Отключение usb через реестр

[Нерожденный в Зимбабве]

В своей сетке я сделал невозможным подключение внешних usb storage device через реестр. Изменил параметры в трех ключах. Все заработало, проблем никаких. Но возник вопрос: существует ли возможность обхода этого ограничения пользователем? Естественно, что у пользователей- пользовательские права. Какие есть идеи, как можно преодалеть поставленный мною забор?

[Maikll]

Ну вообще в теории продвинутые пользователи смогут вернуть значения этих ключей через тот же Regedit, хотя можно запретить им его запуск

[Нерожденный в Зимбабве]

Maikll: а каким образом осуществляется запретить пуск regedit?

[Maikll]

Из-под пользователя

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] Параметр: DisableRegistryTools Тип: REG_DWORD Значение: (0 = отключено, 1=включено) - это не даст запускаться регэдиту, а еще как-то можно запретить изменение только нужной тебе ветки реестра....

Да, кстати, запрет на запуск USB, ты случаем не в этом ключе делал HKLM\SYSTEM\CurrentControlSet\Enum\USB , а то в таком случае есть прекрасный метод обхождения этого - вставить устройство и перезагрузиться, оно и обнаружиться :)

[Нерожденный в Зимбабве]

Maikll: нет, не здесь. Менял значения в

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum]

Спасибо за совет по блокировке regedit :)

[DJFlint]

В дополнение сказанного Maikllом - даже запретив пользователям запуск regedit, ты не можешь гарантировать, что они не воспользуются сторонним редактором реестра.

Запретить изменения определенной ветки реестра можно нажав в regedit на ней правую кнопку мыши, и выбрав пункт меню "разрешения"

Изменено 1 августа, 2006 пользователем DJFlint

[Maikll]

Кстати почитай здесь http://support.microsoft.com/?id=823732, пункт "Если USB-устройство хранения данных еще не установлено в компьютер"

Тож помочь может.

Запретить изменения определенной ветки реестра можно нажав в regedit на ней правую кнопку мыши, и выбрав пункт меню "разрешения"

DJFlint, мой респект :)

Изменено 1 августа, 2006 пользователем Maikll

[Нерожденный в Зимбабве]

Maikll:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

точно такой? он уже существует или его надо создать?

DJFlint: т.е. в принципе, кто захочет, тот сможет, и защититься я от этого не могу?

[DJFlint]

Maikll:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

точно такой? он уже существует или его надо создать?

DJFlint: т.е. в принципе, кто захочет, тот сможет, и защититься я от этого не могу?

Читай мой предыдущий пост.

[Нерожденный в Зимбабве]

Maikll: ещё как поможет, спасибо :)

Maikll, DJFlint: носколько смог судить, пункт "разрешения" присутсвует только в ХР, а в 2000 его нет.

[Maikll]

Пункт надо создать, если нет, запрет распространяется только на текущего юзера, не запускай под Админом :)

[Нерожденный в Зимбабве]

Maikll: учту, спасибо!

[Maikll]

Блин, под рукой не одного 2000 нет, но по-моему там так же как в ХР с правами....

Щас дойду да посмотрю...:)

Посмотрел...нет такого пункта...

Изменено 1 августа, 2006 пользователем Maikll

[DJFlint]

Тоже под рукой нет 2000, но по памяти, но по памяти, "панель управления - пользователи и пароли - имя пользователя - свойства - членство в группах - ограниченный доступ"

Точно не помню, но могет помочь

ЗЫ: естоственно для изменения пользователей нужно зайти под правами администратора.

[Maikll]

Вот ещё вариант http://www.oszone.net/display.php?id=725&do=print

[Yezhishe]

Гм... Люди добрые... А не проще ли обрубить USB-контроллеры в BIOS'е и запаролить его?

И тогда никакие ухищрения юзверей со сторонними редакторами реестра просто не помогут :) ...

[Maikll]

Гм...а если у тебя USB сканер\принтер...их тоже того самого...

[Нерожденный в Зимбабве]

Maikll: уточнение по поводу параметра DisableRegistryTools можно?

Если параметр создается под юзером, т.о. юзер имеет права на правку реестра. Если параметр можно создать, то получается, его и удалить точно так же можно из-под юзера? Я не прав?

[Maikll]

Нерожденный в Зимбабве:

После того как ты его создашь, попробуй запустить regedit - сам увидишь :sm(100):

Но его можно будет снять другим редактором, как правильно заметил DJFlint, лучше конечно использовать правильно настроенные права на изменения определенной ветки реестра

[Orlan]

С реестром глухо. Таких веток там вообще нету. Попробовал их импортнуть из под хр, ничего не вышло, в смысле не помогло.

Насчет прог, работающих с биосом из под винды - возможно.

Короче говоря надо ломиться в биос и для начала смотреть там, другого не дано. Проблема в том, что сделать это не так просто. Но раз других спосоов нет (хотя есть сомнения, что хитрый скрипт работает с биосом), будем сбрасывать пароль на биос.

[EvgeniyOrlov]

Maikll:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

точно такой? он уже существует или его надо создать?

DJFlint: т.е. в принципе, кто захочет, тот сможет, и защититься я от этого не могу?

сбрось инфу как прописать настройки в этой ветке. Если есть файлик с регом сбрось.

Спасибо.

[EvgeniyOrlov]

Пункт надо создать, если нет, запрет распространяется только на текущего юзера, не запускай под Админом :)

сделал изменения для отключение внешних usb устройств через реестр

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR

под правами Админа, нового пользователя, заменил права на Пользователя, но через время обнаружил что USB устойства (флешки) работают, как предотвратить повторное вкл. флешек под правами пользователя?

В вашей переписке, увидел ветку с этими расширениями, как её настроить?

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

сбрось инфу как прописать настройки в этой ветке. Если есть файлик с регом сбрось.

Спасибо.

[Maikll]

EvgeniyOrlov: какие именно изменения вы делали?

Чтобы отключить драйвер usb-устройств достаточно присвоить параметру "start" значение "4", об этом подробно рассказано в статье, ссылку на нее выкладывали выше.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

сбрось инфу как прописать настройки в этой ветке. Если есть файлик с регом сбрось.

Что там может быть непонятного? В 4-м посте темы расписано какой ключ надо создать, его тип и значение.

[Vitali85]

В этой же статье есть:

# Запустите проводник Windows и найдите папку %SystemRoot%\Inf.

# Щелкните правой кнопкой мыши по файлу Usbstor.pnf и выберите пункт Свойства.

# Перейдите на вкладку Безопасность.

Но вот нету у меня у этого файла в свойствах значения безопасность. Как быть?

[DJFlint]

Для начала в свойствах любой папки уберите галочку "Использовать простой общий доступ к файлам".