Реклама
Запрет использования флешек или первый шаг к паранойе

Желание некоторых организаций защититься от "слива" информации на сторону вполне понятно. Существую специализированные технические средства контроля утечек информации (DLP-системы). Но о них мы говорить не будем - это уже совсем для параноиков. У нас все будет проще.

Возможно я сейчас кого-то расстрою, но абсолютно безопасную систему построить не удастся. Если задаться такой целью, то всегда найдется способ обойти любые технические ограничения. Ведь всё в конечном счете упирается в конкретного человека, а тут система бессильна.

Попробуем все-таки немного усложнить жизнь потенциальным шпионам и Павликам Морозовым (кстати, если они у вас до сих пор живут под администраторскими правами, то с этим лучше завязывать).

Полный запрет на использование USB накопителей

Радикальный метод (отключение USB в BIOS компьютера с последующим запароливанием этого самого BIOS) рассматривать не будем. Тут скажем привет не только флешкам, но и мышкам с USB клавиатурами, локальным принтерам и прочей необходимой дребедени.

Будем действовать теми средствами, которые нам предоставляет система. Открываем редактор реестра и следуем в ветку:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR

Нас интересует значение параметра Start, где:

3 - стандартный режим, без блокировок (по умолчанию)

4 - блокировка USB накопителей

Выставляем нужное значение. Для применения изменений необходимо перезагрузить компьютер. Если установлена блокировка, никакие USD накопители (флешки, внежние HDD или карты памяти) не будут опознаваться компьютером.

Установка защиты записи на флешку

На мой взгляд, этот вариант интереснее - почти как в фильме "...всех впускать - никого не выпускать..." (Москва слезам не верит). Другими словами мы запрещаем только запись на USB-накопители, что собственно и нужно. Заходим в реестр:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Внимание! Изначально раздела StorageDevicePolicies в резделе Control нет (бывают исключения) и его необходимо создать. Теперь в разделе StorageDevicePolicies создаем параметр WriteProtect типа DWORD.

Значении параметра WriteProtect:

1 - режим чтения (readonly)

0 - режим записи

Ставим нужное значение и подключаем флешку. В данном случае компьютер можно не перезагружать. При попытке записать что-либо на флешку (WriteProtect=1) будет выведено сообщение что диск защищен от записи.

Пожалуй, на этом можно было закончить рассказ, но оставалось чувство, что чего-то не хватает ... Для полного счастья не хватало запрета на запуск редактора реестра, чтобы лишнего соблазна не было.

Запрещаем запуск редактора реестра

HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System

Нужно добавить ключ типа DWORD DisableRegistryTools со значением 1.

Запуск редактора реестра будет запрещен, однако останется возможность вносит изменения с помощью программного обеспечения сторонних разработчиков или с помощью REG-файла. Только никому об этом не рассказывайте ;)

 

Грабли и возможные проблемы

Microsoft ничего не может сделать нормально, так чтобы один раз настроить и больше не возвращаться к данному вопросу. Складывается ощущение, что разработчики Windows между собой не общаются и правая рука не знает что делает левая.

Забавная ситуация - оказалось, что при подключении новой флешки к компьютеру, которая на нем еще не использовалась, система благополучно снова изменяет ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor на исходный. И все USB-накопители снова прекрасно начинают работать... и плевать под чьими правами вы работаете на компьютере. Вот такая безопасность.

Предотвращение использования USB-устройств хранения данных - статья с сайта Microsoft по нашей теме.

Для окончательного (надеюсь больше сюрпризов не будет) решения проблемы запрета флешек, необходимо присвоить пользователю, группе или локальной учетной записи SYSTEM разрешение Запретить для следующих файлов:

%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf

Это рекомендует сама мелкомягкая компания, однако и тут не все гладко. Сам сделал несколько иначе - переименовал эти файлы, добавив перед расширением символ _ и запретил доступ пользователю system к указанной выше ветке реестра.

Напоследок привожу выдержку из статьи с сайта техподдержки.

(текст из статьи с сайта Microsoft)

Чтобы назначить пользователю или группе запрещающие разрешения на файлы Usbstor.pnf и Usbstor.inf, выполните следующие действия:

    1. Запустите проводник Windows и найдите папку %SystemRoot%\Inf.
    2. Щелкните правой кнопкой мыши по файлу Usbstor.pnf и выберите пунктСвойства.
    3. Перейдите на вкладку Безопасность.
    4. В списке Группы или пользователи выберите пользователя или группу, для которых необходимо установить разрешения Запретить.
    5. В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив элемента Полный доступ.

Примечание. Также добавьте в список Запретить учетную запись System.

  1. В списке Группы или пользователи выберите учетную запись SYSTEM.
  2. В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив элемента Полный доступ и нажмите кнопку ОК.
  3. Щелкните правой кнопкой мыши по файлу Usbstor.inf и выберите пунктСвойства.
  4. Перейдите на вкладку Безопасность.
  5. В списке Группы или пользователи выберите пользователя или группу, для которых необходимо установить разрешения Запретить.
  6. В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив элемента Полный доступ.
  7. В списке Группы или пользователи выберите учетную запись SYSTEM.
  8. В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив элемента Полный доступ и нажмите кнопку ОК.

источник


Подробнее
  • Просмотров: 18380
  • Комментариев: 1
Евгений17 мая 2016 13:22
спасибо за информацию
Добавить комментарий   
Ваше Имя:*
Ваш E-Mail:
b
i
u
s
|
left
center
right
|
emo
color
|
hide
quote
translit
Введите два слова (или цифры), показанных на изображении: *
Опрос
Как Вам Windows 10 ?
Очень понравилась
Так себе
Совсем не понравилась
Не устанавливал
Мне побарабану )
А я на Linux/Mac OS wink
Популярные новости

    Заметки пользователя Windows 7

    www.w7seven.ru 2011-2014
    Все материалы, собранные на сайте имеют своих авторов и принадлежат только им!
    Все материалы, находящиеся на сайте, найдены в сети интернет как свободно распространяемые.
    Администрация сайта не несёт ответственности за содержание материалов сайта.
      Яндекс.Метрика