Browsing posts in: Windows

Отключение USB Flash в Windows XP

Решил опубликовать старые черновики, это один из них.

Давно экспериментировал с блокировкой доступа к USB-накопителям в одной организации. Если бы там были минимум Windows Vista и домен уровня Windows 2008, это всё легко делалось групповыми или локальными политиками, но там половина машин оказалась на Windows XP, а контроллер домена — Windows 2003, поэтому пришлось попотеть. Сразу скажу: это всё низкобюджетный колхоз, в серьёзной организации лучше будет приобрести какой-нибудь нормальный антивирус с центром управления, который позволяет управлять доступом к съёмным устройствам. Я предпочитаю Kaspersky.
В Интернете есть несколько способов, которые мы рассмотрим по-порядку.

1. Статья, которая легко находится в Гугле — официальное руководство от Microsoft по отключению съёмных устройств. Руководство хорошее, но есть одно «но» — для съёмных устройств оно как раз и не подходит. Встроенные CD-ROM и FDD отключаются на ура, а вот USB-носители — нет. После применения политики и перезагрузки новая флешка преспокойно устанавливается в систему.
Кстати, хинт новичкам:  выключает устройства выбор Disable что-то там: Enabled. Ковырявшиеся в групповых политиках уже не подловишь на таких брэйнфаках :)

2. Другая статья от Microsoft. Здесь описываются манипуляции по предотвращению использования ещё неподключённых устройств. Вкратце — нужно в нашу групповую политику в

добавить файлы

и ставим каждому из низ Deny на всё для All и System, остальных удаляем. После этого в появившемся окне выбираем «Replace existing permissions on all subfolders and files with inheritable permissions» У кого серверная винда на китайском или иврите — это третий сверху (или второй снизу) кружок. Вторая часть — это как с помощью реестра выключить драйвер USBSTOR.SYS — мы это уже сделали в первом пункте.

3. Утилита USBDeview от Нира Софера. Там есть много вкусных штуковин, разработчик по гениальности, пожалуй, не уступает Марку Руссиновичу, но сегодня нам понадобится именно эта. Она позволяет управлять драйверами уже установленных USB-устройств, причём по сети в консольном режиме безо всякого psexec’а и даже в графическом!
Драйвера удаляются такой командой:

Вот и всё. Ах да, в домене с Windows 2008 и при Windows не ниже Vista на клиентских компьютерах это делается встроенными средствами:


Глюки в Скайпе

Популярная нынче проблема — «Главная страница Skype недоступна» — уже намозолила мне глаза. Помимо бесполезной страницы перестаёт работать и окно добавления контактов. Оно, в отличие ядра Скайпа, живущего своей жизнью и успешно пролезающего через многие файерволлы, пользуется настройками системы — тем, что указано в «Свойствах обозревателя». Самая распространённая причина — пользователь включил автономный режим или неработающий прокси-сервер в Internet Explorer’е. Во втором случае это часто происходит из-за криво закрытого банк-клиента на базе Inter-Pro, а первый… если честно, то с трудом представляю, если кто-нибудь обнаружит причину, по которой пользователи ставят эту проклятую галочку,  и опишет — с меня пиво :)

Но в этот понедельник было всё по другому. После отлаженных действий я полез проверять по этому адресу. В Опере он благополучно открылся, а вот Internet Explorer ругался на кривой сертификат и предлагал продолжить открытие сайта вручную. При рассмотрении выяснилось, что в системе нет соответствующего корневого сертификата. При этом Windows 7 была поставлена не так уж давно и регулярно обновлялась.

Как выяснилось, скайповский сертификат зависит от Akamai Subordinate CA 3, а он от GTE CyberTrust Global Root. Оба нашлись в Mozilla Firefox на другом компьютере и были импортированы в систему (позже выяснил, что достаточно только GTE). До сих пор сижу и думаю: что это было?  Руками удалили?


Неуловимая кривизна

Только что победил появление окна «Сохранить как…» виртуального xps-принтера при подключении к серверу терминалов Windows Server. Глюк встречается уже не первый раз и не в одном месте, но только сейчас нашлось время им заняться. Как и предполагалось при поверхностном гуглении, проблему вызывал драйвер МФУ Samsung, поставленный по чьей-то прихоти. Проблема довольно редкая — поскольку нормальные люди на сервер ставят только драйвер принтера, а не полный пакет в несколько сотен метров.


Куча терминалов

Сегодня молча ребутнулся терминальный сервер. Зашёл, когда он уже ожил. Полез смотреть логи и дампы памяти; винда традиционно промолчала, зато нашёл куда более интересную ошибку:
Куча рабочих столов!
Побоялся уточнять у Гугла, из кучи чего выделяются рабочие столы в win2003…