Запрет на использование флешек. Часть 2

Август, 07th 2012Рубрика: Windows | Советы 24218
Подписаться на комментарии по RSS

Совсем недавно писал в блоге о предотвращении использования флешек на компьютерах под управление Windows. Грабли вылезли быстро...

Microsoft ничего не может сделать нормально, так чтобы один раз настроить и больше не возвращаться к данному вопросу. Складывается ощущение, что разработчики Windows между собой не общаются и правая рука не знает что делает левая.

Забавная ситуация - оказалось, что при подключении новой флешки к компьютеру, которая на нем еще не использовалась, система благополучно снова изменяет ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor на исходный. И все USB-накопители снова прекрасно начинают работать... и плевать под чьими правами вы работаете на компьютере. Вот такая безопасность.

Предотвращение использования USB-устройств хранения данных - статья с сайта Microsoft по нашей теме.

Для окончательного (надеюсь больше сюрпризов не будет) решения проблемы запрета флешек, необходимо присвоить пользователю, группе или локальной учетной записи SYSTEM разрешение Запретить для следующих файлов:

%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf

Это рекомендует сама мелкомягкая компания, однако и тут не все гладко. Сам сделал несколько иначе - переименовал эти файлы, добавив перед расширением символ _ и запретил доступ пользователю system к указанной выше ветке реестра.

Напоследок привожу выдержку из статьи с сайта техподдержки.

(текст из статьи с сайта Microsoft)

Чтобы назначить пользователю или группе запрещающие разрешения на файлы Usbstor.pnf и Usbstor.inf, выполните следующие действия:

  1. Запустите проводник Windows и найдите папку %SystemRoot%\Inf.
  2. Щелкните правой кнопкой мыши по файлу Usbstor.pnf и выберите пункт Свойства.
  3. Перейдите на вкладку Безопасность.
  4. В списке Группы или пользователи выберите пользователя или группу, для которых необходимо установить разрешения Запретить.
  5. В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив элемента Полный доступ.
  6. Примечание. Также добавьте в список Запретить учетную запись System.

  7. В списке Группы или пользователи выберите учетную запись SYSTEM.
  8. В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив элемента Полный доступ и нажмите кнопку ОК.
  9. Щелкните правой кнопкой мыши по файлу Usbstor.inf и выберите пункт Свойства.
  10. Перейдите на вкладку Безопасность.
  11. В списке Группы или пользователи выберите пользователя или группу, для которых необходимо установить разрешения Запретить.
  12. В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив элемента Полный доступ.
  13. В списке Группы или пользователи выберите учетную запись SYSTEM.
  14. В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив элемента Полный доступ и нажмите кнопку ОК.
Подписывайтесь на канал Яндекс.Дзен и узнавайте первыми о новых материалах, опубликованных на сайте.

Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.

Комментариев: 1

  1. 2019-10-04 в 10:47:50 | WOLDZLO009

    Доброе время суток, очень интересная статья. Я вот например использую Removable.Access.Tool.1.3. Много что умеет отключать и включать и при этом все можно запаролить. Но я нашел вот еще какую особенность, в ветках реестра - ПКМ - разрешение - и тут тоже есть возможность заблокировать доступ пользователям на изменение. И тогда не какие черти не смогут не через reg файл не через cmd исправить. Напишите пожалуйста статью о том как можно разрешить только определенным флешекам работать а остальные флешки слать лесом.

ваш комментарий будет опубликован после проверки
на указанный адрес будет отправлено письмо с кодом активации. Вы можете настроить собственный профиль и стать активным участником или автором.