Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Полный запрет USB

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

Federal24

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте уважаемые системные администраторы!
 
Возникла потребность в запрете/разрешении использования USB устройств. В ввиду определённых обстоятельств, решил настроить путём редактирования параметров реестра через Compliance Settings в SCCM 2012. В данный момент это реализовано через групповые политики.
Так вот, ближе к делу. Заюзал я значит SYSTEM\CurrentControlSet\Services\UsbStor с ключом Start REG_DWORD = 4. Флешки не работают, всё как и задумано. Но обнаружил проблемку - при подключении смартфона в режиме передачи данных, он определяется как портативное медиа-устройство и предоставляет доступ к его файлам.
Кто знает, в какой ветке реестра отключить это медиа-устройство? Ну или хотя бы запретить доступ к нему, без отключения принтеров и сканеров.  
 
Заранее благодарен за вашу помощь!  
Всего записей: 3 | Зарегистр. 21-02-2017 | Отправлено: 06:27 21-02-2017
shadow_member



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Federal24
Попробуй сравнить состояние реестра до и после применения запрета в USB Lock ST, она закрывает порты именно так, как тебе нужно.
Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 08:37 21-02-2017
ZSZ

Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Возникла потребность в запрете/разрешении использования USB устройств. В ввиду определённых обстоятельств, решил настроить путём редактирования параметров реестра  

 
Загрузку в Биосе с внешних устройств не проморгайте, иначе все ваши потуги бессмысленны. Ну и системник на замок.
 

Цитата:
В данный момент это реализовано через групповые политики.

 
Групповые политики легко прибить.
Всего записей: 5808 | Зарегистр. 15-01-2012 | Отправлено: 14:54 21-02-2017 | Исправлено: ZSZ, 15:01 21-02-2017
Federal24

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В биосе отключено, доступ в биос запаролен. Поэтому и пробуем другие варианты, т.к. групповые политики то не прилетают, то вообще перестают работать на некоторых машинах.
Всего записей: 3 | Зарегистр. 21-02-2017 | Отправлено: 15:06 21-02-2017
ZSZ

Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Federal24

Цитата:
Поэтому и пробуем другие варианты,  

 
Если нужны принтеры и сканеры, значит комп офисный, не промышленный. От кого защищаемся? Кроме прочих вариантов, можно попробовать грохнуть поддержку FAT, FAT32.  
У меня сейчас нет подобных медиаустройств, не посмотреть. Промышленный комп с Win XP на Атоме с запретом USB я "сломал" минут за 10 голой клавиатурой , на интерес, но там "программисты" вряд ли рассчитывали, что кто-то будет этим заниматься.
 
Всего записей: 5808 | Зарегистр. 15-01-2012 | Отправлено: 15:22 21-02-2017
Abs62



Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ZSZ

Цитата:
Промышленный комп с Win XP на Атоме с запретом USB я "сломал" минут за 10 голой клавиатурой , на интерес, но там "программисты" вряд ли рассчитывали, что кто-то будет этим заниматься.

В подобных ситуациях технические средства должны играть вспомогательную роль, а на первый план надо выводить меры организационные. То бишь в максимально доступной форме довести до юзеров, чем чревато нарушение запрета. А сломать-то всё можно при наличии желания и должной квалификации.

----------
0 программистов ругал сердитый шеф
Потом уволил одного, и стало их FF
Всего записей: 6080 | Зарегистр. 22-10-2005 | Отправлено: 18:11 21-02-2017
Federal24

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Нашёл решение. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices ключ: Deny_All REG_DWORD = 1 Закроет всё и вся. Откроет со значением 0.
Для более гибкой настройки можно ознакомиться с параметрами из статьи https://blog.it-kb.ru/2011/10/14/gpp-group-policy-preferences-how-to-disable-usb-wpd-cd-floppy-disk-removable-devices-and-deny-read-write-access/
    
Всего записей: 3 | Зарегистр. 21-02-2017 | Отправлено: 07:19 22-02-2017
ZSZ

Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Federal24

Цитата:
Нашёл решение. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices ключ: Deny_All REG_DWORD = 1 Закроет всё и вся.

 
Заинтересовался, попробовал на Windows 7.
 
В топку Microsoft.
Решение нашёл раньше, чем успел включить компьютер.
Дисковым редактором всё видно, и чтение и запись.  
То есть, защиты никакой. Это я ещё не все способы попробовал, что в голове крутились.
Всего записей: 5808 | Зарегистр. 15-01-2012 | Отправлено: 10:23 22-02-2017
serg3001



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ZSZ
Если всё же найдёте, то опубликуйте, а то я пока через стороннюю программу блокирую.
Всего записей: 3822 | Зарегистр. 16-10-2010 | Отправлено: 09:44 26-02-2017
bomzz

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
может полное удалению юсб драйверов сможет помочь
 
Добавлено:
в устройствах телефон найди и узнай какие драйвера он использует, а то ты только usbstor отключил. драйвера контролера из системы удали
Всего записей: 3412 | Зарегистр. 29-03-2016 | Отправлено: 10:00 26-02-2017 | Исправлено: bomzz, 10:12 26-02-2017
ZSZ

Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
serg3001

Цитата:
Если всё же найдёте, то опубликуйте, а то я пока через стороннюю программу блокирую.

 
Найти чего, способы защиты или способы её обхода?
 
Защита от USB мне не нужна, а там, где была нужна, просто в настройках антивируса включил. Способов обхода море, вопрос лишь в конкретных условиях, необходимости, интересе, затратах времени. Я совсем не "хакер", просто стало интересно.
 
bomzz

Цитата:
может полное удалению юсб драйверов сможет помочь

 
У меня как-то при обновлении VmWare на более новую версию, слетели драйверы по USB. При этом, устройства по USB продолжили работать, но если только это устройство уже втыкалось в конкретный USB порт хотя бы 1 раз. Все незнакомые USB или, если устройства воткнуть в другие порты USB, то они не работали, словно и нет их вовсе. Сравнил с архивами  и с другими системами, где не успел обновить, вроде 4х файлов не хватало, перекинул руками, всё заработало вновь.
 
 
Добавлено:
bomzz

Цитата:
драйвера контролера из системы удали

 
А принтер со сканером как у автора вопроса будут после этого работать?
Всего записей: 5808 | Зарегистр. 15-01-2012 | Отправлено: 11:13 26-02-2017
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Полный запрет USB


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru