Tomsk Sysadmins Forum

Windows => Администрирование => Topic started by: Diver on January 18, 2007, 15:17:24

Title: Запретить USB
Post by: Diver on January 18, 2007, 15:17:24

Возникла необходимость запретить конкретному пользователю на компе использовать флэшку. Всем же другим можно - поэтому не советуйте в БИОСе отрубить usb. Так вот, вроде есть програмки позволяющие это делать. Никто не помнит таких? А может вообще можно через политики это запретить? Подскажите плиз...

Title: Запретить USB
Post by: never hood on January 18, 2007, 15:27:10

Quote from: Diver

Возникла необходимость запретить конкретному пользователю на компе использовать флэшку. Всем же другим можно - поэтому не советуйте в БИОСе отрубить usb. Так вот, вроде есть програмки позволяющие это делать. Никто не помнит таких? А может вообще можно через политики это запретить? Подскажите плиз...

DeviceLock этим занимался. Для выборочной блокировки политик, вроде, не хватает.
У GFI есть подобная прога, взаимодействует с AD для выборочного блокирования.
Google "lock USB access" тебе в помощь.

Title: Запретить USB
Post by: visual on January 18, 2007, 15:38:24

Quote from: Diver

А может вообще можно через политики это запретить? Подскажите плиз...

да, можно через групповые политики
How can I prevent users from using USB removable disks (USB flash drives)? (http://www.petri.co.il/disable_usb_disks.htm)

Title: Запретить USB
Post by: never hood on January 18, 2007, 15:51:46

Quote from: visual

да, можно через групповые политики
How can I prevent users from using USB removable disks (USB flash drives)? (http://www.petri.co.il/disable_usb_disks.htm)

Судя по статье, те девайсы, которые подключались ранее будут и дальше работать, поскольку политика будет распространяться только на неподключавшиеся ранее устройства.
Тот ли это случай?
Как я понимаю, нужно прекратить использование флэшки, которую юзер уже пользует или пользовал.
Предлагаю проапгрейдить ему машину!  

Title: Запретить USB
Post by: visual on January 18, 2007, 17:31:31

Quote from: never hood

Как я понимаю, нужно прекратить использование флэшки, которую юзер уже пользует или пользовал.

если нужно запретить флешку, которую уже успели поюзать, идем в Device Manager - Disk drivers - выбираем там flash-ку и делаем ей disable. либо удалить как устройство и применить групповую политику. учите матчасть уважаемый.

Title: Запретить USB
Post by: never hood on January 18, 2007, 21:48:37

Quote from: visual

если нужно запретить флешку, которую уже успели поюзать, идем в Device Manager - Disk drivers - выбираем там flash-ку и делаем ей disable. либо удалить как устройство и применить групповую политику. учите матчасть уважаемый.

уважаемый, нельзя ли подробнее...
условия: юзер пользовал флешку ранее, сейчас ее нет в компе, нужно запретить политикой.
для подключенной ваш рецепт верен, но слишком уж наивная ситуация получается - приходишь к нарушителю режима конфиденциальности, требуешь его воткнуть флешку и демонстративно ее дизейблишь... А если их у него не одна?! И все он уже подключал?
Я, конечно, не против что такую политику надо делать сразу, пока машина еще "чиста", но... это идеальный вариант.

Title: Запретить USB
Post by: visual on January 19, 2007, 10:30:00

Quote from: never hood

уважаемый, нельзя ли подробнее...
условия: юзер пользовал флешку ранее, сейчас ее нет в компе, нужно запретить политикой.

легко. только что на стендовой машине удалил все ранее использованные flash-ки, хотя их всех в наличии у меня естессно нет. накатил политику, и ни одна из flash-ек, которые есть под рукой, больше не включается. все это можно сделать не подходя к рабочей станции.

Quote from: never hood

для подключенной ваш рецепт верен, но слишком уж наивная ситуация получается - приходишь к нарушителю режима конфиденциальности, требуешь его воткнуть флешку и демонстративно ее дизейблишь... А если их у него не одна?! И все он уже подключал?

если нужно отключить за явные нарушения, то не вижу ничего плохого в демонстративном отключении. а какие были использованы flash-ки, очень легко узнать.

Quote from: never hood

Я, конечно, не против что такую политику надо делать сразу, пока машина еще "чиста", но... это идеальный вариант.

машину нарушителя можно и "зачистить", если на то пошло.

Title: Запретить USB
Post by: never hood on January 19, 2007, 11:30:42

Quote from: visual

легко.

впечатляет... еще бы говоря А ты бы говорил Б, иначе помощь из твоих рук - ближе к пытке...

Title: Запретить USB
Post by: visual on January 19, 2007, 15:29:40

Quote from: never hood

впечатляет... еще бы говоря А ты бы говорил Б, иначе помощь из твоих рук - ближе к пытке...

ok, подарю подсказку. нужно вычистить ветку HKLM\System\CurrentControlSet\Enum\USBSTOR
как это сделать надеюсь не надо рассказывать?

Title: Запретить USB
Post by: never hood on January 19, 2007, 16:59:07

Quote from: visual

ok, подарю подсказку. нужно вычистить ветку HKLM\System\CurrentControlSet\Enum\USBSTOR
как это сделать надеюсь не надо рассказывать?

Нет, спасибо! Вы так великодушны! Впрочем по имени девайса я уже и сам нашел...
Все равно спасибо! Ваша помошь была очень своевременной...

Title: Запретить USB
Post by: Diver on January 19, 2007, 22:01:32

Из-за чего грызлись непонятно

Title: Запретить USB
Post by: sie on January 21, 2007, 19:08:37

Quote from: Diver

Из-за чего грызлись непонятно

Наверное, действовали по принципу "в споре рождается истина"

Title: Запретить USB
Post by: Safir on June 09, 2007, 10:23:46

Quote from: sie

Наверное, действовали по принципу "в споре рождается истина"

Ага, поспорили, родили и успокоились .