Вибіркове підключення USB-накопичувачів у Windows

Якось на підприємстві було поставлено завдання: обмежити використання usb-накопичувачів (флешки, зовнішні жорсткі диски та інші пристрої) на комп'ютерах користувачів, з використанням "білих списків", тобто. схвалені накопичувачі можна використовувати - всі інші не можна. Причому зробити це "засобами", без додаткових грошових вкладень.

Windows

В інтернеті було знайдено безліч статей з цієї теми, в результаті їх аналізу народилося рішення (дякую користувачеві nik за допомогу в пошуках).

Коли ви підключаєте пристрій накопичення до usb-порту, система заносить інформацію про нього у гілку реєстру HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR .

usb-накопичувачів

Робить вона це від імені користувачаsystem. Відповідно якщо заборонити створювати користувачевіsystem підрозділи в USBSTOR, то нові пристрої хоч і визначаться, але працювати не будуть.

комп

Точніше, незважаючи на встановлену заборону, підрозділи все одно створяться, однак параметри будуть не всі і працювати пристрій не буде (порівняйте малюнок 1 і малюнок 3).

Windows

Тепер про те, як застосувати це практично. Розглянемо на конкретному прикладі. Ось що ми маємо:

  • Мережа Active Directory (доменdomain.local )
  • Окремий комп'ютер адміністратора, на якому користувачsystem має повні права на розділ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
  • Зовнішній жорсткий диск (hdd1 ) та 2 флешки (flash1 таflash2 )

Потрібно зробити так щоб всі usb-накопичувачі крімhdd1,flash1,flash2 не працювали на комп'ютерах домену. Отже, почнемо.

Отримаємо дані про дозволені usb-накопичувачі

На комп'ютері, де користувачsystem має повні права на гілку USBSTOR, підключимо по черзі наші пристрої, щоб інформація про них з'явилася в реєстрі:

вибіркове

Вивантажимо дані з реєстру в reg-файли:

комп

Зберігаємо файли в спільну папку мережі \\domain.local\netlogon\usbstor :

підключення

Забороняємо користувачевіsystem створювати підрозділи

І так файли з даними за дозволеними пристроями ми отримали, тепер необхідно заборонити користувачевіsystem створювати підрозділи USBSTOR. Створимо групову політику Active Directory (нагадаємо на комп'ютер адміністратора вона не повинна поширюватися, інакше на ньому не будуть правильно створюватися підрозділи USBSTOR).

У створеній груповій політиці відкрийте Конфігурація комп'ютера\Політики\Конфігурація Windows\Параметри безпеки\Реєстр та додайте розділ MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

Windows

Встановіть параметр "Замінити поточні дозволи у всіх підрозділах успадкованими ":

підключення

натисніть кнопку "змінити параметри " і у вікні встановіть права:

  • Для користувачаsystem призначте права як зазначено на малюнку 2
  • Для групиDOMAIN\Адміністратори встановіть повні права

Способи поширення інформації про дозволені usb-накопичувачі

Тепер про те, як поширити підготовлені раніше reg-файли на комп'ютери.

Локально, на комп'ютері користувача

Зайдіть на комп'ютер користувача під обліковим записом, який входить до групиDOMAIN\Адміністратори (ця група має повні права на розділ USBSTOR) і послідовно імпортуйте дані з вивантажених раніше файлівflash1.reg,flash2.reg,hdd1.reg.

Зком'ютера адміністратора використовуючи "віддалений реєстр"

Додатково

Чорні списки (працює на Windows XP)

Щоб певна флешка або інший USB-накопичувач не працював на комп'ютерах, встановіть параметрConfigFlags (див. рисунок 1) рівним 400.