XP: Jak zakázat flashdisk uživateli?
Půjde o lokální účty, PC není v doméně. WinXP Embedded Standard, takže v podstatě WinXP Pro.
Na PC budou dva účty - administrátor s přístupem kamkoli a omezenej účet, kterej může připojit usb myš, klávesnici, ..., ale nesmí mu fungovat usb externí hdd, usb flashdisk, SD karta s usb konektorem, atd. Cílem tedy není zakázat usb, ale jen úložný zařízení.
Napadá vás jak?
Pavel
http://labnol.blogspot.com/2006/07/how-employers-d isable-usb-ports-how.html
google: "disable usb drives registry"
ci s pridanim "group polici"
555324
(ovšem několiv na XP, tam píše MS ze to meumi)
v tom group polici to muzes pro jednotlive usery/skupiny.
Osobne bych to disabloval cele a admin by mel po startu VBS script, je to jedna hodnota v registrech
zakaž autorun a zkus usb disku odebrat písmeno - uvidíš co to udělá po restartu a znovupřipojení.
To mi nepřijde rozumný. PC se musí nastavit tak, aby se pak dalo automaticky používat a admin si zase to písmenko přiřazovat nemusel.
Tj., přihlásím se jako omezenej a na usb se nedostanu, přihlásím se jako admin a dostanu se.
Pavel
Tak snad teď, za peníze jeden cvalík:
DeviceLock.html
Pavle, to se zas trpaslíci proběhli - samosebou našli prd.
Ale ten první odkaz od Azora - to bylo přibližně to, co hledali.
Ale na tu změnu v registrech, jsem právě kdysi narazil - a fungovalo to.
Jasně, ono to funkční je. Jenže to umí akorát zakázat zápis na flashdisk, kdežto já potřebuju úplně ten flashdisk zakázat, aby se ani nenačetl. Ale jen pro omezenej uživatelskej účet.
Pavel
Kdysi jsem tu postoval návod, jak na počítači nepřipojeném do domény vyloučit skupinu Administrators z místních politik. Je to docela špinavý hack kdy se odebere na vybraných souborech /adresářích práva pro Administrators. Bohužel to nedovedu najít.
Tak to je perfektní. Na mém administrátorském účtu to bude vlastně chránit mé soubory přede mnou samotným.
Jdu to hledat...
Hm, ale pokud je to složitý a náchylný, tak do toho bych se nepouštěl. Abych pak trávil týden tím, že se to budu snažit opravit, kdyby se něco podělalo.
Ale díky za pomoc.
Pavel
Není to moc složitý a vůbec ne náchylný, jen neortodoxní. Jde jen o to, že politiky jsou taky jen soubor(y): pokud se na něm odeberou práva pro čtení pro Administrators, nedovede si je systém při přihlášení přečíst, takže se neaplikují žádná omezení.
Mám řešení přímo od MS, pokud tedy PC není v doméně a jde o lokální účty. Je to docela jednoduchý:
Více na http://support.microsoft.com/default.aspx?scid=kb; en-us;823732
Až to vyzkouším, dám vědět.
Pavel
Hm, jednoduchý to je, ale chová se podivně. Našel jsem jen soubor usbstor.inf (pnf chybí), nastavil pro uživatele system a omezenej účet Odepřít (všechno) a:
Přihlásím se jako omezenej, flashdisk to najde, odmítne ho instalovat, že nejsou oprávnění. Restartuju, přihlásím omezenýho a to samý.
Pak přihlásím admina, flashdisk se nainstaluje, dostanu se k obsahu. Odhlásím admina, přihlásím omezenýho a ať mě kopne hajtra z votočky - flashdisk je přístupnej.
Je toto možné? Má někdo logický vysvětlení?
Pavel
tymto si zabranil obmedzenemu uzivatelovi nainstalovat USB zariadenie, ak sa prihlasis ako admin, tak sa zariadenie nainstaluje a flashdisk uz bude pristupny
odinstaluj USB zariadenie napr. pomocou http://www.nirsoft.net/utils/usb_devices_view.html
potom zakaz pristup na dany subor aj skupine Administrators
nie je mozne selektovat pre ake skupiny uzivatelov sa USB zariadenie nainstaluje, jednoducho bud nainstalovane je alebo nie je
No jo, ale když zakážu přístup skupině Administrator, jak ho povolím admin účtu? Tuším, že takhle to nepůjde, ne?
Pavel
nie takto to nepojde, pretoze ak je zariadenie nainstalovane pod akymkolvek uctom, tak uz je funkcne, takymto sposobom mozes obmedzit len nainstalovanie zariadenia nie jeho funkcnost po nainstalovani
Tak na tom PC neinstaluj ziadne USB disky ani ty, alebo ich po sebe odinstaluj, a nemas problem.
Ono USB zariadenie sa instaluje osobitne pre kazdeho vyrobcu/typ disku, takze ked ty si nainstalujes svoj USB stick, tak userovi nepojde iny USB stick, musel by vediet ktory si tam uz ty nainstaloval a pouzit presne taky isty vyrobcu/typ.
nestudoval sem to poradne, ale neumi to Microsoft Windows Steady State?
Pozri PowerToys XP
http://www.microsoft.com/windowsxp/Downloads/power toys/Xppowertoys.mspx
Pomocou toho je mozne zakazat pismena zariadeni (cize bude povolene iba napr. A-disketa a C - disk).
Pozri
Spristupnenie/zablokovanie pismena zariadenia
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer
NoDriveAutoRun - zakazujes/povolujes autorun
http://www.microsoft.com/technet/prodtechnol/windo ws2000serv/reskit/regentry/93506.mspx
NoDrives - zakazujes/povolujes pismeno zariadenia
http://www.microsoft.com/technet/prodtechnol/windo ws2000serv/reskit/regentry/58871.mspx
NoDriveTypeAutoRun - zakazujes/povolujes automaticke spustanie CD(DVD)a vymenitelnych jednotiek,... http://www.microsoft.com/technet/prodtechnol/windo ws2000serv/reskit/regentry/93502.mspx
Poradie: Vzestupná hodnota jednotlivých diskových jednotek se počítá jako druhá mocnina pořadového čísla písmena dané jednotky, počínaje A = 0
k připojování usb krámů na vyhrazená písmena používám usb drive letter manager
je konfigurovatelný .ini souborem, který obsahuje zajímavou možnost "Letter=-", chce to vyzkoušet.
různým uživatelům by se mohly skriptem při startu [hcu\sw\...\rum] měnit tyto ini soubory.
tak to nechodí. teď jsem to zkusil otestovat - změnit .ini soubor, zastavit a rozběhnout sužbu usbdlm, a nefunguje to, klíček je detekován a dostane písmeno.
ale mám mírně starší verzi, na webu nabízí usbdlm už 4.2 s novým parametrem:
Díky za pomoc, teď se tomu nemůžu věnovat, ale vedu to v patrnosti.
Pavel