Ограничение пользованием USB портом

[Timurline 48]

На компьютере есть две учетные записи - учетаня запись "администратор" с правами администратора и "пользователь" с также правами администратора. Как можно в операционной системе Windows XP SP3 поставить запрет использования USB устройствами учетной записи пользователя с парвами админа, а у администратора чтобы возможность рабоыт с usb устройствами обязательно была. Методы о которых говорится в msdn - настройка вкладки безопасность на usbstor.inf и usbstor.pnf с запретом чтения и записи не помогло. Также отображается устройство и свободно считывается и записывается с него и на него. Запрет в реестре влечет за собой отказ работы устройства в обоих учетных записях.

 

И ещё: настройки в gpedit конфигурации пользователя - запрет на панель управления, редактирование реестра - влечет запрет и на учетной записи админа. Повторюсь - настройки делаются из под пользователя в конфигурации пользователя. Спасибо за советы.

[Sirinius 20 386]

Windows Steady State от Microsoft решит вашу проблему. Позволяет задавать ограничения определённым пользователям. Очень помогла, когда клиент приобрёл себе в офис Win XP Home, где, как известно, с правами и ограничениями особо не порезвишься.

[Timurline 48]

Попробую, а не на программном уровне, а в самой оболочке есть возможность прикрыть usb порт? И ещё забыл добавить - странно но прикрыв пользователю права на usbstor задние порты перестали работать, но передние как работали так и работают. А 99% флэшек подключаются именно через передние порты.

[Vlad 3 136]

А разве в биосе нельзя отключить USB порт? запаролить биос и все... Если конечно батарейку не вытащат....

[Real Root 7 118]

А разве в биосе нельзя отключить USB порт? запаролить биос и все... Если конечно батарейку не вытащат....

Так по тех. заданию нужно отсавить доступ админу.

 

А по сабжу, есть политика блокирующая доступ к определенным дискам, либо наоборот блокирующая доступ ко всем, кроме указанных. Больше вариантов нет.

[ShPioN 8 552]

А по сабжу, есть политика блокирующая доступ к определенным дискам, либо наоборот блокирующая доступ ко всем, кроме указанных. Больше вариантов нет.

так юсб устройства это ведь не только флешки

[Timurline 48]

Так по тех. заданию нужно отсавить доступ админу.

 

А по сабжу, есть политика блокирующая доступ к определенным дискам, либо наоборот блокирующая доступ ко всем, кроме указанных. Больше вариантов нет.

 

 

То есть имеешь в виду настроить эту политику в gpedit.msc ? Или же в свойствах самого диска? Но в таком случае блокируется доступ только к уже авторизовавшейся флэшке, то есть каждой новой флэш памяти будет открыт доступ.

[Real Root 7 118]

так юсб устройства это ведь не только флешки

Да, таким способом можно предотвратить использование только флешек. Работать с принтером и сканнером и даже USB-тапочками можно будет и далее

То есть имеешь в виду настроить эту политику в gpedit.msc ? Или же в свойствах самого диска? Но в таком случае блокируется доступ только к уже авторизовавшейся флэшке, то есть каждой новой флэш памяти будет открыт доступ.

Да, именно так. А причем тут только для установленных флешек? Там втупую прописывается - Запретить доступ ко всем дискам кроме указанных. Указываешь там C и D диски как разрешенные. На все остальные зайти explorer-ом будет нельзя, даже при введении полного пути. Но таким образом не запретить доступ через Total Commander или через любой другой ФМ. Хотя если не будет доступа на комп таким образом то тоаталу неоткуда взяться будет. Но CMD придет на помощь продвинутому юзеру. Тут опять-таки надо будет отключить возможность использования командной строки и желательно батников. Но опять таки и на эту резьбу есть болт - прямое использование xcopy либо command.com

Если требуется сложная система от утечек информации, то лучше обратиться к спецам в этой сфере и отдать н-ое колличество деньжат...

 

А вообще, какова цель? Можно услышать развернутое ТЗ?

Edited 24.04.2011 21:19 by Real Root

[SeusSS 365]

Ну всё. Суй системник в сейф, выведи из него PS/2,монитор, 220V и на замок :)))

[Real Root 7 118]

Как ни странно, но если требуется дикая секретность - то именно так и делают

А для защиты видеоисгнала можно еще и HDMI поставить вместо D-Sub, правда моник и видяху менять придется

[Timurline 48]

Факт в том что прописал политку запрета доступа пользователям. Задние порты прикрыты, все нормально. Но вот передние работают. Уже все что можно было в gpedit относительно usb портов прикрыто. Ан нет работают.