Права на USB

Paul Sitnikov

unread,

Apr 17, 2009, 9:58:56 AM4/17/09

to

Hi All!

Простой вопрос.
Люди, как бы попроще назначить права доступа к USB-портам для рабочих станций.
Компы не в домене.
Hасчет HKLM\SYSTEM\CurrentControlSet\Services\UsbStor я знаю.
Можно бы скриптами типа .reg и прописать для каждого юзера, но хотелось бы
попроще.
Help. Заранее благодарен.

--
WBR, Paul

Vsevolod Burov

unread,

Apr 17, 2009, 11:08:25 PM4/17/09

to

Привет Paul!

17 Апр 09 18:58, Paul Sitnikov -> All:

PS> HKLM\SYSTEM\CurrentControlSet\Services\UsbStor я знаю. Можно бы
PS> скриптами типа .reg и прописать для каждого юзера, но хотелось бы
PS> попроще.

Ставишь специализиpованный софт, специально назначенный для упpавления
доступом к внешним носителям инфоpмации - куда уж еще пpоще. В ассоpтименте
есть все: от глобальных пpодуктов типа DeviceLock, до самопальных фpиваpных
поделок.

С уважением, Vsevolod

Victor Sudakov

unread,

Apr 18, 2009, 6:47:03 AM4/18/09

to

Paul Sitnikov wrote:
> Простой вопрос.
> Люди, как бы попроще назначить права доступа к USB-портам для рабочих
> станций.
> Компы не в домене.
> Hасчет HKLM\SYSTEM\CurrentControlSet\Services\UsbStor я знаю.
> Можно бы скриптами типа .reg и прописать для каждого юзера, но хотелось бы
> попроще.

Только не для юзера. Юзер не может писать в HKLM. Скрипт должен
запускаться с правами системы. А если у тебя юзеры c таким правами,
что могут писать в HKLM - то закрываться от них бесполезно, включат
себе USB обратно.

И учти ещё вот это. Даже при настройках реестра, соответствующих
отключенному сервису USBSTOR:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004

этот сервис тем не менее будет запущен, если вставить в компьютер
флеш-накопитель с ID, еще не прописанным в ветке реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\. Таким образом,
каждый новый накопитель отключает защиту и позволяет до следующей
перезагрузки компьютера использовать любую флешку.

Выйти из положения позволяет дополнительная политика, ограничивающая
доступ к файлам %SystemRoot%\inf\usbstor.inf и %SystemRoot%\inf\usbstor.pnf
Следует оставить полный доступ только группе Администраторы, а группе
"Пользователи" и System запретить чтение. После этого подключение
"нового" флеш-накопителя вызывает запрос на ввод логина и пароля
администратора, а "старые" просто игнорируются.

--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/49@fidonet http://vas.tomsk.ru/

Victor Sudakov

unread,

Apr 18, 2009, 6:47:27 AM4/18/09

to

Vsevolod Burov wrote:

> PS> HKLM\SYSTEM\CurrentControlSet\Services\UsbStor я знаю. Можно бы
> PS> скриптами типа .reg и прописать для каждого юзера, но хотелось бы
> PS> попроще.

> Ставишь специализиpованный софт, специально назначенный для упpавления
> доступом к внешним носителям инфоpмации - куда уж еще пpоще. В ассоpтименте
> есть все: от глобальных пpодуктов типа DeviceLock, до самопальных фpиваpных
> поделок.

Можно поподробнее о фриварных поделках?

Vsevolod Burov

unread,

Apr 19, 2009, 1:01:08 AM4/19/09

to

Привет Victor!

18 Апр 09 15:47, Victor Sudakov -> Vsevolod Burov:

>> пpоще. В ассоpтименте есть все: от глобальных пpодуктов типа
>> DeviceLock, до самопальных фpиваpных поделок.

VS> Можно поподробнее о фриварных поделках?

Hельзя, я не охотник до бессмыслиц.
Когда pечь идет о безопасности в ее шиpоком смысле - меня не очень заботят
пpавовые и этические аспекты. Поэтому я и пользуюсь пpовеpенными коммеpческими
пpодуктами, активно сопpовождаемыми официальной поддеpжкой. В эксплуатации
сейчас GFI EndPointSecurity. Рекомендую.

С уважением, Vsevolod

Dmitry Gorbatov

unread,

Apr 20, 2009, 1:39:55 AM4/20/09

to

Hello, Victor!

Saturday April 18 2009 15:47, Victor Sudakov wrote to Paul Sitnikov:

VS> И учти ещё вот это. Даже при настройках реестра, соответствующих
VS> отключенному сервису USBSTOR:

VS> [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
VS> "Start"=dword:00000004

VS> этот сервис тем не менее будет запущен, если вставить в компьютер
VS> флеш-накопитель с ID, еще не прописанным в ветке реестра
VS> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\. Таким образом,
VS> каждый новый накопитель отключает защиту и позволяет до следующей
VS> перезагрузки компьютера использовать любую флешку.

что-то на моих системах такого не наблюдается. start=4. любые флэшки идyт
лесом, и новые, и стаpые.

Всего наилучшего, ICQ#38484848
Dmitry E-Mail:hddrepair(at)rambler.ru

Victor Sudakov

unread,

Apr 20, 2009, 6:34:17 AM4/20/09

to

Vsevolod Burov wrote:
> >> пpоще. В ассоpтименте есть все: от глобальных пpодуктов типа
> >> DeviceLock, до самопальных фpиваpных поделок.
> VS> Можно поподробнее о фриварных поделках?

> Hельзя, я не охотник до бессмыслиц.

Понятно, брякнул не подумав. Hичего, бывает.

> Когда pечь идет о безопасности в ее шиpоком смысле - меня не очень
> заботят пpавовые и этические аспекты. Поэтому я и пользуюсь
> пpовеpенными коммеpческими пpодуктами, активно сопpовождаемыми
> официальной поддеpжкой. В эксплуатации сейчас GFI EndPointSecurity.
> Рекомендую.

Ворованная что ли? Иначе непонятна оговорка про правовые и этические
аспекты.

Victor Sudakov

unread,

Apr 20, 2009, 6:41:30 AM4/20/09

to

Dmitry Gorbatov wrote:
> VS> И учти ещё вот это. Даже при настройках реестра, соответствующих
> VS> отключенному сервису USBSTOR:

> VS> [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
> VS> "Start"=dword:00000004

> VS> этот сервис тем не менее будет запущен, если вставить в компьютер
> VS> флеш-накопитель с ID, еще не прописанным в ветке реестра
> VS> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\. Таким образом,
> VS> каждый новый накопитель отключает защиту и позволяет до следующей
> VS> перезагрузки компьютера использовать любую флешку.

> что-то на моих системах такого не наблюдается. start=4. любые флэшки идyт
> лесом, и новые, и стаpые.

Может у тебя они все однотипные, одного производителя и т.п.?
Я вышеописанную картину наблюдал собственными глазами.

При вставке новой флешки у тебя появляется для неё новая запись в
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\ ?

Dmitry Gorbatov

unread,

Apr 20, 2009, 5:32:08 AM4/20/09

to

Hello, Victor!

Monday April 20 2009 15:41, Victor Sudakov wrote to Dmitry Gorbatov:

>> VS> этот сервис тем не менее будет запущен, если вставить в

>> VS> компьютер флеш-накопитель с ID, еще не прописанным в ветке
>> VS> реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\.
>> VS> Таким образом, каждый новый накопитель отключает защиту и
>> VS> позволяет до следующей перезагрузки компьютера использовать
>> VS> любую флешку.

>> что-то на моих системах такого не наблюдается. start=4. любые
>> флэшки идyт лесом, и новые, и стаpые.

VS> Может у тебя они все однотипные, одного производителя и т.п.?
VS> Я вышеописанную картину наблюдал собственными глазами.

VS> При вставке новой флешки у тебя появляется для неё новая запись в
VS> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\ ?

запись может и появляется, так как девайс опpеделяется, но тома нет, и бyквы
нет.

Vsevolod Burov

unread,

Apr 20, 2009, 9:49:10 AM4/20/09

to

Привет Victor!

20 Апр 09 15:34, Victor Sudakov -> Vsevolod Burov:

>> заботят пpавовые и этические аспекты. Поэтому я и пользуюсь
>> пpовеpенными коммеpческими пpодуктами, активно сопpовождаемыми
>> официальной поддеpжкой. В эксплуатации сейчас GFI EndPointSecurity.
>> Рекомендую.

VS> Ворованная что ли?

В УК РФ нет понятия "воpовство", есть "кpажа". Что, тем не менее, к теме
отношения также не имеет. Речь тут идет о "незаконном использовании объектов
автоpского пpава". Hо это уж так, к слову.

С уважением, Vsevolod

Victor Sudakov

unread,

Apr 20, 2009, 11:35:54 PM4/20/09

to

Dmitry Gorbatov wrote:

> >> VS> этот сервис тем не менее будет запущен, если вставить в
> >> VS> компьютер флеш-накопитель с ID, еще не прописанным в ветке
> >> VS> реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\.
> >> VS> Таким образом, каждый новый накопитель отключает защиту и
> >> VS> позволяет до следующей перезагрузки компьютера использовать
> >> VS> любую флешку.

> >> что-то на моих системах такого не наблюдается. start=4. любые
> >> флэшки идyт лесом, и новые, и стаpые.

> VS> Может у тебя они все однотипные, одного производителя и т.п.?
> VS> Я вышеописанную картину наблюдал собственными глазами.

> VS> При вставке новой флешки у тебя появляется для неё новая запись в
> VS> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\ ?

> запись может и появляется, так как девайс опpеделяется, но тома нет, и бyквы
> нет.

У меня при отключенном сервисе USBSTOR на флешку вообще никакой
реакции, т.е. и девайс не опpеделяется.

Впрочем спорить не буду. Я предупредил о возможной засаде, которую
видел своими глазами. YMMV.

Victor Sudakov

unread,

Apr 20, 2009, 11:38:46 PM4/20/09

to

Vsevolod Burov wrote:

> >> заботят пpавовые и этические аспекты. Поэтому я и пользуюсь
> >> пpовеpенными коммеpческими пpодуктами, активно сопpовождаемыми
> >> официальной поддеpжкой. В эксплуатации сейчас GFI EndPointSecurity.
> >> Рекомендую.
> VS> Ворованная что ли?

> В УК РФ нет понятия "воpовство", есть "кpажа".

Так ведь и я не прокурор. Вот с ним при встрече и будешь вести
разговор в терминах УК РФ :)

Vsevolod Burov

unread,

Apr 21, 2009, 8:20:25 AM4/21/09

to

Привет Victor!

21 Апр 09 08:38, Victor Sudakov -> Vsevolod Burov:

VS> Так ведь и я не прокурор. Вот с ним при встрече и будешь вести
VS> разговор в терминах УК РФ :)

Hе повеpишь - далеко не по pазу на дню встpечаюсь с ними и pазговаpиваю. И
в теpминах, и, бывает, без них.

С уважением, Vsevolod

Victor Sudakov

unread,

Apr 21, 2009, 12:27:31 PM4/21/09

to

Vsevolod Burov wrote:

> VS> Так ведь и я не прокурор. Вот с ним при встрече и будешь вести
> VS> разговор в терминах УК РФ :)

> Hе повеpишь - далеко не по pазу на дню встpечаюсь с ними и pазговаpиваю. И
> в теpминах, и, бывает, без них.

Почему же, охотно верю.

Alexandr Baranenko

unread,

Apr 21, 2009, 11:26:50 PM4/21/09

to

Чудесный вечер, *Paul* , в смысле здравствуйте !

17.04.09. 18:58. Включаю компухтер, а там Paul Sitnikov и All общаются:

PS> Простой вопрос.
PS> Люди, как бы попроще назначить права доступа к USB-портам для рабочих
PS> станций. Компы не в домене. Hасчет
PS> HKLM\SYSTEM\CurrentControlSet\Services\UsbStor я знаю. Можно бы
PS> скриптами типа .reg и прописать для каждого юзера, но хотелось бы
PS> попроще. Help. Заранее благодарен.

─── Тут начался файл Windows Clipboard ───
WindowsR SteadyStateT 2.5 можно использовать на компьютерах с операционными
системами Windows XP и Windows Vista. При управлении компьютерами в школьном
компьютерном классе или интернет-кафе, библиотеке или даже дома Windows
SteadyState упрощает обеспечение необходимой работы компьютеров независимо от
их пользователей.

Функции Windows SteadyState Windows SteadyState включает следующие функции
управления компьютерами с общим доступом:

* Приступая к работе - первоначальные действия для первого использования
Windows SteadyState.
* Защита диска Windows - защита раздела Windows, запрещающая изменение
операционной системы Windows и других программ без согласия администратора.
Windows SteadyState позволяет установить для функции защиты диска Windows
режимы удаления всех изменений при перезагрузке, удаления изменений в
определенное время или сохранения изменений. Если функция защиты диска Windows
используется для удаления изменений, все изменения, сделанные общими
пользователями при входе в систему компьютера, удаляются при перезагрузке
компьютера.
* Ограничения и параметры пользователей - ограничения и параметры
пользователей помогают улучшить и упростить работу пользователей. Можно
ограничить доступ пользователей к программам, параметрам, пунктам меню <Пуск> и
параметрам Windows. Кроме того, можно установить запрет сохранения изменений
общих учетных записей пользователей при последующих сеансах.
* Диспетчер учетных записей пользователей - создание и удаление учетных
записей пользователей. Windows SteadyState можно использовать для создания
учетных записей пользователей на альтернативных дисках, где данные и параметры
пользователей будут сохраняться даже при включенной защите диска Windows. Кроме
того, можно импортировать и экспортировать параметры пользователей между
компьютерами - это позволяет экономить ценное время и ресурсы.
* Ограничения компьютера - управление параметрами безопасности, параметрами
конфиденциальности и другими параметрами, включая запрет создания и сохранения
пользователями папок на диске C и открытия документов Microsoft Office в
обозревателе Internet ExplorerR.
* Планирование обновлений программного обеспечения - выполнение обновления
программного обеспечения и системы безопасности, когда это удобно для
пользователей.
─── А тут скончался файл Windows Clipboard ───

Можно запретить юзеру не только флешки, но и более другие файлы и папки и
вообще закрутить гайки так, чтоб запускался только IE. Брать на оффсайте
микрософта (придется пройти валидацию винды) или если очень надо, могу выложить
на какую-нить файлопомойку.

Все написаное мной есть мое личное ИМХО. Alexandr Baranenko.

John Freeman

unread,

Apr 27, 2009, 7:35:07 PM4/27/09

to

"Paul Sitnikov" <Paul.S...@p188.f75.n5004.z2.fido.cca.usart.ru> wrote in
message news:MSGID_2=3A5004=2F75.188...@fidonet.org...
> Hi All!
>
> �� .
> ��, �� USB-��
> ��.
> �� .
> H�� HKLM\SYSTEM\CurrentControlSet\Services\UsbStor � ��.
> �� .reg � �� , ��
> ��.
> Help. �� .
>
� �� ? � ��
�� Device class , device id , vendor id ��
�� GP - ��
��̣�� .

-

Victor Sudakov

unread,

Apr 27, 2009, 11:59:40 PM4/27/09

to

John Freeman wrote:
> >
> > �� .
> > ��, �� USB-��
> > ��.
> > �� .
> > H�� HKLM\SYSTEM\CurrentControlSet\Services\UsbStor � ��.
> > �� .reg � �� , ��
> > ��.
> > Help. �� .
> >
> � �� ? � ��
> �� Device class , device id , vendor id ��
> �� GP - ��
> ��̣�� .

�� , �� *��*, � �� *��*?
�.�. �� - �� USB, ��
�� - � �� .

John Freeman

unread,

Apr 29, 2009, 4:57:49 AM4/29/09

to

"Victor Sudakov" <v...@mpeks.tomsk.su> wrote in message
news:MSGID_relay.to...@fidonet.org...

��, �� GP � �� , ��
�� , � �� GP � ��
OU.

-

Victor Sudakov

unread,

Apr 29, 2009, 6:16:04 AM4/29/09

to

�� . � �� - "��" ��
"��" - �� ?

John Freeman

unread,

Apr 30, 2009, 7:18:39 AM4/30/09

to

"Victor Sudakov" <v...@mpeks.tomsk.su> wrote in message
news:MSGID_relay.to...@fidonet.org...

�� System , ��
��. �� - �� ޣ��(��
�� ) �� .

-

Andrew Kant

unread,

Apr 30, 2009, 6:51:30 AM4/30/09

to

Hello John!

Thursday April 30 2009 15:18, John Freeman wrote to Victor Sudakov:
>>> >> > �� .
>>> >> > ��, �� USB-��
>>> >> > ��
>>> >> > ��.
>>> >> > �� .
>>> >> > H�� HKLM\SYSTEM\CurrentControlSet\Services\UsbStor � ��.
>>> >> > �� .reg � �� , ��
>>> >> > ��
>>> >> > ��
>>> >> > ��.
>>> >> > Help. �� .
>>> >> >
>>> >> � �� ? � ��
>>> >> �� Device class , device id , vendor id ��
>>> >> �� GP - ��
>>> >> �� ̣�� .
>>> >
>>> > �� , �� *��*, � �� *��*?
>>> > �.�. �� - �� USB, ��
>>> > �� - � �� .
>>> >
>>> ��, �� GP � �� ,
>>> �� , � �� GP � ��
>>> �� OU. �� . � �� -
>>> "��" ��
>> "��" - �� ?
>>

JF> �� System , ��
JF> �� . �� - �� ޣ��(��
JF> �� ) �� .

�� ݣ �� - �� , ��
�� U1 - �� -�� , � �� (�� )
�� U2 - �� ? �� . � �� , ��
�� , �� "H��".

Good bye!
Andrew

Victor Sudakov

unread,

Apr 30, 2009, 10:40:29 AM4/30/09

to

John Freeman wrote:
> >> >> >
> >> >> > �� .
> >> >> > ��, �� USB-��
> >> >> > ��
> >> >> > ��.
> >> >> > �� .
> >> >> > H�� HKLM\SYSTEM\CurrentControlSet\Services\UsbStor � ��.
> >> >> > �� .reg � �� , ��
> >> >> > ��
> >> >> > ��
> >> >> > ��.
> >> >> > Help. �� .
> >> >> >
> >> >> � �� ? � ��
> >> >> �� Device class , device id , vendor id ��
> >> >> ��
> >> >> �� GP - ��
> >> >> ��
> >> >> ��̣�� .
> >> >
> >> > �� , �� *��*, � �� *��*?
> >> > �.�. �� - �� USB, ��
> >> > �� - � �� .
> >> >
> >> ��, �� GP � �� , ��
> >> �� , � �� GP � ��
> >> ��
> >> OU.
> >
> > �� . � �� - "��" ��
> > "��" - �� ?
> >
> �� System , ��
> ��.

�� , ��
��: �� , � �� . ��
�� System �� OU, � ��
��, �� . �� ݣ.

John Freeman

unread,

May 1, 2009, 6:05:11 AM5/1/09

to

"Victor Sudakov" <v...@mpeks.tomsk.su> wrote in message
news:MSGID_relay.to...@fidonet.org...

�� , �� , ��
��.

-

Victor Sudakov

unread,

May 4, 2009, 4:26:48 AM5/4/09

to

�� : �� , ��
��, �� .

�� (�� ) �� , ��
OU �� _��_, ��
System. �� System �� , � �� OU
�� _��_.

�� . �� - ��.
�� - �� .

> �� , ��
> ��.

�� Andrew Kant � ��
�� :

�� , �� U1 - ��
��-�� , � �� (�� ) �� U2 -
�� ?

John Freeman

unread,

May 4, 2009, 6:42:27 AM5/4/09

to

"Victor Sudakov" <v...@mpeks.tomsk.su> wrote in message
news:MSGID_relay.to...@fidonet.org...

�� _�� _ ��. �� 2008 � �� ģ� ��.

> �� . �� -
> ��.
> �� - �� .
>
>> �� , ��
>> ��.
>
> �� Andrew Kant � ��
> �� :
>
> �� , �� U1 - ��
> ��-�� , � �� (�� ) �� U2 -
> �� ?
>

�ݣ �� - ��, �� . ��
�� , �� . � ��
�� system �� .

-

Victor Sudakov

unread,

May 4, 2009, 11:41:28 PM5/4/09

to

�� 2008 � �� . ��
�� , �� ? ��
�� ?

> > �� . �� -
> > ��.
> > �� - �� .
> >
> >> �� , ��
> >> ��.
> >
> > �� Andrew Kant � ��
> > �� :
> >
> > �� , �� U1 - ��
> > ��-�� , � �� (�� ) �� U2 -
> > �� ?
> >

> �ݣ �� - ��, �� .

�� , �� .

> ��
> �� , �� .

H� ��, �� ޣ� �� . �� HKCU.

> � ��
> �� system �� .

�� , �� system, �
�� .

John Freeman

unread,

May 5, 2009, 8:42:17 AM5/5/09

to

[skipped]

>> >
>> > �� , �� U1 - ��
>> > ��-�� , � �� (�� ) �� U2 -
>> > �� ?
>> >
>
>> �ݣ �� - ��, �� .
>
> �� , �� .
>
>> ��
>> �� , �� .
>
> H� ��, �� ޣ� �� . �� HKCU.

� �� . �� (�� , ��
99%) �� , � ��
�� .

>
>> � ��

>> �� system �� .
>
> �� , �� system, �
> �� .
>

��, �� . ��
�� .

-

Victor Sudakov

unread,

May 7, 2009, 2:40:32 AM5/7/09

to

John Freeman wrote:
> >> > �� , �� U1 - ��
> >> > ��-�� , � �� (�� ) �� U2 -
> >> > �� ?
> >> >
> >
> >> �ݣ �� - ��, �� .
> >
> > �� , �� .
> >
> >> ��
> >> �� , �� .
> >
> > H� ��, �� ޣ� �� . �� HKCU.

> � �� . �� (�� , ��
> 99%) �� ,

�� . �� , ��
�� .

> >> � ��
> >> �� system �� .
> >
> > �� , �� system, �
> > �� .
> >

> ��, �� . ��
> �� .

�� .

John Freeman

unread,

May 22, 2009, 7:43:48 PM5/22/09

to

"Victor Sudakov" <v...@mpeks.tomsk.su> wrote in message
news:MSGID_relay.to...@fidonet.org...

H� �� , �� , ��
�� . (2003SP1+GPMC � ��)

-