jokerv Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Появилась проблема: надо запретить подключение FLASH-devices (Disk on Key) и разрешить сканнер/принтер/CDrom через GPO.   Это решение не подходит по причине ненормально большой цены (50$ per seat) http://www.securewave.com/products/securent/index.html Всего записей: 163 | Зарегистр. 22-11-2002 | Отправлено: 18:47 16-10-2003 | Исправлено: lynx, 02:58 26-10-2004

KosinAk Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Тоже мучаюсь с этой проблемой Не нашел решение? Всего записей: 32 | Зарегистр. 17-01-2003 | Отправлено: 16:50 27-02-2004

Lamerok Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Все описанные изменения вносятся в файл %SystemRoot%\inf\sceregvl.inf   Код:   [Register Registry Values]   MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\Start,4,%CdRomStartup%,3,4|%CDDisable%,1|%CDEnable% MACHINE\SYSTEM\CurrentControlSet\Services\Flpydisk\Start,4,%FlpStartup%,3,4|%FlpDisable%,1|%FlpEnable%   MACHINE\SYSTEM\CurrentControlSet\Services\usbehci\Start,4,%UsbehciStartup%,3,4|%UsbehciDisable%,1|%UsbehciEnable% MACHINE\SYSTEM\CurrentControlSet\Services\usbuhci\Start,4,%UsbuhciStartup%,3,4|%UsbuhciDisable%,1|%UsbuhciEnable% MACHINE\SYSTEM\CurrentControlSet\Services\Serial\Start,4,%SerialStartup%,3,4|%SerialDisable%,1|%SerialEnable% MACHINE\SYSTEM\CurrentControlSet\Services\Parport\Start,4,%ParportStartup%,3,4|%ParportDisable%,1|%ParportEnable% MACHINE\SYSTEM\CurrentControlSet\Services\usbhub\Start,4,%UsbhubStartup%,3,4|%UsbhubDisable%,1|%UsbhubEnable%     [Strings] ;================================ Devices ====================== CdRomStartup= "Devices: CD-ROM Driver" CDEnable= "Enable CD-ROM devices" CDDisable= "Disable CD-ROM devices"   FlpStartup = "Devices: Floppy Disk devices" FlpEnable= "Enable Floppy Drive devices" FlpDisable= "Disable Floppy Drive devices"   ParportStartup= "Devices: Parallel port" ParportEnable= "Enable Parallel port devices" ParportDisable= "Disable Parallel port devices"   SerialStartup= "Devices: Serial port" SerialEnable= "Enable Serial port devices" SerialDisable= "Disable Serial port devices"   UsbehciStartup= "Devices: USB 2.0 Enhanced Host Controller" UsbehciEnable= "Enable USB 2.0 Enhanced Host Controller devices" UsbehciDisable = "Disable USB 2.0 Enhanced Host Controller devices" UsbuhciStartup= "Devices: USB Universal Host Controller" UsbuhciEnable= "Enable USB Universal Host Controller devices" UsbuhciDisable = "Disable USB Universal Host Controller devices" UsbhubStartup= "Devices: USB2  Enabled Hub" UsbhubEnable= "Enable USB2 Enabled Hub devices" UsbhubDisable = "Disable USB2 Enabled Hub devices"   ;================================================================================================   Далее запускаем regsvr32 scecli.dl и радуемся жизни   В GPO - Security Options появляются описанные выше пункты.   Это позволяет блочить девайсы при старте.   Единственный минус - затруднение мэйнтейнса...   В принципе таким образом можно вносить лЮбые изменения  в политику  в раздел Security Options   ---------- Когда говоришь, что думаешь — думай что говоришь и не всегда говори то, что знаешь, но всегда знай, что говоришь. (c) ¯\_(ツ)_/¯ Всего записей: 705 | Зарегистр. 17-04-2002 | Отправлено: 11:59 20-10-2004 | Исправлено: Lamerok, 12:06 20-10-2004

Alex_Kadetov Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору <b>2 Lamerok</b> Наверное хороший способ, но IMHO так можно запрещать USB устройства на уровне сервисов... а это значит, что будут запрещены все устройства, а не только Flash диски.   <b>2All</b> Вообщето странно, что пользователи могут добавлять такие устройства как флэшки... :/   У мелкософта даже есть статья как запретить USBStor на XP: http://support.microsoft.com/default.aspx?scid=kb;en-us;823732   Кстати... А что если запретить системе доступ к ветке (по умолчанию системе там чтение)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor Если ей не дать читать, то по идее и доступа к флэшке тоже не будет... Только вот кто туда пишет? Кому надо крылья подрезать чтоб новые устройства там не добавлялись? Всего записей: 19 | Зарегистр. 22-02-2002 | Отправлено: 12:41 06-12-2004

AceVentura Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Централизованная альтернатива   1. http://www.devicelock.com  -- не спасает от локальных администраторов. 2. http://www.securewave.com  -- на текущий момент лучшая, но очень дорогая. Всего записей: 285 | Зарегистр. 25-09-2002 | Отправлено: 15:12 06-12-2004

xy ХУдератор Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору AceVentura Цитата: devicelock всё лочит, а ЮСБ не лочит:( смотрю альтернативы ---------- Счастливые мысли приводят к счастливой клеточной биохимии Всего записей: 10530 | Зарегистр. 28-05-2003 | Отправлено: 14:17 16-12-2004

exMIB Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору xy Цитата: всё лочит, а ЮСБ не лочит   смотрю альтернативы   Почему не лочит, всё лочит нормально для группы Пользователи. Всего записей: 3300 | Зарегистр. 27-09-2001 | Отправлено: 01:37 17-12-2004

papanin Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Можно попробовать GFI.LANGuard.Portable.Storage.Control.v2.0 Создает 3 группы юзеров в AD: блокировка флопов, блокировка сидюков, блокировка USB-стореджей. Всего записей: 37 | Зарегистр. 31-08-2004 | Отправлено: 13:20 23-12-2004

Igor Nko Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору А в чем проблема - выполнить остановку сервисов, которые отвечают за работу USB, на уровне доменной политики ? Всего записей: 8 | Зарегистр. 01-07-2006 | Отправлено: 16:10 09-07-2006

Young_Admin Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору У нас это реализуется раздачей reg файлика:   Этот файл вырубает ЮСБ, ЦД-РОМы и ФЛОПЫ Код:   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor] "Start"=dword:00000004   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] "Start"=dword:00000004   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\flpydisk] "Start"=dword:00000004     Этот файл врубает всё Код:     [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] "Start"=dword:00000001   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor] "Start"=dword:00000003   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\flpydisk] "Start"=dword:00000003     Соответственно комбинаторику никто не отменял Всего записей: 157 | Зарегистр. 25-06-2006 | Отправлено: 20:09 09-07-2006

Whitemaster Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору все описано на сайте M$     HOWTO: Use Group Policy to disable USB, CD-ROM, Floppy Disk and LS-120 drivers http://support.microsoft.com/?kbid=555324   скриптик тоже : CLASS MACHINE CATEGORY !!category  CATEGORY !!categoryname   POLICY !!policynameusb    KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"    EXPLAIN !!explaintextusb      PART !!labeltextusb DROPDOWNLIST REQUIRED          VALUENAME "Start"        ITEMLIST         NAME !!Disabled VALUE NUMERIC 3 DEFAULT         NAME !!Enabled VALUE NUMERIC 4        END ITEMLIST      END PART    END POLICY   POLICY !!policynamecd    KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"    EXPLAIN !!explaintextcd      PART !!labeltextcd DROPDOWNLIST REQUIRED          VALUENAME "Start"        ITEMLIST         NAME !!Disabled VALUE NUMERIC 1 DEFAULT         NAME !!Enabled VALUE NUMERIC 4        END ITEMLIST      END PART    END POLICY   POLICY !!policynameflpy    KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"    EXPLAIN !!explaintextflpy      PART !!labeltextflpy DROPDOWNLIST REQUIRED          VALUENAME "Start"        ITEMLIST         NAME !!Disabled VALUE NUMERIC 3 DEFAULT         NAME !!Enabled VALUE NUMERIC 4        END ITEMLIST      END PART    END POLICY   POLICY !!policynamels120    KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"    EXPLAIN !!explaintextls120      PART !!labeltextls120 DROPDOWNLIST REQUIRED          VALUENAME "Start"        ITEMLIST         NAME !!Disabled VALUE NUMERIC 3 DEFAULT         NAME !!Enabled VALUE NUMERIC 4        END ITEMLIST      END PART    END POLICY  END CATEGORY END CATEGORY   [strings] category="Custom Policy Settings" categoryname="Restrict Drives" policynameusb="Disable USB" policynamecd="Disable CD-ROM" policynameflpy="Disable Floppy" policynamels120="Disable High Capacity Floppy" explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver" explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver" explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver" explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver" labeltextusb="Disable USB Ports" labeltextcd="Disable CD-ROM Drive" labeltextflpy="Disable Floppy Drive" labeltextls120="Disable High Capacity Floppy Drive" Enabled="Enabled" Disabled="Disabled"   Работает только под домены 2k & 2k3  и АД десэйблит USB, Floppy, CD-ROM     Всего записей: 58 | Зарегистр. 13-07-2006 | Отправлено: 15:00 13-07-2006

FreemanRU Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Whitemaster Если почитаешь выше, то твое решение не ново. И отрубает весь USB порт. А не отдельные девайсы. Так что остается ждать Vista, в которй можно отрудать девайсы влпоть до ID. ---------- Если не получается с первого раза - прочти инструкцию. (с) "Откуда нам знать, что такое война, если мы не знаем мира..."(с) Записки Всего записей: 3795 | Зарегистр. 16-07-2004 | Отправлено: 16:38 13-07-2006

Whitemaster Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Качнул я эту висту млин Неинф. сообщение. /emx/ Всего записей: 58 | Зарегистр. 13-07-2006 | Отправлено: 19:43 13-07-2006 | Исправлено: emx, 23:23 13-07-2006

shu1976 Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору AceVentura DeviceLock спасает от локальных админов, если использовать Групповые Политики. Я все софтины перепробовал и пришел в итоге к DeviceLock, удобство администрирования on-line убогое, но на уровне групповых политик в AD сделано очень мощно и не грузит рабочие станции при невидимой инстралляции. убодные отчеты по залоченным портам есть, даже есть отчет - что втыкал юзер в USB Всего записей: 567 | Зарегистр. 23-07-2001 | Отправлено: 12:34 19-07-2006 | Исправлено: shu1976, 12:35 19-07-2006

dccb Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Есть еще одно решение - запрещаем запись и делаем usbдиски - "readonly" Код: Windows Registry Editor Version 5.00   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies] "WriteProtect"=dword:00000001 Всего записей: 115 | Зарегистр. 08-12-2003 | Отправлено: 13:22 19-07-2006

Young_Admin Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dccb У нас так низя. А то юзеры понаприносят файла... а начальство ругается, что могут игрухи ставить Всего записей: 157 | Зарегистр. 25-06-2006 | Отправлено: 13:55 19-07-2006

dccb Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору У нас наоборот - "поуносят фаилА" )). Я просто сам долго искал подобную информацию - не панацея канечно... но от тетенек/дяденек манагеров спасает Всего записей: 115 | Зарегистр. 08-12-2003 | Отправлено: 14:02 19-07-2006

Whitemaster Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Etalon Маленькая ремарка, в АД можна прописать рефреш доменной политики от минимальной 70 минут до 2 недель  и совсем не нужно 2 раза перегружать машины. Относительно груп политики: на определенный OU можна поставить непременение конкретной политики или порядок применения объектов.   Кстати оч даже хорошо написано здесь же http://ru-board.com/new/article.php?sid=174               Всего записей: 58 | Зарегистр. 13-07-2006 | Отправлено: 10:42 28-07-2006

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Отключение USB через GPO (групповые политики)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование