BagIra
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если тема еще актуальна... После прочтения и переработки всей информации, касающейся разграничения доступа к USB-накопителям, которую удалось найти, была создана следующая групповая политика.
Исходные данные: домен win2k3, пользователи имеют ограниченные права, за каждым конкретным пользователем "закреплен" конкретный компьютер, некоторому количеству пользователей по служебной необходимости нужен доступ к USB-накопителям на чтение/запись. Задача: запретить доступ к USB-накопителям на чтение/запись для всех пользователей домена, кроме тех из них, которым работа с USB-накопителями необходима для исполнения служебных обязанностей (при этом работоспособность таких USB-устройств, как принтеры, мыши и т.д. должна сохраниться).
Решение избрано следующее.
Создано 2 объекта групповой политики (GPO): первый применяется к компьютерам тех пользователей, которым нужно дать полный доступ к USB-накопителям, второй - ко всем авторизованным компьютерам домена.
Этот ADM-файл добавлен в Administrative Templates (раздел Computer Configuration) обоих GPO:
; This policy restrict write access to USB device
CLASS MACHINE
CATEGORY !!USBProtect
POLICY !!USBprotectpolicy
EXPLAIN !!USBProtect_Explain
KEYNAME "System\CurrentControlSet\Control\StorageDevicePolicies"
VALUENAME "WriteProtect"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY
POLICY !!USBprotect_old
EXPLAIN !!USBProtect_Explain
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
VALUENAME "Start"
VALUEON NUMERIC 4
VALUEOFF NUMERIC 3
END POLICY
END CATEGORY
[strings]
USBprotectpolicy="Restrict write to USB XP/SP2"
USBProtect="USB Settings"
USBProtect_Explain="Определяет, будет ли пользователь иметь доступ к USB диску с возможностью записи \nЕсли параметр не задан, то доступ к USB не ограничен\nЕсли параметр включен, доступ к USB устройству только в режиме чтения\nЕсли параметр выключен,то доступ к USB не ограничен"
USBprotect_old="Restrict all access to USB Pre XP/SP2"
Настройки политики (Policy Settings) - в данном ADM-файле они носят название "USB settings" - Restrict write to USB XP/SP2 и Restrict all access to USB Pre XP/SP2 для первой GPO имеют значение Disabled, для второй - Enabled.
Далее в разделе Computer Configuration - Windows settings - Security settings - File system жестко заданы права доступа к файлам %systemroot%\inf\usbstor.inf и %systemroot%\inf\usbstor.PNF - для первой GPO локальные администраторы и SYSTEM имеют полный доступ, Users - только на чтение, для второй GPO - полный доступ только для локальных администраторов, для SYSTEM и Users доступ полностью запрещен. Есть мысль сюда же добавить файл %systemroot%\system32\drivers\usbstor.sys с теми же разграничениями прав... Будет время - попробую.
Про очередность применения: политика РАЗРЕШЕНИЯ использования USB-накопителей должна примениться ПОСЛЕ политики запрещения, то есть должна стоять выше. |
