Poate o să deranjez pe cineva, dar nu voi putea construi un sistem absolut sigur. Dacă setați acest obiectiv, atunci există întotdeauna o modalitate de a eluda orice limitări tehnice. La urma urmei, totul se bazează în cele din urmă pe o anumită persoană, dar aici sistemul este neputincios.
Să încercăm să facem în continuare viața un pic de potențial spyware și Pavlik Morozov (de altfel, dacă încă trăiesc sub privilegii administrative, atunci este mai bine pentru a lega).
Interzicerea totală a utilizării unităților USB
Metoda radicală (deconectarea USB-ului în BIOS-ul calculatorului cu implicit zaparolivaniem acest BIOS propriu-zis) nu va fi luată în considerare. Aici spunem salut nu numai la unitățile flash USB, ci și la șoareci cu tastaturi USB, imprimante locale și alte persoane necurate.
Suntem interesați de valoarea parametrului Start, unde:
3 - modul standard, fără încuietori (implicit)
4 - blocarea dispozitivelor de stocare USB
Setați valoarea dorită. Trebuie să reporniți computerul pentru a aplica modificările. Dacă este instalată încuietoarea, nu vor fi recunoscute de către computer nici unități USD (unități flash, HDD externe sau carduri de memorie).
Instalarea protecției de scriere pe unitatea flash USB
În opinia noastră, această opțiune este mult mai interesant - aproape ca în filmul „lasa totul -.. Nimeni afară“ (Moscova nu crede în lacrimi). Cu alte cuvinte, interzicem doar scrierea pe unități USB, ceea ce este exact ceea ce avem nevoie. Mergem la registru:
Atenție vă rog! Inițial, secțiunea StorageDevicePolicies din Consola de control nu este (există excepții) și trebuie să fie creată. Acum, în secțiunea StorageDevicePolicies, creați parametrul WriteProtect de tip DWORD.
Valoarea parametrului WriteProtect este:
1 - mod readonly
0 - modul de înregistrare
Setați valoarea dorită și conectați unitatea flash USB. În acest caz, nu puteți reporni computerul. Dacă încercați să scrieți ceva pe unitatea flash USB (WriteProtect = 1), va apărea un mesaj care arată că discul este protejat împotriva scriiturii.
Trebuie să adăugați o cheie de tip DWORD DisableRegistryTools cu o valoare de 1.
Microsoft nu poate face nimic corect, așa că odată ce l-ați setat și nu vă întoarceți la această întrebare. Există un sentiment că dezvoltatorii Windows nu comunică între ei și mâna dreaptă nu știe ce face mâna stângă.
Situația amuzant - sa dovedit că atunci când conectați un nou dispozitiv USB la un computer care nu a fost încă folosit, sistemul de siguranță se schimbă din nou cheia de registry HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ UsbStor originalul. Și toate driverele USB încep din nou să funcționeze perfect. și scuipați sub ce drepturi lucrați pe computer. Aici o astfel de siguranță.
Pentru finale (sperăm, mai multe surprize nu va) rezolva problema de a interzice memorii flash, trebuie să alocați un utilizator, grup sau contul de sistem local de permisiuni Deny pentru următoarele fișiere:
Acest lucru este recomandat de compania la scară mică însă, chiar și aici totul nu este neted. Eu însumi am făcut ceva diferit - am redenumit aceste fișiere, am adăugat simbolul _ înainte de extensie și am refuzat accesul utilizatorilor de sistem la ramura de registru de mai sus.
În cele din urmă, citez un extras dintr-un articol de pe site-ul de suport tehnic.
(text dintr-un articol de pe site-ul Microsoft)
Pentru a atribui unui utilizator sau unui grup permisiuni de refuz pentru fișierele Usbstor.pnf și Usbstor.inf, urmați acești pași:
- Porniți Windows Explorer și localizați folderul% SystemRoot% \ Inf.
- Faceți clic cu butonul din dreapta pe fișierul Usbstor.pnf, apoi faceți clic pe Proprietăți.
- Faceți clic pe fila Securitate.
- În lista Grupuri sau utilizatori, selectați utilizatorul sau grupul pentru care doriți să setați permisiunea Deny.
- În lista Permisiuni pentru nume de utilizator sau nume de grup, bifați caseta de selectare Deneză de lângă Control complet.
Notă. Adăugați, de asemenea, contul Deny System.
- În lista Grupuri sau utilizatori, selectați contul SYSTEM (Sistem).
- În lista Permisiuni pentru nume de utilizator sau nume de grup, bifați caseta de validare Deneză de lângă Control complet, apoi faceți clic pe OK.
- Faceți clic cu butonul din dreapta pe fișierul Usbstor.inf, apoi faceți clic pe Proprietăți.
- Faceți clic pe fila Securitate.
- În lista Grupuri sau utilizatori, selectați utilizatorul sau grupul pentru care doriți să setați permisiunea Deny.
- În lista Permisiuni pentru nume de utilizator sau nume de grup, bifați caseta de selectare Deneză de lângă Control complet.
- În lista Grupuri sau utilizatori, selectați contul SYSTEM (Sistem).
- În lista Permisiuni pentru nume de utilizator sau nume de grup, bifați caseta de validare Deneză de lângă Control complet, apoi faceți clic pe OK.