Ограничение доступа юзеров к флоппи, CD-RW, USB Flash Drive - Операционные системы M$

shushkovka · 25.11.2004, 15:16

Привет. Значит объясняю суть проблемы. Есть ноутбук, на котором стоит прога (дорогая и редкая). Есть чел, который с этой прогой работает, но есть очень большое желание чтобы этот чел не смог ее слить и унести. Соответственно хочется как-то программно отключить все девайсы посредством которых можно унести данные с компа. Ну положим флоппи мне не нужен, я его в биосе отключу. А как быть с CD-RW (сидюк иногда нужен) и особенно с USB Flash? Полностью отключить USB нельзя - принтер подключен через него. Вопрос как быть?

Mg0 · 25.11.2004, 17:36

Хорошо бы помимо "сути проблемы" хоть пять слов про систему. Хотя бы какая ОСь?
Если ХР, то я бы, во 1-х, сделал профиль чисто для юзера -- никаких административных полномочий. Потом бы порылся в "локальных политиках безопасности":
1. Запретил бы юзеру устанавливать новые программы.
2. Заблокировал запись CD-RW средствами ХР
3. В "политиках ограниченного использования программ" создал бы правило "не разрешено" для тома, куда монтируется USB Flash. Тогда принтер работать будет, а диск -- нет.
4. Неро и так не позволяет писать на CD-RW не администратору.

shushkovka · 25.11.2004, 20:18

Цитата:

Сообщение от Mg0

Хорошо бы помимо "сути проблемы" хоть пять слов про систему. Хотя бы какая ОСь?
Если ХР, то я бы, во 1-х, сделал профиль чисто для юзера -- никаких административных полномочий. Потом бы порылся в "локальных политиках безопасности":
1. Запретил бы юзеру устанавливать новые программы.
2. Заблокировал запись CD-RW средствами ХР
3. В "политиках ограниченного использования программ" создал бы правило "не разрешено" для тома, куда монтируется USB Flash. Тогда принтер работать будет, а диск -- нет.

Ось - ХР, забыл указать. Ну создать юзера с ограниченными правами - это было понятно с самого начала. Но даже если ограничить права... Есть программы, например SCDWriter, которую не нужно инсталлировать. Просто запускаешь - и все.
А том куда монтируется USB драйв - плавающий, он встает на любую свободную букву.

Я помню мелькало в инете гдето про какую-то микрософтовскую примочку как раз для таких вещей. Порылся - не нашел. Может кто юзает подобное?

ioka · 25.11.2004, 20:57

Цитата:

Mg0:
1. Запретил бы юзеру устанавливать новые программы

дык обычный пользователь и не может их устанавливать по умалчанию

Цитата:

3. В "политиках ограниченного использования программ" создал бы правило "не разрешено" для тома, куда монтируется USB Flash. Тогда принтер работать будет, а диск -- нет.

вот это попобробнее пожалуйста, очень интересен конечный путь в gpedit.msc

а вообще есть например тот же devicelock

shushkovka · 26.11.2004, 08:48

to ioka
Спасиба! Похоже именно то что искал...

Mg0 · 27.11.2004, 13:23

shushkovka
Недавно еще речь шла о том, как это сделать стандартными средствами Windows -- см. здесь: http://www.imho.ws/showthread.php?t=72176 .

LAndrew2 · 29.08.2005, 12:07

а подскажите, плз, теперь как обойти подобные ограничения

на работе отрублена возможность подключения флэш-драйва. при каждом запуске компа запускается некий inf файл (доступа к нему, увы, нет) - в итоге флэш не работает. также есть инфа о том, что флэш-драйв можно врубить, для этого требуется следующее изменение в реестре

Цитата:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004
"Type"=dword:00000001

тут нужно поменять значения ключей то ли на 1, то ли на 4 (точно, увы, уже не помню),
но прав на изменение данных в реестре нет

как это можно обойти?

ioka · 29.08.2005, 12:46

LAndrew2, ну это уже скорее в http://imho.ws/showthread.php?t=23953 и http://imho.ws/showthread.php?t=89368

+ ntofflinepasswordrecovery (или erd commander) и править реестр... не доводя до получения прав администратора..

25.11.2004, 15:16	# 1
shushkovka Newbie Регистрация: 10.10.2003 Адрес: Россия Сообщения: 11	Ограничение доступа юзеров к флоппи, CD-RW, USB Flash Drive Привет. Значит объясняю суть проблемы. Есть ноутбук, на котором стоит прога (дорогая и редкая). Есть чел, который с этой прогой работает, но есть очень большое желание чтобы этот чел не смог ее слить и унести. Соответственно хочется как-то программно отключить все девайсы посредством которых можно унести данные с компа. Ну положим флоппи мне не нужен, я его в биосе отключу. А как быть с CD-RW (сидюк иногда нужен) и особенно с USB Flash? Полностью отключить USB нельзя - принтер подключен через него. Вопрос как быть?

25.11.2004, 17:36	# 2
Mg0 ::VIP:: Железный Дровосек Регистрация: 01.10.2003 Адрес: 1/6 суши Пол: Male Сообщения: 3 510	Хорошо бы помимо "сути проблемы" хоть пять слов про систему. Хотя бы какая ОСь? Если ХР, то я бы, во 1-х, сделал профиль чисто для юзера -- никаких административных полномочий. Потом бы порылся в "локальных политиках безопасности": 1. Запретил бы юзеру устанавливать новые программы. 2. Заблокировал запись CD-RW средствами ХР 3. В "политиках ограниченного использования программ" создал бы правило "не разрешено" для тома, куда монтируется USB Flash. Тогда принтер работать будет, а диск -- нет. 4. Неро и так не позволяет писать на CD-RW не администратору. __________________ Я только снаружи страшОн, а внутри... внутри я... просто УЖАСЕН!

27.11.2004, 13:23	# 6
Mg0 ::VIP:: Железный Дровосек Регистрация: 01.10.2003 Адрес: 1/6 суши Пол: Male Сообщения: 3 510	shushkovka Недавно еще речь шла о том, как это сделать стандартными средствами Windows -- см. здесь: http://www.imho.ws/showthread.php?t=72176 . __________________ Я только снаружи страшОн, а внутри... внутри я... просто УЖАСЕН!

26.11.2004, 08:48	# 5
shushkovka Newbie Регистрация: 10.10.2003 Адрес: Россия Сообщения: 11	to ioka Спасиба! Похоже именно то что искал...

29.08.2005, 12:46	# 8
ioka Full Member Регистрация: 21.04.2004 Сообщения: 502	LAndrew2, ну это уже скорее в http://imho.ws/showthread.php?t=23953 и http://imho.ws/showthread.php?t=89368 + ntofflinepasswordrecovery (или erd commander) и править реестр... не доводя до получения прав администратора..