Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » как отобрать права записи на съемные диски

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3

Открыть новую тему     Написать ответ в эту тему

Zlobny_John



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вводная :
есть маленькая сетка на 10 компов .
в ней живет 2003 сервер и AD .  
интернет отсутствует .
все пользовали на своем локальном компе имеют админские права . в принципе можно обойтись и без этого,  но пока сделано так и менять не хочется .
 
задача:
максимально осложнить утечку информации , к которой пользователи имеют доступ .
 
насколько я понимаю надо блокировать
1) дисководы fdd  
2) возможность подключения внешних накопителей (usb drive , кард ридеров)
С возможностью подключения модема или ноутбука кроссовым шнуром придется смириться .
 
Что хочется :
программно (при помощи логин скрипта или политик домена) перевести все сьемные естройства в режим только чтение , если это невозможно то отключить вообще .
при этом привязку желательно осуществить к UserName , то есть на одном компе Вася может работать со сьемными носителями а вот Петя уже нет .  
 
Возможно ли ?  
 
PS. на сегодняшний момент сделано просто до безобразия - в биосе отключен флоп , usb , а так-же com и lpt порты. Хочется чего то более технологичного .

Всего записей: 1279 | Зарегистр. 04-01-2002 | Отправлено: 16:42 19-10-2004 | Исправлено: lynx, 02:47 26-10-2004
merlkerry

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Zlobny_John
Есть спец сторонний софт, например, GFI LANguard Portable Storage Control
 

Цитата:
GFI LANguard Portable Storage Control (P.S.C) 2.0 Build 20040922. - программа поможет защитить вам конфиденциальную информацию в сети предприятия от неавторизованного доступа сеть от доступа и предотвратит попадание вредоносного ПО через USB-носители, а также другие сменные носители (включая дискеты и компакт-диски).
С помощью GFI LANguard Portable Storage Control администраторы сети смогут разрешать или запрещать подключение сменных носителей, а также контролировать доступ пользователей к устройствам для чтения дискет и CD-дисков. Для этого на клиентском компьютере устанавливается агентское приложение, размер которого составляет всего 1.2 Мб.
Если пользователь не является членом группы, которой предоставлено это право, он автоматически лишается доступа к устройству (флоппи-дисководу или устройству для чтения CD-дисков). Для того чтобы предоставить пользователю возможность чтения и записи информации на сменный носитель, администратору достаточно включить его в состав соответствующей группы Active Directory.


----------
Вокруг одни враги.
Я испытываю естественный скептицизм по поводу чистоты человеческих намерений.

Всего записей: 1521 | Зарегистр. 16-09-2002 | Отправлено: 17:42 19-10-2004
Zlobny_John



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
merlkerry
судя по описанию неплохо , возьму на заметку .
 
all
может есть варианты без спецпрог ?  
таки умный юзер их наверняка отключит .  
 
 

Всего записей: 1279 | Зарегистр. 04-01-2002 | Отправлено: 18:17 19-10-2004
Raredemon



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Zlobny_John

Цитата:
таки умный юзер их наверняка отключит  

В любом случае, имея физический доступ к компьютеру можно сделать или "сломать" все, не даром одно из основных требований для серверных комнат - ограничение количества людей имеющих право входа в комнату.  
Обойти все запреты можно имея админские права, урезай права пользователям - толку больше будет.

----------
Designed for Windows XP.
Powered by Gentoo!
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логу прокси....

Всего записей: 1787 | Зарегистр. 03-09-2003 | Отправлено: 07:51 20-10-2004
Svyazist



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Zlobny_John
 
Отбирай права, и пусть сидят обычными юзерами.
Флоп в бивисе ставится только на чтение.
Обычным юзерам в win2k (XP) запрещено устанавливать новое оборудование, следовательно не могут поставить кардридеры и др.
А вот с привязкой к к юзернэйм, только если давать права выше юзеров.
 
Добавлено

Цитата:
таки умный юзер их наверняка отключит .

без прав админа трудновато будет. так что тоже вариант.

Всего записей: 450 | Зарегистр. 26-10-2002 | Отправлено: 09:36 20-10-2004
Zlobny_John



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
нашел еще одну забавную программку  
 
http://www.protect-me.com/ru/dl/
как попробую - сброшу отчетец .

Всего записей: 1279 | Зарегистр. 04-01-2002 | Отправлено: 13:48 20-10-2004
UncoNNecteD



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
может есть варианты без спецпрог ?  

Когда пользователи сидять под админскими правами?
Да вы батенька фантазер.

----------
-= Я тут чертовски давно =-

Всего записей: 4040 | Зарегистр. 21-03-2002 | Отправлено: 20:32 20-10-2004
SystemMessage

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Нужно рубить права и  политики настраивать.

Всего записей: 16 | Зарегистр. 12-10-2004 | Отправлено: 12:21 21-10-2004
Zeleznick

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
GFI LANguard Portable Storage Control (P.S.C) достаточно рульная и гибкая прога (и в варезнике темка есть по ней), но полностью запрещает доступ к девайсам, а как все-таки
Цитата:
отобрать права записи на сьемные диски

 
 
Добавлено

Цитата:
если это невозможно то отключить вообще .  
при этом привязку желательно осуществить к UserName  

а вот с этим справляется на ура, причем я, сидя админом, так и не смог пока ее обойти
 
 
Добавлено
сам же и нашел, но пока только про USB
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies  
Value Name (DWORD): WriteProtect  
Data Value: 0 = disable, 1 = enable
думаю на 10-ти компах поправить будет не трудно
работает вполне прилично, читать можно все, писать и удалять--нет. пишет "диск защищен от записи...."   остался вопрос про CD & Floppy

Всего записей: 123 | Зарегистр. 02-09-2004 | Отправлено: 15:24 21-10-2004
espirits

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Насколько помню, DeviceLock может запрещать в том числе запись на носитель.
Смотри http://forum.ru-board.com/topic.cgi?forum=35&topic=7719#1

Всего записей: 123 | Зарегистр. 05-11-2001 | Отправлено: 11:11 22-10-2004
Zeleznick

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
espirits можешь подробнее? а то у меня ссылка не работает:

Цитата:
Компьютерный форум Ru.Board » Ошибка  
 
Специальный форум  
 
 
Извините, гости не могут заходить в этот форум. Пожалуйста зарегистрируйтесь!.  
Возможные причины:  
Неправильный пароль  
Неправильное имя пользователя  
Незарегистрированный Пользователь  
 
 


Всего записей: 123 | Зарегистр. 02-09-2004 | Отправлено: 11:17 22-10-2004
Zlobny_John



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
UncoNNecteD
А что - политики домена уже отменили ?
 
Zeleznick
правильно будет вот так .  
http://forum.ru-board.com/topic.cgi?forum=35&topic=7719#1
 
ссылку на сайт проги я давал выше . сегодня буду её тестить

Всего записей: 1279 | Зарегистр. 04-01-2002 | Отправлено: 12:28 22-10-2004
Zeleznick

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Zlobny_John
потестил и ту и другую... полного удовлетворения нет, но если в GFI можно все-таки как-то поставить в режим только чтение, то однозначно GFI

Всего записей: 123 | Зарегистр. 02-09-2004 | Отправлено: 11:27 25-10-2004
tswanea



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Zlobny_John

Цитата:
насколько я понимаю надо блокировать  
1) дисководы fdd  
2) возможность подключения внешних накопителей (usb drive , кард ридеров)  

 
а че не попробуеш в regedit-e поменять и сделай так чтоб не смогли измененить в  
regedit-e
я так сделал  
если тебе надо как  пиши в ПМ и отправлю файл *.reg  сделан мною

Всего записей: 436 | Зарегистр. 03-08-2004 | Отправлено: 02:36 31-10-2004
leputain



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Статья на securitylab.ru:
От каждого по максимуму, каждому – по минимуму. Разграничение доступа к устройствам в Windows. http://www.securitylab.ru/?ID=49044&R=0.ML.CGI

Всего записей: 1434 | Зарегистр. 24-11-2002 | Отправлено: 06:55 31-10-2004
exMIB



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tswanea
Отправь файлик REG мне на ilcs [at] yandex.ru

Всего записей: 3298 | Зарегистр. 27-09-2001 | Отправлено: 23:50 02-11-2004
Zeleznick

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
to all DeviseLock в случае если доступ к девайсам открыт по сети (расшарен) может вызывать глюки вплоть до внезапной перезагрузки компов. победил только тонкой ручной настройкой пермишенов

Всего записей: 123 | Зарегистр. 02-09-2004 | Отправлено: 11:02 03-11-2004
exMIB



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Zeleznick

Цитата:
победил только тонкой ручной настройкой пермишенов

А что конкретно настраивал?

Всего записей: 3298 | Зарегистр. 27-09-2001 | Отправлено: 18:06 03-11-2004
GRiMka



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Zeleznick

Цитата:
Добавлено  
сам же и нашел, но пока только про USB  
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies    
Value Name (DWORD): WriteProtect    
Data Value: 0 = disable, 1 = enable  
думаю на 10-ти компах поправить будет не трудно  
работает вполне прилично, читать можно все, писать и удалять--нет. пишет "диск защищен от записи...."   остался вопрос про CD & Floppy  

 
А у тебя какая операционка стоит? У меня WINXP и мне как раз нужно отключить запись на сменных носителях подключенных по USB. (чтение оставить)
 
У меня в реестре нет такой записи как у тебя

Всего записей: 27 | Зарегистр. 16-06-2005 | Отправлено: 09:31 18-06-2005
Nimnul



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
У меня тоже в XP такой ветки реестра нет
PS
Тоже надо бы запрещать всякие устройства для записи...

Всего записей: 1072 | Зарегистр. 05-02-2003 | Отправлено: 13:00 18-06-2005 | Исправлено: Nimnul, 13:14 18-06-2005
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » как отобрать права записи на съемные диски


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru