Создаем шаблон групповой политики (файл с расширением .adm)
CLASS MACHINE
CATEGORY !!category
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
VALUENAME "Start"
VALUEOFF NUMERIC 3
VALUEON NUMERIC 4
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
VALUENAME "Start"
VALUEOFF NUMERIC 1
VALUEON NUMERIC 4
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
VALUENAME "Start"
VALUEOFF NUMERIC 3
VALUEON NUMERIC 4
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
VALUENAME "Start"
VALUEOFF NUMERIC 3
VALUEON NUMERIC 4
END POLICY
POLICY !!policynameUSB_READ_ONLY
KEYNAME "SYSTEM\CurrentControlSet\Control\StorageDevicePolicies"
EXPLAIN !!explaintextUSB_READ_ONLY
VALUENAME "WriteProtect"
VALUEOFF NUMERIC 0
VALUEON NUMERIC 1
END POLICY
END CATEGORY
[strings]
category="Отключение накопителей"
policynameusb="Отключение USB"
policynamecd="Отключение CD-ROM"
policynameflpy="Отключение Floppy"
policynamels120="Отключение High Capacity Floppy"
policynameUSB_READ_ONLY="Режим Только чтение для USB"
explaintextusb="Закрытие компьютерных USB портов путем отключения usbstor.sys драйвера"
explaintextcd="Закрытие компьютерного CD-ROM привода путем отключения cdrom.sys драйвера"
explaintextflpy="Закрытие компьютерного Floppy Drive путем отключения flpydisk.sys driver"
explaintextls120="Закрытие компьютерного High Capacity Floppy Drive путем отключения sfloppy.sys driver"
explaintextUSB_READ_ONLY="Режим Только чтение для USB через ветвь реестра"
Создаем папку в AD ComputersStorageDevice - в ней группы разрешения (запрет у нас будет для всех кроме):
StorageOn - разрешить всем все
StorageOnlyFloppy - разрешить работу с флоппиками
StorageOnlyRead - разрешить чтение (записывать на флешки нельзя) с cd-rom и flash
Вносим туда компьютеры
Выключить возможность записи на диски стандартной программой Windows получилось только остановив службу "Служба COM записи компакт-дисков IMAPI"
Говорят можно:
1) Поиграться политикой (при этом в политике говориться о некоем сетевом доступе, однако на сайте Microsoft и на форумах говорят, мол, попробуй, и сам увидишь):
КК - КW - ПБ - ЛП - ПБ - Устройства: разрешить доступ к дисководам гибких дисков
КК - КW - ПБ - ЛП - ПБ - Устройства: разрешить доступ к дисководам компакт-дисков
2) В реестре: [HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\ Policies\Explorer] "NoCDBurning"=dword:00000001.
3) Правый клик по CD-диску - "Свойства" - "Запись" - снять галочку с "Разрешить запись на этом устройстве". Перезагрузиться.
Однако политики и реестр не помогли мне отключить даже стандартную программу Windows, а для галочки "Разрешить запись на этом устройстве" так и не нашел ключ в реестре
При этом возможность записи сторонней утилитой оставалась всегда не смотря ни на что, поэтому заморачиваться не стал
Создаем в AD групповую политику StorageDeviceOff
Заходим в безопасность и добавляем наши три группы и ставим запрет на применение политики
Административные шаблоны - Дейтсвие - добавление и удаление шаблонов
Удаляем все, что есть, добавляем нашу
Появляется папка отключение накопителей
Снимаем галочку: Вид - Фильтрация - Показывать только управляемые параметры политики
Видим наши политики, включаем их все
Все, через какое-то время политики срабатывают (где-то значение времени обновления политик должно быть в политиках) и отключается на всех компьютерах, кроме тех, что в группах безопасности
Для них создаем еще 3 политики
StorageOnlyFloppy
StorageDeviceOn
StorageDeviceOnlyRead
Добавляем в каждую в безопасность соответствующую группу с разрешением на применение и удаляем "прошедшие проверку"
Теперь для изменения достаточно добавить компьютер в одну из групп, а для запрета удалить её
Применить политику немедленно можно с помощью psexec так:
@echo off
REM Меняем кодировку
chcp 1251
REM Введите имя компьютера
echo "Введите имя компьютера принудительного прирменения групповых политик"
set /p k=COMP=
psexec \\%k% -u ДОМЕН\логин_администратора -p пароль gpupdate /force
Однако что-то часто gpupdate у клиента подвисает
Если что-то не отрабатывает, можно так:
Создаем batники:
offALL_Device.bat - отключить все
@echo off
REM Меняем кодировку
chcp 1251
REM Введите имя компьютера
echo "Введите имя компьютера для отключения всех накопителей"
set /p k=COMP=
REM Включение драйвера USB Stor
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\USBSTOR /v Start /t REG_DWORD /d 0x00000004 /f
REM Включение Flash В режиме R
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /v WriteProtect /t REG_DWORD /d 0x00000001 /f
REM Выключение драйвера Cdrom
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Cdrom /v Start /t REG_DWORD /d 0x00000004 /f
REM Выключение драйвера Flpydisk
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Flpydisk /v Start /t REG_DWORD /d 0x00000004 /f
REM Выключение драйвера Sfloppy
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Sfloppy /v Start /t REG_DWORD /d 0x00000004 /f
onALL_Device.bat - включить все
@echo off
REM Меняем кодировку
chcp 1251
REM Введите имя компьютера
echo "Введите имя компьютера для включения всех накопителей"
set /p k=COMP=
REM Включение драйвера USB Stor
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\USBSTOR /v Start /t REG_DWORD /d 0x00000003 /f
REM Включение Flash В режиме RW
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /v WriteProtect /t REG_DWORD /d 0x00000000 /f
REM Включение драйвера Cdrom
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Cdrom /v Start /t REG_DWORD /d 0x00000001 /f
REM Включение драйвера Flpydisk
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Flpydisk /v Start /t REG_DWORD /d 0x00000003 /f
REM Включение драйвера Sfloppy
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Sfloppy /v Start /t REG_DWORD /d 0x00000001 /f
onFloppyDevice.bat - Включить floppy
@echo off
REM Меняем кодировку
chcp 1251
REM Введите имя компьютера
echo "Введите имя компьютера для включения всех накопителей"
set /p k=COMP=
REM Выключение драйвера Flpydisk
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Flpydisk /v Start /t REG_DWORD /d 0x00000003 /f
REM Выключение драйвера Sfloppy
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Sfloppy /v Start /t REG_DWORD /d 0x00000003 /f
onUSB_Device_only_R.bat - включить только на чтение
@echo off
REM Меняем кодировку
chcp 1251
REM Введите имя компьютера
echo "Введите имя компьютера для включения всех накопителей"
set /p k=COMP=
REM Включение драйвера USB Stor
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\USBSTOR /v Start /t REG_DWORD /d 0x00000003 /f
REM Включение Flash В режиме R
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /v WriteProtect /t REG_DWORD /d 0x00000001 /f
REM Выключение драйвера Cdrom
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Cdrom /v Start /t REG_DWORD /d 0x00000004 /f
REM Выключение драйвера Flpydisk
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Flpydisk /v Start /t REG_DWORD /d 0x00000004 /f
REM Выключение драйвера Sfloppy
reg add \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Sfloppy /v Start /t REG_DWORD /d 0x00000004 /f
RegQuery_ALL_Device.bat - Запрос о ключах в реестре - можно проверить какие на данный момент
@echo off
REM Меняем кодировку
chcp 1251
REM Введите имя компьютера
echo "Введите имя компьютера для проверки значений реестра"
set /p k=COMP=
REM Включение драйвера USB Stor
reg query \\%k%\hklm\SYSTEM\CurrentControlSet\Services\USBSTOR /v Start
REM Включение Flash В режиме RW
reg query \\%k%\hklm\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /v WriteProtect
REM Включение драйвера Cdrom
reg query \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Cdrom /v Start
REM Включение драйвера Flpydisk
reg query \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Flpydisk /v Start
REM Включение драйвера Sfloppy
reg query \\%k%\hklm\SYSTEM\CurrentControlSet\Services\Sfloppy /v Start
ping -n 60 127.0.0.1 > nul
Все это отрабатывается мгновенно, но срабатывать начинает только после переподключения устройства (вытащить и снова воткнуть флешку)
Подписаться на:
Комментарии к сообщению (Atom)
Комментариев нет:
Отправить комментарий