включение \ отключение USB Storage для разных групп юзеров / Windows

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Windows [игнор отключен] [закрыт для гостей] / включение \ отключение USB Storage для разных групп юзеров

16 сообщений из 16, страница 1 из 1

включение \ отключение USB Storage для разных групп юзеров

#36626704

LelikBolek

Гость

Вроде уже изжеванная тема а не все получилось как, может че упустил ?

Задача: запретить использовать флэшки обычному юзеру и разрешить их для админа
Локальная машина, WinXP rus sp2 или sp3, без сети

Делаю как написано тут: http://support.microsoft.com/kb/823732/
1. для флэшек уже проинициализированных в системе, в реестре меняю значение ключа
запрет флэшек:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor] "Start"=dword:00000004
разрешение флэшек:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor] "Start"=dword:00000003
запихнул в reg файлы и вызываю их из батников которые соответственно прописаны в качестве сценария входа каждого пользователя. ЭТО ЧУДНО РАБОТАЕТ

2. для флэшек ранее не вставлявшихся комп:
для следующих файлов:
%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf

группе Пользователи: запрет
группе Администраторы: полный доступ
учетке SYSYTEM: запрет

в результате ни админ ни юзер не может опознать новую флэшку...
оставляю юзеру запрет на файлы а учетке system разрешаю их чтение и изменение - в результате И АДМИН И ЮЗЕР опознают новую флэху и чудно с ней работают (((

как это побороть ?
может можно как то давать права или забирать их на файлы при логине?

...

Рейтинг:

0 / 0

13.05.2010, 20:55

| Ответить | Цитировать | Написать

включение \ отключение USB Storage для разных групп юзеров

#36626727

С0ВЕСТЬ

Участник

Сообщения: 38 366

Рейтинг: 0 / 0

Рекомендую посмотреть в сторону таких программ:
FileControl, DeviceLock , Zlock, Port Locker.
Встроенными системными средствами придется долго и нудно. Эти программы намного упрощают и экономят время.

...

Рейтинг:

0 / 0

13.05.2010, 21:08

| Ответить | Цитировать | Написать

включение \ отключение USB Storage для разных групп юзеров

#36626737

k-nike

Участник

Откуда: Левый берег

Сообщения: 2 079

Рейтинг: 0 / 0

LelikBolek,

Может потому что Администратор входит в группу пользователи? Попробуйте лучше на конкретном пользователе или конкретной группе как написано в приведенной ссылке.

...

Рейтинг:

0 / 0

13.05.2010, 21:11

| Ответить | Цитировать | Написать

включение \ отключение USB Storage для разных групп юзеров

#36626740

LelikBolek

Гость

С0ВЕСТЬРекомендую посмотреть в сторону таких программ:
FileControl, DeviceLock , Zlock, Port Locker.
про DeviceLock читал и нравится, но пока задача стоит попытаться сделать своими силами.
осталось то вроде немного додумать..
а то начальство покупать софт не хочет, все как всегда: сделать надо но быстро и бесплатно (((

...

Рейтинг:

0 / 0

13.05.2010, 21:13

| Ответить | Цитировать | Написать

включение \ отключение USB Storage для разных групп юзеров

#36626747

LelikBolek

Гость

k-nikeLelikBolek,

Может потому что Администратор входит в группу пользователи? Попробуйте лучше на конкретном пользователе или конкретной группе как написано в приведенной ссылке.

Администратор - только в группе Администраторы
Юзер - только в группе Пользователи
это проверено и не раз

смущает что при логине под пользователем доступ в файлам
%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf
получается идет под учеткой System, т.к. запрет на эти файлы группе Пользователи никак не влияет... если для system Доступ есть - работает, если для system запрет то и всем запрет (и Админу тоже)
как так ?

...

Рейтинг:

0 / 0

13.05.2010, 21:16

| Ответить | Цитировать | Написать

включение \ отключение USB Storage для разных групп юзеров

#36626749

С0ВЕСТЬ

Участник

Сообщения: 38 366

Рейтинг: 0 / 0

LelikBolekС0ВЕСТЬРекомендую посмотреть в сторону таких программ:
FileControl, DeviceLock , Zlock, Port Locker.
про DeviceLock читал и нравится, но пока задача стоит попытаться сделать своими силами.
осталось то вроде немного додумать..
а то начальство покупать софт не хочет, все как всегда: сделать надо но быстро и бесплатно (((
ХР со встроенными средствами работает не очень.
Лучше раскрутить начальство, ведь вопрос стоит обо защите информации!!!

...

Рейтинг:

0 / 0

13.05.2010, 21:17

| Ответить | Цитировать | Написать

включение \ отключение USB Storage для разных групп юзеров

#36626750

LelikBolek

Гость

под "Администратор" имеется в виду не встроенная учетка Администратора, а отдельный юзер "Admin" входящий только в группу Администраторы

...

Рейтинг:

0 / 0

13.05.2010, 21:18

| Ответить | Цитировать | Написать

включение \ отключение USB Storage для разных групп юзеров

#36626753

LelikBolek

Гость

С0ВЕСТЬ
Лучше раскрутить начальство, ведь вопрос стоит обо защите информации!!!
я понимаю что это лучше.. оно пока не крутится, давайте не будем счас об этом.. и так мозоль больная ..

...

Рейтинг:

0 / 0

13.05.2010, 21:19

| Ответить | Цитировать | Написать

включение \ отключение USB Storage для разных групп юзеров

#36626761

С0ВЕСТЬ

Участник

Сообщения: 38 366

Рейтинг: 0 / 0

LelikBolekкак так ?
Кстати, для решения таковой проблемы мне на ум давно пришла мысль - написать свою программулину, скачал книженцию по работе с USB-драйвами. Но там столько материала было много, а у меня времени мало, что было решено перейти на программу стороннего производителя. Через некоторое время это никому и не стало нужным, все запустилось :(
Короче, мне потом сэкономилось много времени.

...

Рейтинг:

0 / 0

13.05.2010, 21:21

| Ответить | Цитировать | Написать

включение \ отключение USB Storage для разных групп юзеров

#36626762

С0ВЕСТЬ

Участник

Сообщения: 38 366

Рейтинг: 0 / 0

LelikBolekС0ВЕСТЬ
Лучше раскрутить начальство, ведь вопрос стоит обо защите информации!!!
я понимаю что это лучше.. оно пока не крутится, давайте не будем счас об этом.. и так мозоль больная ..
Хозяин барин (с)
Good luck.

...

Рейтинг:

0 / 0

13.05.2010, 21:22

| Ответить | Цитировать | Написать

включение \ отключение USB Storage для разных групп юзеров

#36626771

LelikBolek

Гость

вот еще нарыл:

Итак, по шагам (разумеется, нужно обладать правами локального администратора):
Win+R (аналог Пуск -> Выполнить), regedit.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR]. Этот ключ хранит информацию о всех когда-либо подключенных USB-носителях.
Даем себе полный доступ на USBSTOR (правая клавиша мыши -> Разрешения, отметить пункт Полный доступ у группы ВСЕ).
Удаляем все содержимое USBSTOR.
Подключаем одобренную фэшку, убеждаемся в том, что она определилась. Внутри USBSTOR должен появиться ключ типа Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07 (F5 для обновления списка).
Опять ПКМ на USBSTOR, Разрешения. Убираем Полный доступ у группы ВСЕ, право на чтение оставляем.
Те же самые права нужно назначить пользователю SYSTEM, но напрямую это сделать не получится. Сначала нужно нажать кнопку Дополнительно, убрать галку Наследовать от родительского обьекта…, в появившемся окне Безопасность сказать Копировать. После очередного нажатия на ОК права пользователя SYSTEM станут доступны для изменения.
Для закрепления эффекта нажимаем кнопку Дополнительно еще раз и отмечаем пункт Заменить разрешения для всех дочерних объектов… Подтверждаем выполнение.

Чего же мы добились в итоге?
Разрешенная флешка подключается и отключается без проблем. При попытке же несанкционированного подключения Windows определит устройство, но установить его не сможет

правильно ли я понимаю что запретив Юзеру доступ к ключу [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR]
я не дам ему проинициализировать новую флэшку.. при том что админ это сделать сможет.. (и это все при наличии прав на файлы Usbstor.pnf и Usbstor.inf для учеток system и юзер и админ) ?

...

Рейтинг:

0 / 0

13.05.2010, 21:27

| Ответить | Цитировать | Написать

включение \ отключение USB Storage для разных групп юзеров

#36626777

LelikBolek

Гость

но ведь если инициализация новой флэшки идет по system то запрет на изменение ключа
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR] для юзера ничего не даст т.к. он изменитя под учеткой system , а если для и system запретить изменение то и админ не определит новую флэху ?? ((((

...

Рейтинг:

0 / 0

13.05.2010, 21:32

| Ответить | Цитировать | Написать

включение \ отключение USB Storage для разных групп юзеров

#36626789

Relic Hunter

Участник

Откуда: AB

Сообщения: 7 268

Рейтинг: 0 / 0

LelikBolek,

Мож службу, которая отвечает за подключение USB, перебить под Админа? А?

...

Рейтинг:

0 / 0

13.05.2010, 21:35

| Ответить | Цитировать | Написать

включение \ отключение USB Storage для разных групп юзеров

#36627024

LelikBolek

Гость

Relic Hunter
Мож службу, которая отвечает за подключение USB, перебить под Админа? А?
Прошерстил свои службы на компе, из подходящих по смыслу нашел только с названием "Съемные ЗУ".
Но она у меня вообще остановлена, а флэхи работают без проблем. А ведь скрытых служб вроде не бывает. Так что или смотрю в экран и вижу фиган вместо нужной службы или это не тот путь ...

...

Рейтинг:

0 / 0

14.05.2010, 00:41

| Ответить | Цитировать | Написать

включение \ отключение USB Storage для разных групп юзеров

#36627144

vizit73

Участник

Откуда: Украина

Сообщения: 390

Рейтинг: 0 / 0

LelikBolekно ведь если инициализация новой флэшки идет по system то запрет на изменение ключа
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR] для юзера ничего не даст т.к. он изменитя под учеткой system , а если для и system запретить изменение то и админ не определит новую флэху ?? ((((

Так и нефиг юзеру флехи определять. Это привилегия Администратора.
Ну для начала в том что нарыто желательно для 100% работоспособности изложенной концепции надо дополнительно отобрать права "Полный доступ" у учётки SYSTEM на ветку [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB] иначе со второго подключения флешка будет работоспособна. А данная концепция даёт возможность подключения только заранее оговоренных флешек к компу под любым пользователем. Чем плохо? Если админу надо определить новую флешку, надо провернуть: возврат разрешений на ветки реестра -> подключение новой флешки -> запрет разрешений на ветки реестра, файлы %SystemRoot%\Inf\Usbstor.pnf,
%SystemRoot%\Inf\Usbstor.inf вообще трогать неприходится.
Кстати, отобрав права на ветку [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB] пользователь вообще нифига по USB не подключит нового ни принтера, ни фотокамеры, ни телефона... ибо НЕФИГ )

...

Рейтинг:

0 / 0

14.05.2010, 08:06

| Ответить | Цитировать | Написать

включение \ отключение USB Storage для разных групп юзеров

#36627210

Толстый Лысый Админ

Участник

Откуда: откуда все беруцца....из Родины

Сообщения: 246

Рейтинг: 0 / 0

антивирь каспера - контроль устройств

...

Рейтинг:

0 / 0

14.05.2010, 09:06

| Ответить | Цитировать | Написать

16 сообщений из 16, страница 1 из 1

Форумы / Windows [игнор отключен] [закрыт для гостей] / включение \ отключение USB Storage для разных групп юзеров

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=26&tid=1499874]:	0ms
get settings:	10ms
get forum list:	14ms
check forum access:	3ms
check topic access:	3ms
track hit:	180ms
get topic data:	11ms
get forum data:	2ms
get page messages:	59ms
get tp. blocked users:	2ms
others:	247ms

total:	531ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы