Запрет на установку флешек

@Laikki · Регистрация: 22.02.2012

Author24 — интернет-сервис помощи студентам

Доброго времени суток. Помогите пожалуйста реализовать запрет на использование незнакомых флешек (то есть те, чтобы подключались только разрешенные). Сделать это крайне желательно через GPO, без стороннего ПО, не разрешают

Пробовал написать скрипт на блокировку ветки реестра CurrentControlSet/.../Enum/Usbstor но разделы почему то все равно создаются

Код

C:\subinacl.exe /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR" /Deny=SYSTEM=SCLDWO 
   C:\subinacl.exe /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USBSTOR" /Deny=SYSTEM=SCLDWO 
   C:\subinacl.exe /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR" /Deny=SYSTEM=SCLDWO 
   C:\subinacl.exe /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR" /Deny=Все=SCLDWO 
   C:\subinacl.exe /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USBSTOR" /Deny=Все=SCLDWO 
   C:\subinacl.exe /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR" /Deny=Все=SCLDWO

Пробовал через блокировку файлов inf/Usbstor.inf +.pnf пока файла /system32/drivers/Usbstor.sys нет, если заблокировать файлы он не появляется и флешки не работают, но стоит только 1 раз разрешить, как все флешки спокойно подключаются. Ставлю на Usbstor.sys запрет вообще любого доступа, система все равно молча использует, если даже надо то пересоздает

Код

cacls "%SystemRoot%/Inf/Usbstor.pnf" /E /P "ЋЇлв*лҐ Ї®«м§®ў вҐ«Ё":n 
cacls "%SystemRoot%/Inf/Usbstor.pnf" /E /P "Џ®«м§®ў вҐ«Ё":n 
cacls "%SystemRoot%/Inf/Usbstor.pnf" /E /P "Ђ¤¬Ё*Ёбва в®ал":n 
cacls "%SystemRoot%/Inf/Usbstor.pnf" /E /P "Џ®«м§®ў вҐ«Ё ¤®¬Ґ* ":n 
cacls "%SystemRoot%/Inf/Usbstor.pnf" /E /P "Ђ¤¬Ё*Ёбва в®ал ¤®¬Ґ* ":n 
cacls "%SystemRoot%/Inf/Usbstor.pnf" /E /P "System":n 
cacls "%SystemRoot%/Inf/Usbstor.pnf" /E /P "‚бҐ":n 

cacls "%SystemRoot%/Inf/Usbstor.inf" /E /P "ЋЇлв*лҐ Ї®«м§®ў вҐ«Ё":n 
cacls "%SystemRoot%/Inf/Usbstor.inf" /E /P "Џ®«м§®ў вҐ«Ё":n 
cacls "%SystemRoot%/Inf/Usbstor.inf" /E /P "Ђ¤¬Ё*Ёбва в®ал":n 
cacls "%SystemRoot%/Inf/Usbstor.inf" /E /P "Џ®«м§®ў вҐ«Ё ¤®¬Ґ* ":n 
cacls "%SystemRoot%/Inf/Usbstor.inf" /E /P "Ђ¤¬Ё*Ёбва в®ал ¤®¬Ґ* ":n 
cacls "%SystemRoot%/Inf/Usbstor.inf" /E /P "System":n 
cacls "%SystemRoot%/Inf/Usbstor.inf" /E /P "‚бҐ":n 

rename "%SystemRoot%\System32\dllcache\Usbstor.sys" "Usbstor_off.sys" 
rename "%SystemRoot%\System32\Drivers\Usbstor.sys" "Usbstor_off.sys" 
rename "C:\WINDOWS\ServicePackFiles\i386\Usbstor.sys" "Usbstor_off.sys"

magirus · 16.05.2012, 13:10

домен?

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\flpydisk]
"Start"=dword:00000004

через reg add в батнике. батник на логон юзера.

@Laikki · 16.05.2012, 13:24 **[ТС]**

Сообщение от magirus

через reg add в батнике. батник на логон юзера.

Оно разве не отключит использование всех флешек?

magirus · 16.05.2012, 13:33

да всех.

нужно обладать правами локального администратора:

Win+R (аналог Пуск -> Выполнить), regedit.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR]. Этот ключ хранит информацию о всех когда-либо подключенных USB-носителях.
Даем себе полный доступ на USBSTOR (правая клавиша мыши -> Разрешения, отметить пункт Полный доступ у группы ВСЕ).
Удаляем все содержимое USBSTOR.
Подключаем одобренную фэшку, убеждаемся в том, что она определилась. Внутри USBSTOR должен появиться ключ типа Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07 (F5 для обновления списка).
Опять ПКМ на USBSTOR, Разрешения. Убираем Полный доступ у группы ВСЕ, право на чтение оставляем.
Те же самые права нужно назначить пользователю SYSTEM, но напрямую это сделать не получится. Сначала нужно нажать кнопку Дополнительно, убрать галку Наследовать от родительского обьекта…, в появившемся окне Безопасность сказать Копировать. После очередного нажатия на ОК права пользователя SYSTEM станут доступны для изменения.
Для закрепления эффекта нажимаем кнопку Дополнительно еще раз и отмечаем пункт Заменить разрешения для всех дочерних объектов… Подтверждаем выполнение.

Чего же мы добились в итоге?
Разрешенная флешка подключается и отключается без проблем. При попытке же несанкционированного подключения Windows определит устройство, но установить его не сможет, ругнувшись.

Причем, в USBSTOR'е будет создан новый ключ, который недвусмысленно укажет на попытку подключения неодобренного USB-накопителя.

@Laikki · 16.05.2012, 13:57 **[ТС]**

Это надо как то реализовать для GPO
Я что-то пытался сделать, но у меня не очень хорошо получилось:

C++

C:\subinacl.exe /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR" /Grant=SYSTEM=F
C:\subinacl.exe /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USBSTOR" /Grant=SYSTEM=F
C:\subinacl.exe /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR" /Grant=SYSTEM=F
C:\subinacl.exe /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR" /Grant=Все=F
C:\subinacl.exe /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USBSTOR" /Grant=Все=F
C:\subinacl.exe /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR" /Grant=Все=F
 
reg query HKLM\SYSTEM\CurrentControlSet\ /ve
if %ERRORLEVEL% EQU 0 (
    REG DELETE HKLM\SYSTEM\ControlSet001\Enum\USBSTOR /f
    REG DELETE HKLM\SYSTEM\ControlSet002\Enum\USBSTOR /f
    REG DELETE HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR /f
 
    REG ADD HKLM\SYSTEM\ControlSet001\Enum\USBSTOR /f
    REG ADD HKLM\SYSTEM\ControlSet002\Enum\USBSTOR /f
    REG ADD HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR /f
 
    REG ADD HKLM\SYSTEM\CurrentControlSet\ /v USB_Block /t REG_EXPAND_SZ /d Enabled
) else echo UZHE
 
 
set "$red="& for /f "tokens=2*" %%a in (
'REG QUERY "HKLM\SYSTEM\CurrentControlSet" /v USB_Access ^| Find "REG_EXPAND_SZ"'
) do set "$red=%%b"
if "%$red%"=="Disabled" (
    C:\subinacl.exe /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR" /Deny=SYSTEM=SCLDWO
    C:\subinacl.exe /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USBSTOR" /Deny=SYSTEM=SCLDWO
    C:\subinacl.exe /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR" /Deny=SYSTEM=SCLDWO
    C:\subinacl.exe /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR" /Deny=Все=SCLDWO
    C:\subinacl.exe /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USBSTOR" /Deny=Все=SCLDWO
    C:\subinacl.exe /subkeyreg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR" /Deny=Все=SCLDWO
)

17.08.2012, 08:25

Мне тоже пришлось заняться этим вопросом и этот способ (с разделом enum\USBSTOR) мне приглянулся. Но в ходе его проверки выяснилось, что он не дает эффекта. Произведем данную процедуру с enum\USBSTOR, затем возьмем флэшку, которая ранее подключалась к компу, но не считается "доверенной". Подключим ее, появится диалог "Не удалось установить оборудование", не закрываем его, извлекаем флэшку и снова вставляем. Флэшка обнаруживается и работает. Все это происходит под админом. Под пользователем еще смешнее. Вставляем флэшку, Винда просит ввести имя и пароль администратора, отказываемся, Винда горестно сообщает, что мы не имеем право устанавливать это устройство, говорим ОК, после этого появляется уведомление, что драйвер установлен и устройство готово к работе. И это истинно так!

Новые блоги и статьи
Книги и учебные ресурсы по C# InfoMaster 08.01.2025 Базовые учебники и руководства Одной из лучших книг для начинающих является "C# 10 и . NET 6 для начинающих" Эндрю Троелсена и Филиппа Джепикса . Книга последовательно раскрывает основные концепции. . .	Что такое NullReferenceException и как исправить? InfoMaster 08.01.2025 NullReferenceException - одно из самых распространенных исключений, с которым сталкиваются разработчики на C#. Это исключение возникает при попытке обратиться к членам объекта (методам, свойствам или. . .	Что такое Null Pointer Exception (NPE) и как это исправить? InfoMaster 08.01.2025 Null Pointer Exception (NPE) - это одно из самых распространенных исключений в Java, которое возникает при попытке использовать ссылку на объект, значение которой равно null. Это исключение относится. . .	Русский язык в консоли C++ InfoMaster 08.01.2025 При разработке программ на C++ одной из частых проблем, с которой сталкиваются русскоязычные программисты, является корректное отображение кириллицы в консольных приложениях. Эта проблема особенно. . .	Telegram бот на C# InfoMaster 08.01.2025 Разработка ботов для Telegram стала неотъемлемой частью современной экосистемы мессенджеров. C# предоставляет мощный и удобный инструментарий для создания разнообразных ботов, от простых. . .	Использование GraphQL в Go (Golang) InfoMaster 08.01.2025 Go (Golang) является одним из наиболее популярных языков программирования, используемых для создания высокопроизводительных серверных приложений. Его архитектурные особенности и встроенные. . .
Что лучше использовать при создании класса в Java: сеттеры или конструктор? Alexander-7 08.01.2025 Вопрос подробнее: На вопрос: «Когда одновременно создаются конструктор и сеттеры в классе – это нормально?» куратор уточнил: «Ваш класс может вообще не иметь сеттеров, а только конструктор и геттеры. . .	Как работать с GraphQL на TypeScript InfoMaster 08.01.2025 Введение в GraphQL и TypeScript В современной разработке веб-приложений GraphQL стал мощным инструментом для создания гибких и эффективных API. В сочетании с TypeScript, эта технология. . .	Счётчик на базе сумматоров + регистров и генератора сигналов согласования. Hrethgir 07.01.2025 Создан с целью проверки скорости асинхронной логики: ранее описанного сумматора и предополагаемых fast регистров. Регистры созданы на базе ранее описанного, предполагаемого fast триггера. То-есть. . .	Как перейти с Options API на Composition API в Vue.js BasicMan 06.01.2025 Почему переход на Composition API актуален В мире современной веб-разработки фреймворк Vue. js продолжает эволюционировать, предлагая разработчикам все более совершенные инструменты для создания. . .	Архитектура современных процессоров inter-admin 06.01.2025 Процессор (центральный процессор, ЦП) является основным вычислительным устройством компьютера, которое выполняет обработку данных и управляет работой всех остальных компонентов системы. Архитектура. . .	История создания реляционной модели баз данных, правила Кодда Programming 06.01.2025 Предпосылки создания реляционной модели В конце 1960-х годов компьютерная индустрия столкнулась с серьезными проблемами в области управления данными. Существовавшие на тот момент модели данных -. . .

magirus Почетный модератор 28046 / 15779 / 983 Регистрация: 15.09.2009 Сообщений: 67,752 Записей в блоге: 78
	16.05.2012, 13:10	2
	домен? [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\flpydisk] "Start"=dword:00000004 через reg add в батнике. батник на логон юзера. 0

@Laikki 0 / 0 / 0 Регистрация: 22.02.2012 Сообщений: 9
	16.05.2012, 13:24 [ТС]	3
	Сообщение от magirus через reg add в батнике. батник на логон юзера. Оно разве не отключит использование всех флешек? 0

magirus Почетный модератор 28046 / 15779 / 983 Регистрация: 15.09.2009 Сообщений: 67,752 Записей в блоге: 78
	16.05.2012, 13:33	4
	да всех. нужно обладать правами локального администратора: Win+R (аналог Пуск -> Выполнить), regedit. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR]. Этот ключ хранит информацию о всех когда-либо подключенных USB-носителях. Даем себе полный доступ на USBSTOR (правая клавиша мыши -> Разрешения, отметить пункт Полный доступ у группы ВСЕ). Удаляем все содержимое USBSTOR. Подключаем одобренную фэшку, убеждаемся в том, что она определилась. Внутри USBSTOR должен появиться ключ типа Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07 (F5 для обновления списка). Опять ПКМ на USBSTOR, Разрешения. Убираем Полный доступ у группы ВСЕ, право на чтение оставляем. Те же самые права нужно назначить пользователю SYSTEM, но напрямую это сделать не получится. Сначала нужно нажать кнопку Дополнительно, убрать галку Наследовать от родительского обьекта…, в появившемся окне Безопасность сказать Копировать. После очередного нажатия на ОК права пользователя SYSTEM станут доступны для изменения. Для закрепления эффекта нажимаем кнопку Дополнительно еще раз и отмечаем пункт Заменить разрешения для всех дочерних объектов… Подтверждаем выполнение. Чего же мы добились в итоге? Разрешенная флешка подключается и отключается без проблем. При попытке же несанкционированного подключения Windows определит устройство, но установить его не сможет, ругнувшись. Причем, в USBSTOR'е будет создан новый ключ, который недвусмысленно укажет на попытку подключения неодобренного USB-накопителя. 1

barmaglot17
	17.08.2012, 08:25	6
	Мне тоже пришлось заняться этим вопросом и этот способ (с разделом enum\USBSTOR) мне приглянулся. Но в ходе его проверки выяснилось, что он не дает эффекта. Произведем данную процедуру с enum\USBSTOR, затем возьмем флэшку, которая ранее подключалась к компу, но не считается "доверенной". Подключим ее, появится диалог "Не удалось установить оборудование", не закрываем его, извлекаем флэшку и снова вставляем. Флэшка обнаруживается и работает. Все это происходит под админом. Под пользователем еще смешнее. Вставляем флэшку, Винда просит ввести имя и пароль администратора, отказываемся, Винда горестно сообщает, что мы не имеем право устанавливать это устройство, говорим ОК, после этого появляется уведомление, что драйвер установлен и устройство готово к работе. И это истинно так!