Можливо я зараз когось розстрою, але абсолютно безпечну систему побудувати не вдасться. Якщо задатися такою метою, то завжди знайдеться спосіб обійти будь-які технічні обмеження. Адже все в кінцевому рахунку впирається в конкретної людини, а тут система безсила.
Спробуємо все-таки трохи ускладнити життя потенційним шпигунам і Павлика Морозова (до речі, якщо вони у вас до сих пір живуть під адміністраторськими правами, то з цим краще зав'язувати).
Повна заборона на використання USB накопичувачів
Радикальний метод (відключення USB в BIOS комп'ютера з подальшим запароліваніем цього самого BIOS) розглядати не будемо. Тут скажімо привіт не тільки флешка, але і мишкам з USB клавіатурами, локальним принтерів та іншої необхідної дурниці.
Нас цікавить значення параметра Start, де:
3 - стандартний режим, без блокувань (за замовчуванням)
4 - блокування USB накопичувачів
Виставляємо потрібне значення. Для застосування змін необхідно перезавантажити комп'ютер. Якщо встановлена блокування, ніякі USD накопичувачі (флешки, внежніе HDD або карти пам'яті) ні орієнтуватися комп'ютером.
Установка захисту записи на флешку
На мій погляд, цей варіант цікавіше - майже як у фільмі ". Всіх впускати - нікого не випускати." (Москва сльозам не вірить). Іншими словами ми забороняємо тільки запис на USB-накопичувачі, що власне і потрібно. Заходимо до реєстру:
Увага! Спочатку розділу StorageDevicePolicies в резделе Control немає (бувають винятки) і його необхідно створити. Тепер в розділі StorageDevicePolicies створюємо параметр WriteProtect типу DWORD.
Значенні параметра WriteProtect:
1 - режим читання (readonly)
0 - режим запису
Ставимо потрібне значення і підключаємо флешку. В даному випадку комп'ютер годі й перезавантажувати. При спробі записати що-небудь на флешку (WriteProtect = 1) буде виведено повідомлення що диск захищений від запису.
Потрібно додати ключ типу DWORD DisableRegistryTools зі значенням 1.
Microsoft нічого не може зробити нормально, так щоб один раз налаштувати і більше не повертатися до цього питання. Складається відчуття, що розробники Windows між собою не спілкуються і права рука не знає що робить ліва.
Забавна ситуація - виявилося, що при підключенні нової флешки до комп'ютера, яка на ньому ще не використовувалася, система благополучно знову змінює ключ реєстру HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ UsbStor на вихідний. І все USB-накопичувачі знову прекрасно починають працювати. і плювати під чиїми правами ви працюєте на комп'ютері. Ось така безпеку.
Для остаточного (сподіваюся більше сюрпризів не буде) вирішення проблеми заборони флешок, необхідно присвоїти користувачу, групі або локального облікового запису SYSTEM дозвіл Заборонити для наступних файлів:
Це рекомендує сама дрібном'який компанія, однак і тут не все гладко. Сам зробив трохи інакше - перейменував ці файли, додавши перед розширенням символ _ і заборонив доступ користувачеві system до зазначеної вище гілці реєстру.
Наостанок наводжу витяг зі статті з сайту техпідтримки.
(Текст зі статті з сайту Microsoft)
Щоб призначити користувачу або групі що забороняють дозволу на файли Usbstor.pnf і Usbstor.inf, виконайте наступні дії:
- Запустіть провідник Windows і знайдіть папку% SystemRoot% \ Inf.
- Клацніть правою кнопкою миші по файлу Usbstor.pnf і виберіть пунктСвойства.
- Перейдіть на вкладку Безпека.
- У списку Групи або користувачі виберіть користувача або групу, для яких необхідно встановити дозволу Заборонити.
- У списку Дозволи для ім'я_користувача або імя_группи встановіть прапорець Заборонити навпроти елемента Повний доступ.
Примітка. Також додайте в список Заборонити обліковий запис System.
- У списку Групи або користувачі виберіть обліковий запис SYSTEM.
- У списку Дозволи для ім'я_користувача або імя_группи встановіть прапорець Заборонити навпроти елемента Повний доступ і натисніть кнопку ОК.
- Клацніть правою кнопкою миші по файлу Usbstor.inf і виберіть пунктСвойства.
- Перейдіть на вкладку Безпека.
- У списку Групи або користувачі виберіть користувача або групу, для яких необхідно встановити дозволу Заборонити.
- У списку Дозволи для ім'я_користувача або імя_группи встановіть прапорець Заборонити навпроти елемента Повний доступ.
- У списку Групи або користувачі виберіть обліковий запис SYSTEM.
- У списку Дозволи для ім'я_користувача або імя_группи встановіть прапорець Заборонити навпроти елемента Повний доступ і натисніть кнопку ОК.