Задача заблокировать использование пользователям флешек (пользователям полностью отключить), админам (с возможностью временного подключения). Программы условноплатные, тральные и т.д. не рассматриваются, только абсолютно бесплатные.

Правка реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor -> start=4  блокирует только известные системе флешки, а свежеиспеченные с радостью открывает.
Запрет на запись в ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR для пользователя и system результата нужного не дает.

Полный запрет на файлах usbstor.* (в windows/inf) для пользователя и system действительно не дает пользователю установить драйвер даже новой флешки, НО побочное действие админ тоже не может этого сделать.
Рекомендации мелкософта http://support.microsoft.com/kb/823732/ru не срабатывают в ключе задачи.

Какие будут предложения?

групповые политики?

"Программы условноплатные, тральные и т.д. не рассматриваются, только абсолютно бесплатные" - написать свою, с рэндзю и кисен

(1) Забыл сказать к групповым политикам доступа нет :(

(3) Windows 95 ?

(4) Windows XP в домене. Админы по политикам находятся в москве, а до них не достучаться.... :(

физическое опломбирование юсб

(0)Исключения - первый шаг к катастрофе :)
Блокируй на уровне железа. Оставь один комп в каморке админов с разлоченным портом ("песочница") и оттуда разноси заразу, после проверки антивирусом.
А админов научи пользоваться расшаренными папками.

(5) что значит "админы по политикам" У вас там градация кто что админит, а админы по политикам - самые крутые, у них учета не ограничена?

(7) необходимо оставить usb для мышей, принтеров, token'ов. Юзеры давно научились тихо вынимать token и сувать туда flash.

(9) приклеить монтажным клеем, суперклеем

+10 по сломанной "капле" можно судить - ломали или нет

+11 или бумажную пломбу

интересно, а в касперске 6.0.4 для рабочих станций как это реализовано?

(13) на уровне админа

мыши, принтеры и токены никак не связаны с методикой описанной в сабже - к ним это не относится

+ самая простая "защита" - точки монтирования перевести в папки

всегда было желание спросит - а чем плохо, что ползовател имеет доступ к своей любимой музыке на флешке ?!

(17) не по уставу это

http://support.microsoft.com/kb/823732

(17) Помимо музыыки он и к вирусам имеет доступ.
Это раз. А два - на флешке может БД с3.14...ить. ;)

(0) пригрозить увольнением. развешать объявления. и следить за появлением ключиков в реестре от вставки флешек.
(17) всем. они же всю заразу и тащат, антивири не спасают иногда. а музыку и через песочницу можно притащить.

(0) Тож не понимаю этого, все что нужно можно и через почту вынести.

(20) БД с3.14...ить можно и без флешки, имея тока зрение
а про вирусы - а чо это ?
(21) см выше

(0) чего паришься? если взрослые(далекие) админы разрешили, то это не твоя головная боль, иначе служебку пиши. Усерам довести до сведения, что втыкание флешки карается увольнением.

(16) интересно, это как?
(19) посмотри (0).
(21) смотреть постфакт не есть хорошо. Лучше предупреждаться такие действия. А "песочница" давно уже работает....
(24) мне уже принципиаль интересно как решить эту задачу. (ведь не всегда можно получить доступ к групповым политикам, например, их может не быть вообще).
+ всегда есть вероятность пропустить вирус в период пока его не определяют антивири. (а лечить потом эпидемию.... = равносильно жить на работе несколько дней).

(25)политики отражаются в реестре (все/не все - хз), если можешь править реестр - сделай  реестре то, что делают политики. Примени на одной ЭВМ -> експорт .reg -> импорт .reg

(26) Политики вроде этой(ниже) делают запись в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor -> start=4 что не спасает от "свежих" флешок.

CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
 POLICY !!policynameusb
  KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
  EXPLAIN !!explaintextusb
    PART !!labeltextusb DROPDOWNLIST REQUIRED

      VALUENAME "Start"
      ITEMLIST
       NAME !!Disabled VALUE NUMERIC 3 DEFAULT
       NAME !!Enabled VALUE NUMERIC 4
      END ITEMLIST
    END PART
  END POLICY
 POLICY !!policynamecd
  KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
  EXPLAIN !!explaintextcd
    PART !!labeltextcd DROPDOWNLIST REQUIRED

      VALUENAME "Start"
      ITEMLIST
       NAME !!Disabled VALUE NUMERIC 1 DEFAULT
       NAME !!Enabled VALUE NUMERIC 4
      END ITEMLIST
    END PART
  END POLICY
 POLICY !!policynameflpy
  KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
  EXPLAIN !!explaintextflpy
    PART !!labeltextflpy DROPDOWNLIST REQUIRED

      VALUENAME "Start"
      ITEMLIST
       NAME !!Disabled VALUE NUMERIC 3 DEFAULT
       NAME !!Enabled VALUE NUMERIC 4
      END ITEMLIST
    END PART
  END POLICY
 POLICY !!policynamels120
  KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
  EXPLAIN !!explaintextls120
    PART !!labeltextls120 DROPDOWNLIST REQUIRED

      VALUENAME "Start"
      ITEMLIST
       NAME !!Disabled VALUE NUMERIC 3 DEFAULT
       NAME !!Enabled VALUE NUMERIC 4
      END ITEMLIST
    END PART
  END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"

Поставьте доктор веб и запретите съемные носители, когда нужно с компа администратора можно разрешить.

(28) DrWeb - платный ПО. Нельзя.

(27)Она делает ещё ключи, типа
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{88B34B89-9D1B-4E94-932A-8E040B169C0E}Machine\SYSTEM\CurrentControlSet\Services\USBSTOR]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]

Нод32 блокирует флэшки

(31) см (29)

(32)з/п-то хоть платят? или тоже забесплатно?..

как вариант защиты от тупых пожет проканать скрытие дисков в проводнике, правда набор в адресной строке типа "Z:" эту "защиту" пробивает...

Вариант должен работать в любом случае, не только для тупых. И этот вариант спокойно пробивает вирус.

Насколько я понимаю групповые политики здесь тоже не помогут.

а вариант создания виртуальных дисков под завязку? так, чтобы венда не давала новых букв флехам? )))

Мышки, клавы - PS, принтера - USB. Порты USB отключить аппаратно. Иначе (по собственному опыту) - все лажа.
И флоппики и DVD не забудьте тоеже поубирать.

Никакой демократии!

(37) прикольно, это надо будет писать скрипт по массовому забиванию бук дисков. И не забыть бы все их скрыть, а то представляю реакцию юзверей (...у меня диск Сэ размножается...)

(38) А телефон с фотоаппаратом тоже в мусорку...
тогда и ручки с листком бумаги запретить!!!!

(40) На проходной в камеру хранения пусть сдают.
нормальная практика.

отрубить ещё пальцы, язык, заткнуть уши и, до кучи, выколоть глаза.

(17) А что хорошего в этом? Музыку дома надо слушать. На работе - работать.

(43)"Нам песня строить и жить помогает" (с)

(44) Ну так петь-то никто не запрещает ;)

(0) USBLock
http://softsearch.ru/programs/315-309-usblock-lite-download.shtml
Чтобы автораны не лезли отключение службы определения оболочки на рабстанциях предлагать?!
И что это за админ, который вирусов боится?!

службы определения оболочки= определения оборудования оболочки

(46) USBlock не справилась с задачей - пропускает впервые увиденные флешки. (программа изменяет Services\USBSTOR\Start). См.вышеописанную проблему.

каким образом влияет метода из (0) на принтеры/токены и прочие смартфоны ?

(49) Принтеры, мыши и пр. используют др. драйвер, а следовательно (0) на них не влияет.

(50) А переносные винчестеры?!

(50) это был наводящий вопрос

На музыку (Media Transfer Protocol) отключение USBStor никак не повлияет. А вот Самртфоны и т.п. (которые видятся как диск) работать не будут.
К сожалению, всякие Nokia и другие "продвинутые", которые подключаются не как диск - будут видны.

А по сути - написать свой сервис, который "ловит" DeviceArrival и тут же его останавливает.

(39) ну это ж проще пареной репы ) можно substом можно алкоголем. а на вопли юзеров - отвечать такими же воплями. это их озадачит )

(0) Device Lock
блочит не только флэшки но и все подряд
куча возможностей.

Может я чего-то не понимаю, но все программные защиты для локального админа - это защиты от админа - дурака...

Полный запрет на файлах usbstor.* (в windows/inf) для пользователя и system действительно не дает пользователю установить драйвер даже новой флешки, НО побочное действие админ тоже не может этого сделать.
Что не может сделать? Стать владельцем файлов и поменять разрешения?
Он и комп из домена может вывести, и дефолтные политики вернуть и любую прогу удалить...

(53) девайс лок позволяет запретить винмобайлам всяким там подключаться и так далее.

(55)Топикстартер не желает платить денег

ну за такое и заплатить можно (правда не читал что это). не самому же платить, а начальству.

по мере замены старой техники на новую заменил системные блоки на тонких клиентов и о проблеме с флешками и дискетами забыл

(51) н ... да....  а есть .inf файл для установки hdd sata|ide ?
(53) идея интересная, вот только боюсь меня не хватит на подвиги с DeviceArrival. Может есть какие наработки?

частичное решение
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
“WriteProtect”=dword:00000001

(62) это всего лишь дополнение

какая. Мониторится реестр и по появлении следов несанкционированного устройства взыскивается штраф с вероятного виновника. Перед этим каждому под подпись доводится сие начинание и размер штрафа. Ну и издержки от выведения вирей за счет изловленного. В свое время финдирша тупо штрафанула несколько юзверей на 50 баков. Потом они даже на очко выходя иразлогинивались...

(64) как ты определишь кто вставил тебе флешку в компутер, если люди не всегда за конкретным компом зафиксированы.

автор ты всеж таки поведай, чем решение (0) не подходит ?
а то пока какая то каша

(66) Я исхожу из того что после настройки, должно быть минимум беготни по пользователям. И без донастройки. А в (0) получается что даже придя к пользователю чтобы установить флеш(допустим это какой-то высокий начальник) админ должен еще тратить время на то чтобы вернуть права на usbstor.*, установить драйвер, вернуть права в первоначальное положение чтоб, другой чел не мог вставить левак.(пользователи не привязаны к конкретному компу).
Я это понимаю как отдельная группа "usb_user" которой разрешено устанавливать драйвера флешки быстро и корректно, а так же использовать его.

(67)сервис/удобства стОят денег. Жадные бегают по пользователям.

(68) Дело даже не в жадности.

(67) Что мешает написать, скрипт\батник используя команду cacls котрый при логоне юзера из группы usb_user дает нужные права на usbstor.* для группы usb_user, при логофе меняет обратно

(70) а даже батник нафига - права на файл и все

(71) а я про то и говорю в (0)

(72) Запрет перекрывает остальные разрешения. если вы делаете запрет на группу Пользователи ПК, то туда попадают и адимны. Сделайте новую доменную группу, куда будут входить все пользователи, кроме вашей usb_user и ставте запрет на usbstor.* только для этой группы + system, а не для всех пользователей ПК

(73) Почему это в "Пользователей" входят админы? Это же не "ВСЕ"?
У меня в разрешениях стоит "Администраторы" в запретах "Пользователи", других групп или пользователей с правами нет вообще.

Вот интересно, столько советов .... а у кто-нибудь это на практике реализовал? Так чтоб и комар носа не подтачил.

Еще раз - запреты перекрывают разрешения. Администраторы - тоже являются пользователями. Читайте внимательно (73)

администраторы не являются пользователями если пользователь или группа специально туда не помещены

(76) в (0) речь идет о домене
На клиентском ПК в локульную группу пользователей по умолчанию входит Domain Users (куда входит группа Domain Admins)
в локальную группу Администраторов входит группа Domain Admins

Для проверки, поставте на любую папку клиентской ПК в домене разрешение запрет для Локальной группы пользователей этого ПК и вы не сможете в нее войти под админм домена

(77) ничего подобного
"Администраторы домена" никогда не входила в "Пользователи домена" (помню начиная с нт4), только если Вы из каких либо соображений ее туда не внесли

а вот в группу втроенные\администраторы (для КД) входила

точнее насчет Domain Admins входит в Domain Users погорячился, но при создании пользователя в домене, он автоматически входит в Domain Users, поэтому если Администратор домена входит в эту группу, он тоже попадает под запрет разрешений

(80) это так

(81)ты понял, что он хотел сказать?

(82) если в домене указана "ограниченная группа" и в ней все подряд, то так и будет
хотя может и другое имелось видеть

(83)про разрешения членов группы понятно, просто в русском языке до слова "поэтому" указывается причина, а после "поэтому" - следствие.
Вот причино-следственную связь я не уловил...

ну тут я - как говориться

- Владеете ли вы языками ?
- Знаю русский - со словарем.

)