24 Марта, 2011

Блокировка флешек / Disable usb flash storage

Dm Isu
Доброго времени суток.

Рано или поздно у всех служб безопасности возникает идея об массовом отключении флешек у пользователей.

Можно купить дорогое решение этой проблемы которое со временем уйдет пылиться на полку так как обычно это временный порыв, в итоге всё вернётся на круги своя из за не удобности в работе людей и их подчиненных, имеющих власть над асабистами.
Так что выход совсем другой, сделать это с помощью Групповых политик и её "новых" возможностей Preferences, я уже упоминал о них ранее.
Вся операция заключается всего в одном изменение параметра реестра для всех Windows с XP по W7

Для выключения флешек удалите этот параметр реестра
"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesusbstorType"
Для включения восстановите параметр реестра

В итоге мы получим ошибку с кодом 19 при подключении флешки в диспетчере устройств.
"Windows не удалось запустить это устройство, поскольку информация о его конфигурации в реестре неполна или повреждена. (Код 19)"


Как это сделать через GP :
Открываем реестр компьютера


Нам необходимо создать 2 параметра, один будет включать USB disk , дугой выключать
Action Create и Delete


Параметры для Action Create


Параметры для Action Delete



Чтобы выбрать что будет делать политика (отключать или включать) с USB дисками отключите ненужный параметр.



Думаю не все ещё перешли на домен 2008 что бы использовать GP Preferences по этому выкладываю VBS скрипты для "логона"

Enable

Const HKEY_LOCAL_MACHINE = &H80000002
Set objReg = GetObject("winmgmts:{impersonationLevel=impersonate}!.rootdefault:StdRegProv")
intRes = objReg.SetDWordValue (HKEY_LOCAL_MACHINE, "SYSTEMCurrentControlSetServicesUSBSTOR", "Type", 1)

Disabled

Const HKEY_LOCAL_MACHINE = &H80000002
Set objReg = GetObject("winmgmts:{impersonationLevel=impersonate}!.rootdefault:StdRegProv")
intRes = objReg.DeleteValue (HKEY_LOCAL_MACHINE, "SYSTEMCurrentControlSetServicesUSBSTOR", "Type", 1)


PS
Статья создана для Админов с клиентами на платформе WindowsXP, для Windows 7 и Windows Vista предусмотренные штатные параметры групповых политик.
Не работает этот прием для интегрированных в корпус ПК картридеров, но можно удалить под ветку "Enum" в "USBSTOR" и тогда всё будет "работать".
или введите имя

CAPTCHA