Запрет использования флешек и первый шаг к паранойе.
Желание некоторых организаций защититься от "слива" информации на сторону вполне понятно.
Существую специализированные технические средства контроля утечек информации (DLP-системы). Но о них мы говорить не будем - это уже совсем для параноиков. У нас все будет проще.
Возможно я сейчас кого-то расстрою, но абсолютно безопасную систему построить не удастся. Если задаться такой целью, то всегда найдется способ обойти любые технические ограничения. Ведь всё в конечном счете упирается в конкретного человека, а тут система бессильна.
Попробуем все-таки немного усложнить жизнь потенциальным шпионам и Павликам Морозовым (кстати, если они у вас до сих пор живут под администраторскими правами, то с этим лучше завязывать).
Полный запрет на использование USB накопителей
Радикальный метод (отключение USB в BIOS компьютера с последующим запароливанием этого самого BIOS) рассматривать не будем. Тут скажем привет не только флешкам, но и мышкам с USB клавиатурами, локальным принтерам и прочей необходимой дребедени.
Будем действовать теми средствами, которые нам предоставляет система. Открываем редактор реестра и следуем в ветку:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
Нас интересует значение параметра Start, где:
3 - стандартный режим, без блокировок (по умолчанию)
4 - блокировка USB накопителей
Выставляем нужное значение. Для применения изменений необходимо перезагрузить компьютер. Если установлена блокировка, никакие USD накопители (флешки, внежние HDD или карты памяти) не будут опознаваться компьютером.
Установка защиты записи на флешку
На мой взгляд, этот вариант интереснее - почти как в фильме "...всех впускать - никого не выпускать..." (Москва слезам не верит). Другими словами мы запрещаем только запись на USB-накопители, что собственно и нужно. Заходим в реестр:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
Внимание! Изначально раздела StorageDevicePolicies в резделе Control нет (бывают исключения) и его необходимо создать. Теперь в разделе StorageDevicePolicies создаем параметр WriteProtect типа DWORD.
Значении параметра WriteProtect:
1 - режим чтения (readonly)
0 - режим записи
Ставим нужное значение и подключаем флешку. В данном случае компьютер можно не перезагружать. При попытке записать что-либо на флешку (WriteProtect=1) будет выведено сообщение что диск защищен от записи.
Пожалуй, на этом можно было закончить рассказ, но оставалось чувство, что чего-то не хватает ... Для полного счастья не хватало запрета на запуск редактора реестра, чтобы лишнего соблазна не было.
Запрещаем запуск редактора реестра
HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System
Нужно добавить ключ типа DWORD DisableRegistryTools со значением 1.
Запуск редактора реестра будет запрещен, однако останется возможность вносит изменения с помощью программного обеспечения сторонних разработчиков или с помощью REG-файла. Только никому об этом не рассказывайте ;)
Запрет на использование флешек. Часть 2
Комментариев: 5
Приятно читать не только технически грамотную статью, но прекрасный стиль изложения. Спасибо.
Здравствуйте. У меня обратная ситуация - я не могу разрешить запись. В реестре все параметры установлены правильно, помогите!
Замечательная статья!
Возможно вы найдете решение на свой вопрос во второй части статьи - http://mdex-nn.ru/page/zapret-na-ispolzovanie-fleshek-chast-2.html
Запуск редактора реестра будет запрещен, однако останется возможность вносит изменения с помощью программного обеспечения сторонних разработчиков или с помощью REG-файла. Только никому об этом не рассказывайте ;)