В предыдущей статье я писал, как заблокировать доступ к USB-накопителям с помощью Symantec Endpoint Protection Manager. Естественно не во всех компаниях используются решения от Symantec. В этой статье я расскажу как решить эту задачу с помощью групповых политик.
1. Нам понадобиться создать шаблон групповой политики:
Открываем блокнот, вставляем текст параметров шаблона (источник):
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY
[strings]
category="Custom Policy Settings"
categoryname="Blocked Devices"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"
Мы видим, что с помощью шаблона можно заблокировать не только usb-накопители, но и CD-ROM, флоппи-дисковод и SCSI Floppy ( USB-FDD например). Блокировка происходит путем запрета запросов к драйверам usbstor.sys, cdrom.sys, flpydisk.sys и sfloppy.sys.
2. Сохраняем как файл .adm.
3. Выбираем нужную нам политику, открываем "Редактор управления групповыми политиками". Нам нужна ветка Конфигурация компьютера -> Политики -> Административные шаблоны. Кликаем правой кнопкой мыши на "Административные шаблоны" и выбираем "Добавление и удаление шаблонов" (Рис.1):
Рис.1.
4. В окне "Добавление и удаление шаблонов" нажимаем кнопку Добавить (Рис.2):
Рис.2.
5. Выбираем шаблон, созданный в пунктах 1-2 и нажимаем Открыть (Рис.3):
Рис.3.
6. В окне "Добавление и удаление шаблонов" видим, что появился наш шаблон и нажимаем Закрыть (Рис.4):
Рис.4.
7. В окне "Редактора управления групповыми политиками" видим, что в административных шаблонах появился наш шаблон (в моем случае Blocked Devices). В опциях шаблона мы можем управлять доступом к четырем типам устройств, выбираем "Disable USB" (Рис.5):
Рис.5.
8. Для блокировки USB-накопителей нам необходимо включить политику и выставить параметр "Disable USB Ports" - Enabled (Рис.6):
Рис.6.
После обновления групповых политик доступ к USB-накопителям будет закрыт.
Успехов!
1. Нам понадобиться создать шаблон групповой политики:
Открываем блокнот, вставляем текст параметров шаблона (источник):
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY
[strings]
category="Custom Policy Settings"
categoryname="Blocked Devices"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"
Мы видим, что с помощью шаблона можно заблокировать не только usb-накопители, но и CD-ROM, флоппи-дисковод и SCSI Floppy ( USB-FDD например). Блокировка происходит путем запрета запросов к драйверам usbstor.sys, cdrom.sys, flpydisk.sys и sfloppy.sys.
2. Сохраняем как файл .adm.
3. Выбираем нужную нам политику, открываем "Редактор управления групповыми политиками". Нам нужна ветка Конфигурация компьютера -> Политики -> Административные шаблоны. Кликаем правой кнопкой мыши на "Административные шаблоны" и выбираем "Добавление и удаление шаблонов" (Рис.1):
4. В окне "Добавление и удаление шаблонов" нажимаем кнопку Добавить (Рис.2):
5. Выбираем шаблон, созданный в пунктах 1-2 и нажимаем Открыть (Рис.3):
6. В окне "Добавление и удаление шаблонов" видим, что появился наш шаблон и нажимаем Закрыть (Рис.4):
7. В окне "Редактора управления групповыми политиками" видим, что в административных шаблонах появился наш шаблон (в моем случае Blocked Devices). В опциях шаблона мы можем управлять доступом к четырем типам устройств, выбираем "Disable USB" (Рис.5):
8. Для блокировки USB-накопителей нам необходимо включить политику и выставить параметр "Disable USB Ports" - Enabled (Рис.6):
После обновления групповых политик доступ к USB-накопителям будет закрыт.
Успехов!
Комментариев нет:
Отправить комментарий