Запрет на использование флешек. Часть 2
Совсем недавно писал в блоге о предотвращении использования флешек на компьютерах под управление Windows. Грабли вылезли быстро...
Microsoft ничего не может сделать нормально, так чтобы один раз настроить и больше не возвращаться к данному вопросу. Складывается ощущение, что разработчики Windows между собой не общаются и правая рука не знает что делает левая.
Забавная ситуация - оказалось, что при подключении новой флешки к компьютеру, которая на нем еще не использовалась, система благополучно снова изменяет ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor на исходный. И все USB-накопители снова прекрасно начинают работать... и плевать под чьими правами вы работаете на компьютере. Вот такая безопасность.
Предотвращение использования USB-устройств хранения данных - статья с сайта Microsoft по нашей теме.
Для окончательного (надеюсь больше сюрпризов не будет) решения проблемы запрета флешек, необходимо присвоить пользователю, группе или локальной учетной записи SYSTEM разрешение Запретить для следующих файлов:
%SystemRoot%\Inf\Usbstor.pnf %SystemRoot%\Inf\Usbstor.inf
Это рекомендует сама мелкомягкая компания, однако и тут не все гладко. Сам сделал несколько иначе - переименовал эти файлы, добавив перед расширением символ _ и запретил доступ пользователю system к указанной выше ветке реестра.
Напоследок привожу выдержку из статьи с сайта техподдержки.
(текст из статьи с сайта Microsoft)
Чтобы назначить пользователю или группе запрещающие разрешения на файлы Usbstor.pnf и Usbstor.inf, выполните следующие действия:
- Запустите проводник Windows и найдите папку %SystemRoot%\Inf.
- Щелкните правой кнопкой мыши по файлу Usbstor.pnf и выберите пункт Свойства.
- Перейдите на вкладку Безопасность.
- В списке Группы или пользователи выберите пользователя или группу, для которых необходимо установить разрешения Запретить.
- В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив элемента Полный доступ.
- В списке Группы или пользователи выберите учетную запись SYSTEM.
- В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив элемента Полный доступ и нажмите кнопку ОК.
- Щелкните правой кнопкой мыши по файлу Usbstor.inf и выберите пункт Свойства.
- Перейдите на вкладку Безопасность.
- В списке Группы или пользователи выберите пользователя или группу, для которых необходимо установить разрешения Запретить.
- В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив элемента Полный доступ.
- В списке Группы или пользователи выберите учетную запись SYSTEM.
- В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив элемента Полный доступ и нажмите кнопку ОК.
Примечание. Также добавьте в список Запретить учетную запись System.
Комментариев: 1
Доброе время суток, очень интересная статья. Я вот например использую Removable.Access.Tool.1.3. Много что умеет отключать и включать и при этом все можно запаролить. Но я нашел вот еще какую особенность, в ветках реестра - ПКМ - разрешение - и тут тоже есть возможность заблокировать доступ пользователям на изменение. И тогда не какие черти не смогут не через reg файл не через cmd исправить. Напишите пожалуйста статью о том как можно разрешить только определенным флешекам работать а остальные флешки слать лесом.