Объявления
Запрет на подключение USB устройств

Допустим, что необходимо предотвратить подключение к USB-устройству хранения данных, которое подключено к компьютеру под управлением Windows XP, Windows Server 2003 или Windows 2000. В данной статье описаны соответствующие два метода.

 

Чтобы предотвратить подключение к USB-устройству хранения данных, используйте одну или несколько приведенных ниже процедур, которые подходят для вашей ситуации.

Если USB-устройство хранения данных еще не установлено на компьютер

Если USB-устройство хранения данных еще не установлено на компьютер, присвойте пользователю, группе или локальной учетной записи SYSTEM разрешение Запретить для следующих файлов:

  • %SystemRoot%\Inf\Usbstor.pnf
  • %SystemRoot%\Inf\Usbstor.inf

После этого пользователи не смогут установить USB-устройство хранения данных в компьютер. Чтобы назначить пользователю или группе запрещающие разрешения на файлы Usbstor.pnf и Usbstor.inf, выполните следующие действия.

  1. Запустите проводник Windows и найдите папку %SystemRoot%\Inf.
  2. Щелкните правой кнопкой мыши по файлу Usbstor.pnf и выберите пункт Свойства.
  3. Перейдите на вкладку Безопасность.
  4. В списке Группы или пользователи выберите пользователя или группу, для которых необходимо установить разрешения Запретить.
  5. В списке Разрешения для имя_пользователя или имя_группы установите флажокЗапретить напротив элемента Полный доступ.Примечание. Также добавьте в списокЗапретить учетную запись System.
  6. В списке Группы или пользователи выберите учетную запись SYSTEM.
  7. В списке Разрешения для имя_пользователя или имя_группы установите флажокЗапретить напротив элемента Полный доступ и нажмите кнопку ОК.
  8. Щелкните правой кнопкой мыши по файлу Usbstor.inf и выберите пункт Свойства.
  9. Перейдите на вкладку Безопасность.
  10. В списке Группы или пользователи выберите пользователя или группу, для которых необходимо установить разрешения Запретить.
  11. В списке Разрешения для имя_пользователя или имя_группы установите флажокЗапретить напротив элемента Полный доступ.
  12. В списке Группы или пользователи выберите учетную запись SYSTEM.
  13. В списке Разрешения для имя_пользователя или имя_группы установите флажокЗапретить напротив элемента Полный доступ и нажмите кнопку ОК.

Если USB-устройство хранения данных уже подключено к компьютеру

Если USB-устройство хранения данных уже установлено в компьютер, присвойте параметру Startзначение 4 в следующем разделе реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

После этого USB-устройства хранения данных не будут работать при подключении к компьютеру. Чтобы изменить значение параметра Start, выполните следующие действия:

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.
  2. В поле Открыть введите команду regedit и нажмите кнопку OK.
  3. Найдите и выделите следующий раздел реестра
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
  4. Дважды щелкните в области сведений параметр Пуск.
  5. В поле Значение введите 4, выберите Шестнадцатеричная (если этот вариант не выбран) и нажмите OK.
  6. Закройте редактор реестра.

СОВЛАДАТЬ С АВТОЗАГРУЗКОЙ

Одно дело — разобраться со своей собственной флешкой, и совсем другое — не подцепить заразу с чужих. Для того чтобы малварь не перекочевала на твой комп, продолжив свое победоносное шествие, необходимо, во-первых, грамотно отключить автозагрузку, и, во-вторых, взять на вооружение пару полезных утилит.
Начнем с первого. Казалось бы: что может быть проще, чем отключение автозапуска? Но на деле все не так прозрачно! Даже если поставить запрет через локальные политики Windows, в системе все равно остаются дырки, позволяющие заюзать малварь. Это легко проверить! Сначала отключаем автозапуск через стандартные политики Windows и убеждаемся, что автозапуск вроде как не работает. А теперь проведем эксперимент, создав на флешке autorun. inf со следующим содержанием:

[autorun]
open = calc.exe
shell\Open\Command=calc.exe
shell\Open\Default=1
shell\Explore\Command=calc.exe
shell\Autoplay\Command=calc.exe

Во время монтирования девайса, действительно, ничего не запускается, но попробуем дважды щелкнуть по иконке носителя. Что мы видим? Винда открывает калькулятор! Думаю, не надо объяснять, что вместо него т ам могло оказаться, что угодно. Вместо этого приведу подробную инструкцию, как правильно и окончательно отключить автозапуск системы:

1. Первым делом правим ключ реестра, который отвечает за запуск с CD. Переходим в ветку HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Cdrom, находим параметр AutoRun и устанавливаем его равным нулю.

2. Далее переходим в раздел HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\Curr entVersion\policies\Explorer. Здесь создаем новый ключ NoDriveTypeAutoRun типа dword и задаем значение ff в шестнадцатеричной системе. Для верности можно повторить те же действия в ветке HKEY_CURRENT_USER, но они все равно будут игнорироваться.

3. Другой интересный хинт заключается в редактировании ключа HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ IniFileMapping\Autorun.inf, которому нужно присвоить значение (типа REG_SZ) — @SYS:DoesNotExist. Так мы заставляем Windows думать, что autorun.inf является конфигурационным файлом древних программ, разработанных для ОС, более ранних чем Windows 95! Не имея в распоряжении реестра, они использовали .INI-файлы для хранения своей конфигурации. Создав подобный параметр, мы говорим, чтобы система никогда не использовала значения из файла autorun.inf, а искала альтернативные «настройки» по адресу HKEY_LOCAL_MACHINE\ SOFTWARE\DoesNotExist(естественно, он не существует). Таким образом, autorun.inf вообще игнорируется системой, что нам и нужно. Используемый в значении параметра символ @ блокирует чтение файла .INI, если запрашиваемые данные не найдены в системном реестре, а SYS является псевдонимом для краткого обозначения раздела HKEY_ LOCAL_MACHINE\Software.

4. Нелишним будет обновить параметры файлов, которые не должны автозапускаться, добавив туда маску *.*. В разделе HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Filesсоздаем строковой параметр типа REG_SZ с названием *.*. 5. В реестре Винды есть замечательный раздел MountPoints2, который обновляется, как только в компьютер вставляется USB-носитель. Собственно, именно это и позволяет провернуть трюк, который я описал вначале. Бороться с подобным положением вещей можно. Сначала необходимо удалить все ключи MountPoints2, которые ты сможешь найти поиском в реестре, после чего перегрузиться. Далее находимHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 и в политике доступа запрещаем редактирование ключа всем пользователям, включая админов. Не помешает и установить монитор реестра, который следил бы за появлением новых ключей MountPoints2 и блокировал к ним доступ. Только после этого можно быть уверенным, что автозапуск в системе работать не будет. Кто бы мог подумать, что все так сложно? :)

ПОЛЕЗНЫЕ ПРОГРАММЫ

В поиске и сопротивлении малвари хорошими помощниками могут стать несколько утилит. Я не буду здесь приводить обычные антивирусы, которые, само собой, с этой напастью борются и во многих случаях — довольно успешно. Вместо этого рассмотрим несколько небольших, но очень полезных утилит.

1. AutoRunGuard (autorun.synthasite.com/AutoRunGuard.php). Миниатюрная, но очень расширяемая тулза позволит настроить правила — что должно происходить, когда подключается флешка или CD. Можно, к примеру, в момент монтирования тут же запускать сканнер малвари. AutoRunGuard сама проверяет наличие autorun.inf, а также скрытых файлов, уведомляя о них юзера.

2. Flash Guard (www.davisr.com). Эта утилита также следит за появлением в системе сменных накопителей. При обнаружении нового диска она предлагает, на выбор:

  • Удалить добавленные файлом Autorun.inf пункты контекстного меню диска;
  • Информировать пользователя о наличии на диске файла Autorun.inf;
  • Удалить файл Autorun.inf;
  • Удалить все файлы Autorun.*; Удаляем во всех случаях Autorun.inf и спим спокойно.

3. USB Disk Security (www.zbshareware.com). Увы, платная утилита для защиты флешек от малвари. По своему опыту могу сказать, что с вирусами она справляется на раз-два. В качестве бесплатной альтернативы можно привести Flash Disinfector.

Правим права доступа в консоли

Установить ручками права доступа для одной флешки — легко. Для двух-трех — тоже ничего сложного. Но если требуется вакцинировать сразу десяток, скажем, для всех сотрудников предприятия? В этом случае нелишним будет автоматизировать процесс, устанавливая ACL-правила для флешки через командную строку. Кстати говоря, используемая для этого консольная утилита cacls (Change Access Control Lists) — единственный способ настроить параметры безопасности в Windows XP Home Edition. Первым делом нужно получить текущую ACL-таблицу с флешки. Допустим, она определяется в системе как диск X: — команда для просмотра таблицы будет:

cacls X:\

В большинстве случаев вернется строка:

X:\ Все:(OI)(CI)F

Символ F (от слова Full) в конце означает полный доступ для всего содержимого, — о чем говорят флаги (OI)(CI). Нам нужно удалить права на изменение файлов, поэтому по очереди удаляем записи из таблицы. В нашем примере надо удалить запись о полном доступе для группы «Все»:

cacls X:\ /E /R

Все. После чего разрешаем доступ к каталогу в режиме чтения (Read only):

cacls X:\ /G Все:R

Попробуй теперь создать в корне флешки файл. Едва ли получится :).

 

Оригинал статьи на ][акер.ру – ВАКЦИНА ДЛЯ ФЛЕШКИ. БЕЗОПАСНОСТЬ USB-НОСИТЕЛЕЙ

Поделитесь полезным материалом с друзьями:


Вам помог этот совет? Вы можете помочь проекту, пожертвовав на его развитие любую сумму по своему усмотрению. Например, 20 рублей. Или больше :)

Передать $пасибо! нашему сайту через систему Webmoney
Комментарий: Сергей28 декабря 2012 13:08
жесткий метод рискуете запароть систему с разрешеными и запрещенными флехами, вообще потом не настроите зависнет у вас запрет и кердык
Добавление комментария:
Ваше Имя:
Ваш E-Mail:

Полужирный Наклонный текст Подчёркнутый текст Зачёркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Вставка ссылкиВставка защищённой ссылки Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Код:
Включите эту картинку для отображения кода безопасности
обновлять капчу