Решил опубликовать старые черновики, это один из них.
Давно экспериментировал с блокировкой доступа к USB-накопителям в одной организации. Если бы там были минимум Windows Vista и домен уровня Windows 2008, это всё легко делалось групповыми или локальными политиками, но там половина машин оказалась на Windows XP, а контроллер домена — Windows 2003, поэтому пришлось попотеть. Сразу скажу: это всё низкобюджетный колхоз, в серьёзной организации лучше будет приобрести какой-нибудь нормальный антивирус с центром управления, который позволяет управлять доступом к съёмным устройствам. Я предпочитаю Kaspersky.
В Интернете есть несколько способов, которые мы рассмотрим по-порядку.
1. Статья, которая легко находится в Гугле — официальное руководство от Microsoft по отключению съёмных устройств. Руководство хорошее, но есть одно «но» — для съёмных устройств оно как раз и не подходит. Встроенные CD-ROM и FDD отключаются на ура, а вот USB-носители — нет. После применения политики и перезагрузки новая флешка преспокойно устанавливается в систему.
Кстати, хинт новичкам: выключает устройства выбор Disable что-то там: Enabled. Ковырявшиеся в групповых политиках уже не подловишь на таких брэйнфаках :)
2. Другая статья от Microsoft. Здесь описываются манипуляции по предотвращению использования ещё неподключённых устройств. Вкратце — нужно в нашу групповую политику в
Computer configuration - Windows Settings - Security Settings - File System
добавить файлы
%SystemRoot%\inf\usbstor.PNF
%SystemRoot%\inf\usbstor.INF
%SystemRoot%\system32\drivers\USBSTOR.SYS
и ставим каждому из низ Deny на всё для All и System, остальных удаляем. После этого в появившемся окне выбираем «Replace existing permissions on all subfolders and files with inheritable permissions» У кого серверная винда на китайском или иврите — это третий сверху (или второй снизу) кружок. Вторая часть — это как с помощью реестра выключить драйвер USBSTOR.SYS — мы это уже сделали в первом пункте.
3. Утилита USBDeview от Нира Софера. Там есть много вкусных штуковин, разработчик по гениальности, пожалуй, не уступает Марку Руссиновичу, но сегодня нам понадобится именно эта. Она позволяет управлять драйверами уже установленных USB-устройств, причём по сети в консольном режиме безо всякого psexec’а и даже в графическом!
Драйвера удаляются такой командой:
usbdeview.exe /remove_by_class \\computer 08;06;50
Вот и всё. Ах да, в домене с Windows 2008 и при Windows не ниже Vista на клиентских компьютерах это делается встроенными средствами:
Computer Configuration|User Configuration - Policies - Administrative Templates - System - Removable Storage Access.