Restricționarea accesului la drive-uri externe CD, fd, USB preferințe politice folosind grup - un blog
Dacă, din anumite motive, este nevoie de unele computere c utilizatorii OC Windows pentru a bloca complet accesul la posibilitatea de utilizare a mass-media amovibil - se poate utiliza setările disponibile în Șabloane secțiunea de administrare standard a politicii de grup în Computer Configuration> Administrative Templates> Sistem> Removable Storage Access
Pentru a aplica aceste setări pentru un anumit grup de calculatoare -Puteți crea o politică de grup separat, cu acești parametrii setați și conectați exemplul acesta la containerul (OU) în domeniul sau de a modifica permisiunile de securitate pentru această politică, astfel încât să poată fi aplicat numai la un anumit domeniu grup de securitate, care include calculatoarele corespunzătoare.
abordare mai flexibilă în soluție a acestei probleme este de a utiliza un registru de stabilire a mecanismelor de Preferințe politica de grup (APE). Abordarea utilizării GPP în loc de a folosi setările standard de șablon administrativ-indicate mai sus ne va permite să construiască restricțiile necesare cu privire la orice politică de grup existent nu avem nici un rod în acest nou GPO. Mai mult decât atât, în această politică, putem stabili reguli pentru restricții odată pentru multe colecții diferite de calculatoare cu diferite tipuri de direcționare (direcționare la nivel de element)
Deci, uita-te la un mic exemplu de crearea de setări ecologice pentru a rezolva problema noastră. Imediat clarifica noastre de date brute existente - trebuie să restricționeze accesul la toate tipurile de media amovibil externe pentru toți utilizatorii care lucrează pe un anumit grup de calculatoare care rulează Windows XP, Windows Vista și Windows 7.
Crearea unui grup de securitate domeniu care include conturile tuturor calculatoarelor pe care trebuie să le impună restricții, și apoi în configurația Computer Group Policy> Preferințe> Windows Settings> Registry a crea un grup logic cu cel mai convenabil pentru noi nume, cum ar fi stocarea-Dispozitive-Restricționarea . În cazul meu, în cadrul acestui grup a creat subgrupa determină apartenența la calculatoare într-o anumită locație fizică și caracteristici ale acestui subgrup au inclus modul creat în grupul de securitate domeniu de direcționare. Astfel, toate setările pe care le vom crea în acest subgrup va fi aplicat la calculatoarele client numai dacă acestea sunt incluse în grupul de domeniu adecvat.
Înainte de a face ajustări în cadrul setărilor de subgrupuri noastre, este de remarcat faptul că opțiunile standard de mai sus-menționate GPO administrativ Șabloanele sunt disponibile numai pentru Windows Vista și Windows 7. Cu Windows XP în acest sens, este mult mai trist. Și astfel setările privind APE sunt împărțite în două subgrupuri relevante, opțiunile de tratament care vor fi efectuate în funcție de sistemul de operare client. Aceasta este, în cadrul subgrupului de locația, vom crea două subgrupuri pe tipul de sistem de operare.
În cadrul grupului WinXP crea patru parametri principali, fiecare dintre care va fi responsabil pentru oprirea conducătorului auto sistem care oferă posibilitatea de a lucra cu principalele tipuri de suporturi externe. Sarcina noastră - pentru a schimba tipul de pornire al conducătorului auto folosind tasta Start din ramura de registru:
registru stup: HKEY_LOCAL_MACHINE
Registrul filiala:
SYSTEM \ CurrentControlSet \ Services \ Cdrom
SYSTEM \ CurrentControlSet \ Services \ Flpydisk
SYSTEM \ CurrentControlSet \ Services \ Sfloppy
SYSTEM \ CurrentControlSet \ Services \ UsbStor
Cheie: Start REG_DWORD = 4
Valorile implicite Tabelul pentru Start-cheie de registru driverului corespunzător y:
Valorile implicite am putea avea nevoie în cazul în care, dacă am născocit pentru a reveni la starea driverele de pe computerul la starea sa inițială.
Proprietățile parametrii noștri setați tasta Start este făcută egală cu 4, ceea ce va determina starea atunci când conducătorul auto este dezactivat și nu este încărcată în nici un caz. Pentru mai multe informații cu privire la valorile valide pentru această cheie de registry în articolul KB103000 - CurrentControlSetServices Intrări subcheia
În plus, metodele de blocare a accesului la dispozitive de stocare USB pot fi găsite în articolul KB823732 - Cum se dezactivează utilizarea dispozitivelor de stocare USB. În această lucrare ne propunem o altă decizie fundamentală - o limitare în permisiunile NTFS la fișiere UsbStor (usbstor.inf și usbstor.inf) conducător auto.
Separat ar trebui să anuleze, de asemenea, ramurile caracteristica UsbStor registru conducător auto. Această ramură de registru există în sistemul client numai dacă drive-urile USB au fost utilizate cel puțin o dată în sistem. Prin urmare, este necesar să se țină seama de situația în care, probabil, nu a fost încă utilizată unitatea, iar prima dată când este utilizat, setările din această ramură a registrului poate fi suprascrisă în timpul inițializării inițiale de conducător auto. Aceasta este, în acest caz, accesul la dispozitivul va funcționa numai până la următoarea repornire folosind noua valoare a valorii Start.
Poate cineva informații utile, care începând cu Windows XP SP2 adaugă capacitatea de a controla separat accesul de scriere la Supă USB amovibil:
registru stup: HKEY_LOCAL_MACHINE
Branch: System \ CurrentControlSet \ Control \ StorageDevicePolicies
Cheie: WriteProtect REG_DWORD = 1
Acum, hai sa vorbim despre parametrii GPP pentru Windows Vista și Windows 7. Spre deosebire de Windows XP, aceste sisteme ne putem permite opțiuni mult mai flexibile, care ne sunt furnizate de posibilitatea de a opera cu ramuri speciale și cheile de registry concepute pentru a restricționa accesul la diverse tipuri de purtători. De fapt, vom opera cu aceleași setări de registry care sunt controlate de standardul șablon de politică grup administrativ, pe care am discutat la început.
pentru că, în cazul nostru, este necesar să se restricționeze accesul la toate tipurile de dispozitive, este suficient pentru a descrie configurația o singură cheie de registru, politica personalizate Toate clasele de stocare amovibil: Interzice toate căile de acces.
registru stup: HKEY_LOCAL_MACHINE
Filiala: SOFTWARE \ Policies \ Microsoft \ Windows \ RemovableStorageDevices
Cheie: Deny_All REG_DWORD = 1
Pentru cei care au nevoie de restricții mai fin, de exemplu, dacă doriți să includă restricția numai la anumite tipuri de media sau să restricționeze intrarea doar la mass-media arată valori posibile registrul corespunzător de potrivire a le cu numele setarea standard majore în Administrative Templates. Toate registru podvetki listat mai jos ar trebui să fie create într-o ramură
Valorile tuturor tastelor Deny_Read și Deny_Write sunt de tip REG_DWORD, și poate lua două forme:
1 - acționează Prevent
0 - Interdicția nu se aplică (puteți, de asemenea, pur și simplu ștergeți-cheie)
RemovableStorageDevices implicite sucursale în registru nu există, și, prin urmare, va fi creat la prima aplicare a politicii noastre.
În cazul în care se dovedește că situația dumneavoastră va fi o supă de dificil, care nu se încadrează în niciuna dintre aceste clase, va fi capabil de a găsi ID-ul de clasă dispozitiv prin căutarea într-un Manager de completare snap dispozitiv (devmgmt.msc) în proprietățile valorii atributului devaysa cel mai viclean GUID clasa de dispozitiv (a determina clasa de configurare a dispozitivului pentru dispozitivul dvs.)
Observ că puteți găsi o descriere a unor cazuri de pe Internet. că jocul cu restricțiile au un final trist, în cazul în care utilizatorul nu acordă o atenție la procesul de planificare și testare a parametrilor utilizați.
Când creați un registru de stabilire a normelor și compararea acestora cu setările standard PG, este posibil să observați că cele mai multe dintre acești parametri sunt disponibile nu numai în contextul configurației calculatorului. dar, de asemenea, în contextul User Configuration. că este, puteți încerca pe Windows Vista și Windows 7 utilizează mecanismul de restricție nu este pentru sistem ca întreg, dar numai pentru unii dintre utilizatorii săi. Pentru a face acest lucru, creați un setările privind APE în politica de grup de configurare utilizator> Preferințe> Setări pentru Windows> Registry și atunci când acestea sunt create pentru a specifica de registru stup HKEY_CURRENT_USER în loc de HKEY_LOCAL_MACHINE. folosind un mod necesar de direcționare nu mai este pe un grup de calculatoare și grupuri de utilizatori. Dar aceasta este doar în teorie, și eu însumi am că setările de opțiuni nu sunt verificate.
Deci, după ce a terminat setarea setărilor GPP, și așteptați pentru punerea în aplicare a politicii de grup pe un calculator client vizate, vom fi în măsură să verifice mecanismul de restricționare a accesului la acțiune. Pe sistemele Windows XP în toate elementele interfeței cu utilizatorul va dispărea orice mențiune cu privire la prezența citirea dispozitivelor media amovibile, ca într-un Manager de completare snap dispozitiv (devmgmt.msc), vom vedea că aceste dispozitive sunt în timp real, non-
Deschiderea proprietățile oricăror astfel de dispozitive, vom vedea că șoferul necesar pentru activitatea sa privind sistemul este oprit.
În Windows Vista și Windows 7 va fi situația în cazul nostru arata diferit. Toate dispozitivele din interfața cu utilizatorul va fi vizibil, dar când încerc să le acceseze, vom primi mesajul Access Denied.
