - виявилося, що при підключенні нової флешки до комп`ютера, яка на ньому ще не використовувалася, система благополучно знову змінює ключ реєстру HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services UsbStor на вихідний. І все USB-накопичувачі знову прекрасно розпочинають працювати ... і плювати під чиїми правами ви працюєте на комп`ютері. Ось така безпеку.

Запобігання використання USB-пристроїв зберігання даних - стаття з сайту Microsoft з нашої теми.

Для остаточного (сподіваюся більше сюрпризів не буде) вирішення проблеми заборони флешок, необхідно присвоїти користувачу, групі або локального облікового запису SYSTEM дозвіл заборонити для наступних файлів:

% SystemRoot% Inf Usbstor.pnf% SystemRoot% Inf Usbstor.inf

Це рекомендує сама дрібном`який компанія, однак і тут не все гладко. Сам зробив трохи інакше - перейменував ці файли, додавши перед розширенням символ _ і заборонив доступ користувачеві system до зазначеної вище гілці реєстру.

Наостанок наводжу витяг зі статті з сайту техпідтримки.

Щоб призначити користувачу або групі що забороняють дозволу на файли Usbstor.pnf і Usbstor.inf, виконайте наступні дії:

  1. Запустіть провідник Windows і знайдіть папку% SystemRoot% Inf.
  2. Клацніть правою кнопкою миші по файлу Usbstor.pnf і виберіть пунктвластивості.
  3. Перейдіть на вкладку Безпека.
  4. В списку Групи або користувачі виберіть користувача або групу, для яких необхідно встановити дозволу заборонити.
  5. В списку Дозволи для користувач або імя_группи встановіть прапорець заборонити навпаки елемента Повний доступ.

Примітка. Також додайте в список заборонити обліковий запис System.

  1. В списку Групи або користувачі виберіть обліковий запис SYSTEM.
  2. В списку дозволу для користувач або імя_группи встановіть прапорець заборонити навпаки елемента Повний доступ і натисніть кнопку ОК.
  3. Клацніть правою кнопкою миші по файлу Usbstor.inf і виберіть пунктвластивості.
  4. Перейдіть на вкладку Безпека.
  5. В списку Групи або користувачі виберіть користувача або групу, для яких необхідно встановити дозволу заборонити.
  6. В списку Дозволи для користувач або імя_группи встановіть прапорець заборонити навпаки елемента Повний доступ.
  7. В списку Групи або користувачі виберіть обліковий запис SYSTEM.
  8. В списку Дозволи для користувач або імя_группи встановіть прапорець заборонити навпаки елемента Повний доступ і натисніть кнопку ОК.
Поділися в соц мережах:
Cхоже
Налаштовуємо windows за допомогою реєстру.Налаштовуємо windows за допомогою реєстру.
Шляхи відключення облікового запису користувача uac в windows vista.Шляхи відключення облікового запису користувача uac в windows vista.
Запам`ятати мене з цього в windows xp і vista.Запам`ятати мене з цього в windows xp і vista.
Показати обліковий запис адміністратора в windows xp.Показати обліковий запис адміністратора в windows xp.
Використання групових політик для заборони запису на usb диски в windows xp.Використання групових політик для заборони запису на usb диски в windows xp.
Видалення windows 7 без втрати даних.Видалення windows 7 без втрати даних.
Як відключити або включити диспетчер задач windows.Як відключити або включити диспетчер задач windows.
Запобігання в windows 7 від видалення кешу ескізів.Запобігання в windows 7 від видалення кешу ескізів.
Як додати папку з висновком списку в windows xp.Як додати папку з висновком списку в windows xp.
Як відключити uac в windows 7.Як відключити uac в windows 7.
Ще кілька способів відключити uac в windows 7Ще кілька способів відключити uac в windows 7
Як поміняти фоновий малюнок робочого столу в windows 7 starter?Як поміняти фоновий малюнок робочого столу в windows 7 starter?
Як заборонити запуск програм - watchman 8.2Як заборонити запуск програм - watchman 8.2
Заборона програмі доступ в інтернет на windows 7Заборона програмі доступ в інтернет на windows 7
Як змусити працювати жорсткий диск швидше? Як включити ahci режим під windows7?Як змусити працювати жорсткий диск швидше? Як включити ahci режим під windows7?
Як видалити помилку slbcsp.dll.Як видалити помилку slbcsp.dll.
Як зняти з флешки захист від запису: покрокова інструкціяЯк зняти з флешки захист від запису: покрокова інструкція
Як отримати повний доступ до розділу реєстру і повернути все на свої місцяЯк отримати повний доступ до розділу реєстру і повернути все на свої місця
Проблеми з диспетчером пристроїв.Проблеми з диспетчером пристроїв.
Редагування реєстру заборонено адміністратором системиРедагування реєстру заборонено адміністратором системи

Увага, тільки СЬОГОДНІ!