Создаем шаблон групповой политики (файл с расширением .adm)
CLASS MACHINE
CATEGORY !!category
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
VALUENAME "Start"
VALUEOFF NUMERIC 3
VALUEON NUMERIC 4
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
VALUENAME "Start"
VALUEOFF NUMERIC 1
VALUEON NUMERIC 4
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
VALUENAME "Start"
VALUEOFF NUMERIC 3
VALUEON NUMERIC 4
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
VALUENAME "Start"
VALUEOFF NUMERIC 3
VALUEON NUMERIC 4
END POLICY
POLICY !!policynameUSB_READ_ONLY
KEYNAME "SYSTEM\CurrentControlSet\Control\StorageDevicePolicies"
EXPLAIN !!explaintextUSB_READ_ONLY
VALUENAME "WriteProtect"
VALUEOFF NUMERIC 0
VALUEON NUMERIC 1
END POLICY
END CATEGORY
[strings]
category="Отключение накопителей"
policynameusb="Отключение USB"
policynamecd="Отключение CD-ROM"
policynameflpy="Отключение Floppy"
policynamels120="Отключение High Capacity Floppy"
policynameUSB_READ_ONLY="Режим Только чтение для USB"
explaintextusb="Закрытие компьютерных USB портов путем отключения usbstor.sys драйвера"
explaintextcd="Закрытие компьютерного CD-ROM привода путем отключения cdrom.sys драйвера"
explaintextflpy="Закрытие компьютерного Floppy Drive путем отключения flpydisk.sys driver"
explaintextls120="Закрытие компьютерного High Capacity Floppy Drive путем отключения sfloppy.sys driver"
explaintextUSB_READ_ONLY="Режим Только чтение для USB через ветвь реестра"
Создаем папку в AD ComputersStorageDevice - в ней группы разрешения (запрет у нас будет для всех кроме):
StorageOn - разрешить всем все
StorageOnlyFloppy - разрешить работу с флоппиками
StorageOnlyRead - разрешить чтение (записывать на флешки нельзя) с cd-rom и flash
Вносим туда компьютеры
Выключить возможность записи на диски стандартной программой Windows получилось только остановив службу "Служба COM записи компакт-дисков IMAPI"
Говорят можно:
1) Поиграться политикой (при этом в политике говориться о некоем сетевом доступе, однако на сайте Microsoft и на форумах говорят, мол, попробуй, и сам увидишь):
КК - КW - ПБ - ЛП - ПБ - Устройства: разрешить доступ к дисководам гибких дисков
КК - КW - ПБ - ЛП - ПБ - Устройства: разрешить доступ к дисководам компакт-дисков
2) В реестре: [HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\ Policies\Explorer] "NoCDBurning"=dword:00000001.
3) Правый клик по CD-диску - "Свойства" - "Запись" - снять галочку с "Разрешить запись на этом устройстве". Перезагрузиться.
Однако политики и реестр не помогли мне отключить даже стандартную программу Windows, а для галочки "Разрешить запись на этом устройстве" так и не нашел ключ в реестре
При этом возможность записи сторонней утилитой оставалась всегда не смотря ни на что, поэтому заморачиваться не стал
Создаем в AD групповую политику StorageDeviceOff
Заходим в безопасность и добавляем наши три группы и ставим запрет на применение политики
Административные шаблоны - Дейтсвие - добавление и удаление шаблонов
Удаляем все, что есть, добавляем нашу
Появляется папка отключение накопителей
Снимаем галочку: Вид - Фильтрация - Показывать только управляемые параметры политики
Видим наши политики, включаем их все
Все, через какое-то время политики срабатывают (где-то значение времени обновления политик должно быть в политиках) и отключается на всех компьютерах, кроме тех, что в группах безопасности
Для них создаем еще 3 политики
StorageOnlyFloppy
StorageDeviceOn
StorageDeviceOnlyRead
Добавляем в каждую в безопасность соответствующую группу с разрешением на применение и удаляем "прошедшие проверку"
Теперь для изменения достаточно добавить компьютер в одну из групп, а для запрета удалить её
Применить политику немедленно можно с помощью psexec так:
@echo off
REM Меняем кодировку
chcp 1251
REM Введите имя компьютера
echo "Введите имя компьютера принудительного прирменения групповых политик"
set /p k=COMP=
psexec \\%k% -u ДОМЕН\логин_администратора -p пароль gpupdate /force
Однако что-то часто gpupdate у клиента подвисает
Если что-то не отрабатывает, можно так:
Создаем batники:
offALL_Device.bat - отключить все
@echo off
REM Меняем кодировку
chcp 1251
REM Введите имя компьютера
echo "Введите имя компьютера для отключения всех накопителей"
set /p k=COMP=
REM Включение драйвера USB Stor
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\USBSTOR /v Start /t REG_DWORD /d 0x00000004 /f
REM Включение Flash В режиме R
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /v WriteProtect /t REG_DWORD /d 0x00000001 /f
REM Выключение драйвера Cdrom
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Cdrom /v Start /t REG_DWORD /d 0x00000004 /f
REM Выключение драйвера Flpydisk
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Flpydisk /v Start /t REG_DWORD /d 0x00000004 /f
REM Выключение драйвера Sfloppy
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Sfloppy /v Start /t REG_DWORD /d 0x00000004 /f
onALL_Device.bat - включить все
@echo off
REM Меняем кодировку
chcp 1251
REM Введите имя компьютера
echo "Введите имя компьютера для включения всех накопителей"
set /p k=COMP=
REM Включение драйвера USB Stor
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\USBSTOR /v Start /t REG_DWORD /d 0x00000003 /f
REM Включение Flash В режиме RW
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /v WriteProtect /t REG_DWORD /d 0x00000000 /f
REM Включение драйвера Cdrom
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Cdrom /v Start /t REG_DWORD /d 0x00000001 /f
REM Включение драйвера Flpydisk
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Flpydisk /v Start /t REG_DWORD /d 0x00000003 /f
REM Включение драйвера Sfloppy
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Sfloppy /v Start /t REG_DWORD /d 0x00000001 /f
onFloppyDevice.bat - Включить floppy
@echo off
REM Меняем кодировку
chcp 1251
REM Введите имя компьютера
echo "Введите имя компьютера для включения всех накопителей"
set /p k=COMP=
REM Выключение драйвера Flpydisk
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Flpydisk /v Start /t REG_DWORD /d 0x00000003 /f
REM Выключение драйвера Sfloppy
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Sfloppy /v Start /t REG_DWORD /d 0x00000003 /f
onUSB_Device_only_R.bat - включить только на чтение
@echo off
REM Меняем кодировку
chcp 1251
REM Введите имя компьютера
echo "Введите имя компьютера для включения всех накопителей"
set /p k=COMP=
REM Включение драйвера USB Stor
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\USBSTOR /v Start /t REG_DWORD /d 0x00000003 /f
REM Включение Flash В режиме R
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /v WriteProtect /t REG_DWORD /d 0x00000001 /f
REM Выключение драйвера Cdrom
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Cdrom /v Start /t REG_DWORD /d 0x00000004 /f
REM Выключение драйвера Flpydisk
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Flpydisk /v Start /t REG_DWORD /d 0x00000004 /f
REM Выключение драйвера Sfloppy
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Sfloppy /v Start /t REG_DWORD /d 0x00000004 /f
RegQuery_ALL_Device.bat - Запрос о ключах в реестре - можно проверить какие на данный момент
@echo off
REM Меняем кодировку
chcp 1251
REM Введите имя компьютера
echo "Введите имя компьютера для проверки значений реестра"
set /p k=COMP=
REM Включение драйвера USB Stor
reg query \\%k%\hklm\SYSTEM\CurrentControlSet\Services\USBSTOR /v Start
REM Включение Flash В режиме RW
reg query \\%k%\hklm\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /v WriteProtect
REM Включение драйвера Cdrom
reg query \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Cdrom /v Start
REM Включение драйвера Flpydisk
reg query \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Flpydisk /v Start
REM Включение драйвера Sfloppy
reg query \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Sfloppy /v Start
ping -n 60 127.0.0.1 > nul
Все это отрабатывается мгновенно, но срабатывать начинает только после переподключения устройства (вытащить и снова воткнуть флешку)
вторник, 15 июня 2010 г.
вторник, 18 мая 2010 г.
Установка UltraVNC в домене
Итак, решение построить поддержку пользователей в домене принято.
Сделаем пакет с доменной авторизацией, доступом по открытым-закрытым ключам
I.
1) Идем на сайт http://vnced.sourceforge.net/ и забираем удобный создатель MSI пакетов. Последняя версия на момент написания VNCed UltraVNC MSI Creator Current Release: 1.1.8. С ней и работаем.
2) Запускаем конфигуратор STEP1.config_ultravnc_settings.bat
Ставим галочки (*) на:
NETWORK
* Enable incoming port - включает порт для доступа слинта к серверной части - по умолчанию (Auto) 5900. Поддержку Java (порт 5800) для доступа из обычного браузера включать не стал - с плагинами шифрования, как я понял, не работает
SECURITY
* New MS Logon - configure - создаем две группы - одна для полного доступа, другая для просмотора, с помощью доменных политик всегда сможем дополнить или удалить участников
Advanced
Убираем все * - запрещаем редактирование сервера со стороны клиента
Encryption
* Use SecureVNCPlugin.dsm
Configuration - создаем в папку ключики Server (позже так же через GPO добавим в папку UltraVNC)и Viewer (положим в папку с нашим вьювером)
Input/FilrTransfer
*Enable
*User impersonation
*Japevese - для поддержки русского языка при переключении раскладки (не забываем включить эту опцию и во вьювере)
* Enable blank Monitor on Viewer Request - до конца не разобрался
MISC
* Disable Tray icon - выключаем иконку в трее - дабы убрать лишние вопросы, ибо на психику пользователей иконка с глазиком даже деактивированная влияет плохо :)
* Log debug infos * File - пусть логируется
SCREEN CAPTURE
* Poll Full Screen - дабы убрать проблемы с отображением набранных букв
* Use system hookdll - так и не понял, что это, но оставил
* Use mirror driver - как установить драйвер средствами GPO так и не понял, но на всякий случай оставил, если установить ручками
CONNECTIONS
Multiple connections
* Disconnect all existing connections - стоит по умолчанию, не трогал. Пробовал подключаться с нескольких компьютеров - ничего не отключается
Disconnect
* Do nothing
3) Запускаем STEP2.build_ultravnc_msi.bat, получаем UltraVNC.msi
4) Копируем этот файл на расшаренную сетевую папку дял общего доступа к нему со всех компьютеров, например \\s1\nt$
II.
Заходим в AD, своййства домена, груповая политика
Создаем новую политику (install_uvnc), изменить - КК - КП - УП - свойства
* удалять приложения, если их использование выходит за рамки использования групповой политики
Установка программ - создать - пакет... - выбираем наш MSI
Через 2 перезагрузки на компьютеры в домене установится данный пакет
III.
Теперь шифрование
Берем наши файлы Server (2 шт) и упаковываем их в MSI программой типа InstallShield. Папкой распаковки указываем соответственно UltraVNC
Также добавляем этот пакет в AD
IV.
Если в домене настроен брендмауэр, то добавляем в него порты:
КК - АдмШабл - Сеть - Сетевые подключения - Брэндмауэр - Профиль домена
5900:TCP:192.168.0.0/24:enabled:uvnc
Сделаем пакет с доменной авторизацией, доступом по открытым-закрытым ключам
I.
1) Идем на сайт http://vnced.sourceforge.net/ и забираем удобный создатель MSI пакетов. Последняя версия на момент написания VNCed UltraVNC MSI Creator Current Release: 1.1.8. С ней и работаем.
2) Запускаем конфигуратор STEP1.config_ultravnc_settings.bat
Ставим галочки (*) на:
NETWORK
* Enable incoming port - включает порт для доступа слинта к серверной части - по умолчанию (Auto) 5900. Поддержку Java (порт 5800) для доступа из обычного браузера включать не стал - с плагинами шифрования, как я понял, не работает
SECURITY
* New MS Logon - configure - создаем две группы - одна для полного доступа, другая для просмотора, с помощью доменных политик всегда сможем дополнить или удалить участников
Advanced
Убираем все * - запрещаем редактирование сервера со стороны клиента
Encryption
* Use SecureVNCPlugin.dsm
Configuration - создаем в папку ключики Server (позже так же через GPO добавим в папку UltraVNC)и Viewer (положим в папку с нашим вьювером)
Input/FilrTransfer
*Enable
*User impersonation
*Japevese - для поддержки русского языка при переключении раскладки (не забываем включить эту опцию и во вьювере)
* Enable blank Monitor on Viewer Request - до конца не разобрался
MISC
* Disable Tray icon - выключаем иконку в трее - дабы убрать лишние вопросы, ибо на психику пользователей иконка с глазиком даже деактивированная влияет плохо :)
* Log debug infos * File - пусть логируется
SCREEN CAPTURE
* Poll Full Screen - дабы убрать проблемы с отображением набранных букв
* Use system hookdll - так и не понял, что это, но оставил
* Use mirror driver - как установить драйвер средствами GPO так и не понял, но на всякий случай оставил, если установить ручками
CONNECTIONS
Multiple connections
* Disconnect all existing connections - стоит по умолчанию, не трогал. Пробовал подключаться с нескольких компьютеров - ничего не отключается
Disconnect
* Do nothing
3) Запускаем STEP2.build_ultravnc_msi.bat, получаем UltraVNC.msi
4) Копируем этот файл на расшаренную сетевую папку дял общего доступа к нему со всех компьютеров, например \\s1\nt$
II.
Заходим в AD, своййства домена, груповая политика
Создаем новую политику (install_uvnc), изменить - КК - КП - УП - свойства
* удалять приложения, если их использование выходит за рамки использования групповой политики
Установка программ - создать - пакет... - выбираем наш MSI
Через 2 перезагрузки на компьютеры в домене установится данный пакет
III.
Теперь шифрование
Берем наши файлы Server (2 шт) и упаковываем их в MSI программой типа InstallShield. Папкой распаковки указываем соответственно UltraVNC
Также добавляем этот пакет в AD
IV.
Если в домене настроен брендмауэр, то добавляем в него порты:
КК - АдмШабл - Сеть - Сетевые подключения - Брэндмауэр - Профиль домена
5900:TCP:192.168.0.0/24:enabled:uvnc
Подписаться на:
Сообщения (Atom)