MAZIN.UZ

Блог Дмитрия Мазина

Я рад вас видеть на моем блоге!

Полезные заметки в личном блоге Дмитрия Мазина.
                    Заходите, читайте, подписывайтесь.

Закрыть доступ к USB флешкам

Автор: Дмитрий Мазин Опубликовано: 1 - июля - 2011

Задача: Закрыть пользователям доступ к USB флешкам через политики AD.Решается собственно просто.

Права доступа к файлам %systemroot%\inf\usbstor.pnf и %systemroot%\inf\usbstor.inf следующие:

Администраторы — полный доступ.

Пользователи  и  SYSTEM запретить !

Ключ реестра HKLM\System\CurrentControlSet\Services\Usbstor\Start равен 3

Этому параметру в реестре нужно запретить изменение значения для SYSTEM но разрешить изменение прав и чтение. Пользователям полностью запретить. Это делается правой кнопкой на разделе USBSTOR, выбрать пункт разрешения. Если мы системе запретим все, то потом вернуть доступ будет намного сложнее.

Теперь как это делать через политики.

Создаем политику, например USBRestriction.

В политиках Конфигурация Компьютера\Политики\Конфигурация Windows\Параметры безопасности\Реестр\ — добавить раздел MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR — сказать Запретить замену разрешений в этом разделе.

Потом Конфигурация Компьютера\Политики\Конфигурация Windows\Параметры безопасности\Файловая система\

Добавить два файла

%SystemRoot%\inf\usbstor.inf

%SystemRoot%\inf\usbstor.PNF

Для каждого файла сделать следующие действия:

Установить значение — Настроить разрешения для этого файла или папки и затем:
Установить Распространить наследуемые разрешения на все подпапки и файлы.

Нажать изменить параметры и установить разрешения как я указал вверху, а именно

Система — ВСЕ ЗАПРЕТИТЬ
Пользователи — ВСЕ ЗАПРЕТИТЬ
Администраторы- ВСЕ РАЗРЕШИТЬ

Для ветки реестра:

Добавляем в Политики — Конфигурация Windows — Параметры безопасности  — Реестр
ветку MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR и устанавливаем на нее права:

SYSTEM — Запретить задание значения
Пользователи — Запретить все
Администраторы — Разрешить все
SYSTEM — Разрешить чтение
SYSTEM — Разрешить права на изменение.

Готово.

Теперь применяем политику по выбору, либо ко всему домену, либо выборочно.

Комментариев к записи: 2

  1. Полезная статья, воспользуюсь)

  2. Здорово, именно то, что нужно. Спасибо за полезные публикации

Оставить комментарий