Полезное в сети

Всегда в теме

Статистика


Яндекс.Метрика


Онлайн всего: 1
Гостей: 1
Пользователей: 0

Рекомендуем



Главная » Статьи » Операционные системы » Безопасность ОС

Ограничение на использование USB-накопителей

Политика безопасности предприятия может требовать ограничений по использованию USB-устройств. Копание в Интернете и чтение различных форумов привело к такому сборнику советов.

Глобально. 

Запретить все USB-устройства. «Управление компьютером→диспетчер устройств→контроллеры универсальной последовательной шины USB→(корневые USB концентраторы)→применение устройства»: «отключено». Например, если принтер подключен к какому-либо концентратору, то его можно не отключать. 

Примечание 1.


Диспетчер устройств можно запустить из командной строки:



start devmgmt.msc



Примечание 2.


Интересное свойство диспетчера устройств из консоли выполнить две команды:



set devmgr_show_nonpresent_devices=1
start devmgmt.msc


Тогда в «Диспетчере устройств» отобразятся скрытые устройства. 

Быстрый и простой способ. 

Остановка службы «Съемные ЗУ». Если не требуется USB — отключение контролеров USB. Запретить использование всем, кроме избранных через «Управление компьютером→Запоминающие устройства→СъемныеЗУ→Свойства→Безопасность». 

Недостатки. 

Здесь есть некие подводные камни, например, запрет на использование группе «User». Но администратор может входить в группу «User». Впрочем, это равносильно изменению следующего параметра: 

HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR "Start"
"Start"=dword:00000004 -
запретить
"Start"=dword:00000003 -
разрешить



Примечание.


Запустить службу можно из командной строки:



net start "Съемные ЗУ"


USB-устройство еще ни разу не подключалось к компьютеру. 

Только-только установленная система. Идем в папку «%Windows%\inf» (папка имеет атрибут hidden), в ней есть два файла: «Usbstor.inf» и «Usbstor.inf». Запрещаем доступ к этим файлам всем, кроме группы администраторов или конкретного пользователя. Более подробно это описано у Microsoft'а. 

Запрет записи на USB-устройство. 

Зачем запрещать USB совсем, когда можно запретить только запись? 

HKLM\SYSTEM\CurrentControlSet\control\StorageDevicePolicies


Параметр «WriteProtect» — скорей всего его нет. Тогда его нужно создать с типом «dword» и присвоить значение «1». И не забыть перегрузить компьютер. Чтобы восстановить — присвоить значение «0». 

Групповые политики. 

CLASS MACHINE
 
CATEGORY !!category
  CATEGORY !!categoryname
    POLICY !!policynameusb
      KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
      EXPLAIN !!explaintextusb
      PART !!labeltextusb DROPDOWNLIST REQUIRED
        VALUENAME "Start"
        ITEMLIST
          NAME !!Disabled VALUE NUMERIC 3 DEFAULT
          NAME !!Enabled VALUE NUMERIC 4
        END ITEMLIST
      END PART
    END POLICY
 
    POLICY !!policynamecd
      KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
      EXPLAIN !!explaintextcd
      PART !!labeltextcd DROPDOWNLIST REQUIRED
        VALUENAME "Start"
        ITEMLIST
          NAME !!Disabled VALUE NUMERIC 1 DEFAULT
          NAME !!Enabled VALUE NUMERIC 4
        END ITEMLIST
      END PART
    END POLICY
 
    POLICY !!policynameflpy
      KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
      EXPLAIN !!explaintextflpy
      PART !!labeltextflpy DROPDOWNLIST REQUIRED
        VALUENAME "Start"
        ITEMLIST
          NAME !!Disabled VALUE NUMERIC 3 DEFAULT
          NAME !!Enabled VALUE NUMERIC 4
        END ITEMLIST
      END PART
    END POLICY
 
    POLICY !!policynamels120
      KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
      EXPLAIN !!explaintextls120
      PART !!labeltextls120 DROPDOWNLIST REQUIRED
        VALUENAME "Start"
        ITEMLIST
          NAME !!Disabled VALUE NUMERIC 3 DEFAULT
          NAME !!Enabled VALUE NUMERIC 4
        END ITEMLIST
      END PART
    END POLICY
  END CATEGORY
END CATEGORY
 
[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by
disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by
disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by
disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity
Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"


Сохранить приведенный код в файл с расширением «adm». Запустить редактор групповых политик (gpedit.msc). В разделе «Конфигурация компьютера→Административные шаблоны» добавляем новый шаблон (правый клик), предварительно скопировав файл шаблона в папку «%Windows%\system32\GroupPolicy\Adm\». Должен появиться пункт «Custom Policy Settings». Если не появился, то «Вид→Фильтрация...», и снять галочку с «Показывать только управляемые параметры политики». Если вы дошли до этого пункта, то, я думаю, что дальше сами разберётесь. 
Замечу, что в этой политике, также задействованы и другие устройства (CD-ROM, НГМД). Принцип основан на изменении параметра start на значение «4». Эта политика отработает после перезагрузки компьютера. 

Еще один из вариантов для групповой политики

CLASS MACHINE
 
CATEGORY "Services und Drivers"
    POLICY "USB Storage"
      KEYNAME "System\CurrentControlSet\Services\usbstor"
      PART "Startup type" DROPDOWNLIST
        VALUENAME "Start"
        ITEMLIST
          NAME "Boot" VALUE NUMERIC 0
          NAME "System"   VALUE NUMERIC 1
          NAME "Auto Load"   VALUE NUMERIC 2 DEFAULT
          NAME "Load On Demand"       VALUE NUMERIC 3
          NAME "Disabled"   VALUE NUMERIC 4
        END ITEMLIST
      END PART
    END POLICY
END CATEGORY


Здесь описано как организовать выборочное использование USB накопителей. Поэтому приведу здесь только краткое описание. 

* Ключ «HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR». Он хранит информацию о всех когда-либо подключенных USB-носителях. 
* Даем себе полный доступ на USBSTOR («правая клавиша мыши→Разрешения», отметить пункт «Полный доступ у группы Все»). Удаляем все содержимое USBSTOR
* Подключаем одобренную фэшку, убеждаемся в том, что она определилась. Внутри USBSTOR должен появиться ключ типа «Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07» (F5 для обновления списка). 
* Опять ПКМ на USBSTOR, Разрешения. Убираем Полный доступ у группы Все, право на чтение оставляем. 
* Те же самые права нужно назначить пользователю «System», но напрямую это сделать не получится. Сначала нужно нажать кнопку «Дополнительно», убрать галку «Наследовать от родительского обьекта», в появившемся окне «Безопасность» сказать «Копировать». После очередного нажатия на ОК права пользователя «System» станут доступны для изменения. 
* Для закрепления эффекта нажимаем кнопку «Дополнительно» еще раз и отмечаем пункт «Заменить разрешения для всех дочерних объектов...» Подтверждаем выполнение. 

Категория: Безопасность ОС | Добавил: Admin (05.01.2013)
Просмотров: 1266 | Теги: Ограничение на использование USB-на | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]

Поиск

Вход

Гость
  • Вход
  • Регистрация
  • Читаемое

    Заходи не жди