четверг, 7 ноября 2013 г.

Отключение USB накопителей в Windows XP

Отключение USB накопителей в Windows XP

Осталось совсем немного времени до окончания поддержки этой ОС, но все-таки...
Итак пользователь не должен иметь возможность читать, писать и видеть свой носитель в системе, впрочем как и сама система не должна этого делать. Не знаю, что и важнее. Не смотря на то, что где-то около года назад Microsoft выпустила заплатку, не дающую автозапуск  со съемных носителей, но кто бы ее еще ставил. В киосках быстрой печати фотографий о ней совсем не знают. Вот и ходят вирусы от флешки к флэшке. :-)



Что-то я отвлекся, вернусь к предмету.
Запрет использования разбивается на 2 части.
1. Изменение ключей реестра. (можно через групповые политики, шаблоном.)
2. Удаление прав доступа к файлам usbstor.inf и usbstor.pnf.

Второй пункт необходим для того, чтобы неизвестный ранее системе носитель волшебным образом не появлялся перед глазами пользователя. Это, мягко говоря, нелепо. Известные носители мы запрещаем к показу, а неизвестные пожалуйста. Пункт 2 обязателен для исполнения. Рецепт, между прочим, от Microsoft.



Итак, по первому пункту делаем следующее.
В реестре windows меняем значение параметра
HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Start  c 3 на 4 руками или при помощи групповых политик на компьютерах пользователей.
Или можно воспользоваться шаблонами групповых политик

usb.adm


CLASS MACHINE
CATEGORY !!category
 CATEGORY !!categoryname
  POLICY !!policynameusb
   KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
   EXPLAIN !!explaintextusb
     PART !!labeltextusb DROPDOWNLIST REQUIRED

       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynamecd
   KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
   EXPLAIN !!explaintextcd
     PART !!labeltextcd DROPDOWNLIST REQUIRED

       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 1 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynameflpy
   KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
   EXPLAIN !!explaintextflpy
     PART !!labeltextflpy DROPDOWNLIST REQUIRED

       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
 END CATEGORY
END CATEGORY

[strings]
category="Сменные носители"
categoryname="Отключение дисководов"
policynameusb="Отключить порты USB"
policynamecd="Отключить дисководы CD дисков"
policynameflpy="Отключить дисковод гибких дисков"
explaintextusb="Отключение портов USB через отключение драйвера usbstor.sys"
explaintextcd="Отключение дисководов CD дисков через отключение драйвера cdrom.sys"
explaintextflpy="Отключение дисковода гибких дисков через отключение драйвера flpydisk.sys"
labeltextusb="Отключить порты USB"
labeltextcd="Отключить CD дисководы"
labeltextflpy="Отключить Floppy"
Enabled="Включено"
Disabled="Отключено"


еще один административный шаблон на английском, включает немного больше устройств


CLASS MACHINE
CATEGORY !!category
 CATEGORY !!categoryname
  POLICY !!policynameusb
   KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
   EXPLAIN !!explaintextusb
     PART !!labeltextusb DROPDOWNLIST REQUIRED

       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynamecd
   KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
   EXPLAIN !!explaintextcd
     PART !!labeltextcd DROPDOWNLIST REQUIRED

       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 1 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynameflpy
   KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
   EXPLAIN !!explaintextflpy
     PART !!labeltextflpy DROPDOWNLIST REQUIRED

       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynamels120
   KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
   EXPLAIN !!explaintextls120
     PART !!labeltextls120 DROPDOWNLIST REQUIRED

       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
 END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"


В редакторе групповых политик не забываем отключать фильтр для просмотра всех ключей.

второй этап заключается удалении прав ВСЕХ пользователей на файлы windows\inf\usbstor.inf и windows\inf\usbstor.pnf Пользователь SYSTEM также не должен иметь прав на эти файлы!

Без выполнения последнего действия  новая, неизвестная системе флэшка окажется доступной пользователю. При повторном подключении система ее не отобразит, но и одного раза вполне бывает достаточно для множества проблем с вирусами.


Источник: http://imhotak.blogspot.com/2013/02/usb-windows-xp.html