Блокировка использования USB-драйвов

Представляем вашему вниманию простенький мануал о том, как заблокировать установку и использование USB-устройств с помощью групповых политик. Такое решение подходит как для использования в домашних условиях, но в первую очередь предназначается для корпоративного рынка…

Также попытаюсь объяснить, как настроить сообщение, которое предстает взору пользователя, когда тот пытается установить USD-драйв. При этом мы можем позволить подключение таких устройств, как компьютерные мыши или клавиатуры. Кто-то спросил, можно ли разрешить подключение конкретного USB-драйва? До этого вопроса я никогда не думал об этом. Поэтому, взяв два одинаковых флэш-драйва Sandisk Mini Cruzer, я решил выяснить, возможно ли такое, то есть разрешить использование одного и запретить - другого.

Как это работает? Сначала необходимо определить Hardware ID – идентификационный номер устройства. Открываем Device Manager/Диспетчер устройств и находим в списке "Mini Cruzer Disk drive", который расположен в разделе "Disk Drive/Дисковые устройства" или "Other Devices/Другие устройства". Дважды щелкаем на устройстве и переходим на вкладку Details/Дополнительно. Затем в свойствах выбираем пункт Hardware ID.





На приведенных скриншотах можно видеть два аналогичных устройства с одной лишь только разницей в

ID: "USBSTOR\DiskSanDisk_Cruzer_Mini_____0.1_" или "USBSTOR\DiskSanDisk_Cruzer_Mini_____0.2_".

Мы позволим подключение устройства со следующим идентификатором: "USBSTOR\DiskSanDisk_Cruzer_Mini_____0.1.

Поэтому если, к примеру, вы хотите позволить подключение исключительно драйвов типа Sandisk Cruzer Mini USB, можно использовать идентификатор "USBSTOR\DiskSanDisk_Cruzer_Mini_____".

Теперь у нас есть Hardware ID и мы можем приступить к настройке групповых политик таким образом, чтобы ОС блокировала подключение и использование USB-устройств. Чтобы проделать эти нехитрые действия, необходимо запустить консоль Group Policies (набрав gpedit в поле для поиска) и перейти к разделу Computer Configuration\Administrative Templates\System\Device Installation Restrictions.



Вышеприведенный скриншот иллюстрирует политики, которые необходимо изменить. Я редактировал следующие:

Display a custom message when installation is prevented by policy – balloon text/Отображать сообщение, когда установка устройства запрещена политикой – сообщение: тут я написал, что компания заблокировала установку подобных устройств и перенаправил пользователя к службе поддержки компании;

Display a custom message when installation is prevented by policy - balloon title/Отображать сообщение, когда установка устройства запрещена политикой – заголовок сообщения: тут я указал заголовок сообщения;

Allow the installation of devices that match any of these device ID's/Разрешить подключение устройства co следующим идентификатором: тут я добавил тот самый идентификатор "USBSTOR\DiskSanDisk_Cruzer_Mini_____0.1_";

Prevent the installation of devices not described by other policy settings/Запретить подключение устройств, не описанных в иных групповых политиках: я включил данную опцию, которая станет альтернативным способ запрета для использования устройств с определенными ID.

Такие настройки позволили блокировать использование всех USB-устройств, за исключением одного устройства, чей Hardware ID определен в групповых политиках.

Это уникальная возможность для многих компаний, которые хотят защитить свою информацию.

Источник: http://www.blogs.technet.com/aralves
Перевод: deeper2k