Ограничаване на достъпа до външни дискове CD, FD, USB предпочитания политика, използвайки група - блог
Ако по някаква причина е необходимо за някои компютри в потребителите ОС Windows напълно да блокира достъпа до възможността за използване на сменяеми носители - може да използва наличните настройки в стандартния Административен раздел на групови правила в Computer Configuration> Administrative Templates> System> Подвижен Access Storage
За да ги приложим към всяка конкретна група от компютри -Можете да създадете отделна група политики с тези зададени параметри и да свърже го примера на контейнера (ОУ) в областта или промяна на разрешенията за защита за тази политика, така че да може да се прилага само за определен домейн сигурност група, която включва съответните компютри.
По-гъвкав подход за решение на този проблем е да се използва за определяне на системния регистър механизми от Предпочитания на груповите правила (ЕОП). Подходът за използване на зелени обществени поръчки, вместо да използвате посочените по-горе стандартни Административни настройките на шаблона ще ни позволи да изградим необходимите ограничения за всяка съществуваща група политика ние нямаме плодове в тази нова GPO. Освен това в тази политика, ние можем да се създаде правила за ограничения, след като в продължение на много различни колекции от компютри с различни типове на насочването (насочване т ниво)
Така че, погледнете малък пример за създаването на настройките зелени обществени поръчки, за да се реши проблема ни. Веднага се изясни съществуващите ни необработени данни - ние трябва да се ограничи достъпа до всички видове външна сменяеми носители за всички потребители, които работят по определена група компютри, работещи под Windows XP, Windows Vista и Windows 7.
Създаване на група за защита на домейн, който включва сметките на всички компютри, на които ние трябва да се налагат ограничения, а след това в Group Policy Компютърна конфигурация> Preferences> Windows Settings> Registry създаде логическа група с най-удобния за нас името, като например съхранение Devices-Ограничете , В моя случай, в рамките на тази група, създадена подгрупата определя членството на компютри с конкретно физическо местоположение и характеристики на тази подгрупа са включени режим, създаден в групата за сигурност домейн насочване. По този начин, всички настройки, които ще създадат в тази подгрупа ще бъдат приложени към клиентски компютри, само ако те са включени в съответната група на домейн.
Преди да се направят корекции в рамките на нашите подгрупи настройки, струва си да се отбележи, че изброените по-горе стандартните опции Административен GPO шаблони са достъпни само за Windows Vista и Windows 7. С Windows XP в това отношение е много по-тъжна. И така, нашите настройки зелени обществени поръчки са разделени в две подгрупи, съответните възможности за лечение, които ще се извършват в зависимост от операционната система на клиента. Това означава, че в рамките на подгрупата от местоположението, ние ще създадем две подгрупи от вида на операционната система.
В рамките на групата WinXP създаде четири основни параметри, всеки от които ще бъде отговорен за изключване на водача система, която дава възможност да се работи с основните видове външни носители. Нашата задача - да промените стартовата вида на водача с помощта на бутона Start в клон на системния регистър:
раздел на системния регистър: HKEY_LOCAL_MACHINE
Registry клон:
SYSTEM \ CurrentControlSet \ Services \ CDROM
SYSTEM \ CurrentControlSet \ Services \ Flpydisk
SYSTEM \ CurrentControlSet \ Services \ Sfloppy
SYSTEM \ CurrentControlSet \ Services \ UsbStor
Легенда: Започнете REG_DWORD = 4
Стойности по подразбиране Таблица за старт у ключ съответния драйвер от системния регистър:
Стойностите по подразбиране, ние може да се наложи в случай, ако ние се изхитри да се върне състоянието на драйверите на компютъра в първоначалното му състояние.
Свойствата на нашите параметрите, зададени ключът Старт се прави равен на 4, което ще определи състоянието, когато водачът е изключен и не се зарежда при всякакви обстоятелства. За повече информация за валидни стойности за този ключ на системния регистър в статията KB103000 - CurrentControlSetServices подключ влизания
Освен това, методите на блокиране на достъпа до USB устройства за съхранение могат да бъдат намерени в статията KB823732 - Как да забраните използването на устройства USB за съхранение. В тази статия ние предлагаме друг фундаментален решение - ограничение в NTFS разрешения на файлове UsbStor (usbstor.pnf и usbstor.inf) драйвер.
Отделно също трябва да отмените функцията клони UsbStor шофьор регистър. Този клон на регистъра съществува в клиентската система, само ако USB устройства са били използвани най-малко веднъж в системата. Поради това е необходимо да се вземе предвид ситуацията, в която, може би, все още не е използвал устройството и за първи път тя се използва, настройките в този клон на системния регистър може да бъдат изтрити по време на първоначалната инициализация шофьор. Това означава, че в този случай за достъп до устройството ще работи само до следващото рестартиране с помощта на новата стойност на стойността Start.
Може би някой полезна информация, която започва с Windows XP SP2, добавя способността да се контролира отделно достъпа за запис в подвижен USB супа:
раздел на системния регистър: HKEY_LOCAL_MACHINE
Отрасъл: System \ CurrentControlSet \ Control \ StorageDevicePolicies
Легенда: WriteProtect REG_DWORD = 1
Сега нека да поговорим за параметрите на зелените обществени поръчки за Windows Vista и Windows 7. За разлика от Windows XP, тези системи ние може да си позволи много по-гъвкави възможности, които се предоставят, за да ни от възможността да работи със специални клонове и ключове в регистъра, предназначени за ограничаване на достъпа до различни видове превозвачи. В действителност, ние ще работят със същите настройки в системния регистър, които се контролират от стандартната административен шаблон Група политика, която обсъждахме в началото.
защото в нашия случай е необходимо да се ограничи достъпа до всички видове устройства, е достатъчно да се опише конфигурацията на само един ключ на системния регистър, обичай политика Всички класове преносима памет: Забранете достъп.
раздел на системния регистър: HKEY_LOCAL_MACHINE
Отрасъл: Software \ Policies \ Microsoft \ Windows \ RemovableStorageDevices
Легенда: Deny_All REG_DWORD = 1
За тези, които се нуждаят от по-прецизен ограничения, например, ако искате да включите ограничението само за определени видове медии или ограничи влизането само на медиите показва съответния регистър стойности възможно съчетаването им с имената на главния стандартната настройка в Административни шаблони. Трябва да се създаде Всички изброени по-долу регистър podvetki в клон
Стойностите на всички ключове и Deny_Read Deny_Write са REG_DWORD тип и могат да имат две форми:
1 - Предотвратяване действа
0 - Забраната не се прилага (можете също така просто да изтриете ключ)
По подразбиране RemovableStorageDevices клонове в системния регистър не съществува, и поради това ще бъдат създадени при първото задействане на нашата политика.
Ако се окаже, че ситуацията ще бъде някакъв сложен супа, които не попадат в нито една от тези класове, вие ще бъдете в състояние да намери клас устройство ID на, като погледнете в диспечера на моментна Device (devmgmt.msc) в свойствата на най-хитър стойност devaysa атрибут класовете устройства GUID (Определя Device Setup Class за вашето устройство в)
Бих искала да отбележа, че можете да намерите описание на някои случаи в Интернет. че игра с ограниченията имат тъжен край, ако потребителят не обърне внимание на процеса на планиране и тестване на параметрите, използвани.
Когато създавате регистър за определяне на правилата и да ги сравняват със стандартни настройки GPO, може да забележите, че повечето от тези параметри са на разположение не само в контекста на Компютърна конфигурация. но също така и в контекста на Потребителска конфигурация. тоест, можете да опитате на Windows Vista и Windows 7 използва механизма на ограничение не е за системата като цяло, но само за някои от своите потребители. За да направите това, да създадете настройки зелени обществени поръчки в User Configuration на групови правила> Preferences> Windows Settings> вписванията и когато те са създадени, за да се уточни HKEY_CURRENT_USER регистър кошера вместо HKEY_LOCAL_MACHINE. като се използва задължително насочване вече не е на група от компютри, както и групи от потребители. Но това е само на теория, и аз имам, че настройките на опции не са проверени.
Така че, след като завършите въвеждането на настройките зелени обществени поръчки, и да чака за прилагане на групови правила за целеви клиентски компютри, ние ще бъдем в състояние да провери механизма за ограничаване на достъпа до действието. На Windows XP системи във всички елементи на потребителския интерфейс ще изчезне всяко споменаване на присъствието на четене подвижни мултимедийни устройства, както и в Мениджър на мига Device (devmgmt.msc), виждаме, че тези устройства са в не-реално време
Отваряне на свойствата на такива устройства, които ще видим, че е необходимо водача за работата му върху системата е изключена.
На Windows Vista и Windows 7 ситуацията ще бъде в нашия случай изглежда по-различно. Всички устройства в потребителския интерфейс, ще бъдат видими, но когато се опитам да ги посетите, ще получим достъп на съобщението е отказан.
