Запрет использования флешек и первый шаг к паранойе.

Желание некоторых организаций защититься от "слива" информации на сторону ясно.

Существую специальные технические средства контроля утечек информации (DLP-совокупности). Но о них мы сказать не будем — это уже совсем для параноиков. У нас все будет несложнее.

Вероятно я на данный момент кого-то расстрою, но полностью надёжную совокупность выстроить не удастся.

В случае если задаться таковой целью, то постоянно найдётся метод обойти каждые технические ограничения. Так как всё в конечном итоге упирается в конкретного человека, а тут совокупность бессильна.

Попытаемся все-таки мало усложнить жизнь Павликам и потенциальным шпионам Морозовым (кстати, если они у вас до сих пор живут под администраторскими правами, то с этим лучше завязывать).

Полный запрет на применение USB накопителей

Радикальный способ (отключение USB в BIOS компьютера с последующим запароливанием этого самого BIOS) разглядывать не будем. Тут скажем привет не только флешкам, но и мышкам с USB клавиатурами, локальным принтерам и другой нужной дребедени.

Будем функционировать теми средствами, каковые нам предоставляет совокупность. Открываем редактор реестра и следуем в ветку:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR

Нас интересует значение параметра Start, где:

3 — обычный режим, без блокировок (по умолчанию)

4 — блокировка USB накопителей

Выставляем необходимое значение. Для применения трансформаций нужно перезагрузить компьютер. В случае если установлена блокировка, никакие USD накопители (флешки, внежние HDD либо карты памяти) не будут опознаваться компьютером.

Установка защиты записи на флешку

На мой взор, данный вариант занимательнее — практически как в фильме "…всех впускать — никого не производить…" (Москва слезам не верит). Вторыми словами мы запрещаем лишь запись на USB-накопители, что фактически и необходимо. Входим в реестр:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Внимание! Изначально раздела StorageDevicePolicies в резделе Control нет (бывают исключения) и его нужно создать. Сейчас в разделе StorageDevicePolicies создаем параметр WriteProtect типа DWORD.

Значении параметра WriteProtect:

1 — режим чтения (readonly)

0 — режим записи

Ставим необходимое значение и подключаем флешку. В этом случае компьютер возможно не перезагружать. При попытке записать что-либо на флешку (WriteProtect=1) будет выведено сообщение что диск защищен от записи.

Пожалуй, на этом возможно было закончить рассказ, но оставалось чувство, что чего-то не достаточно … Для полного счастья не хватало запрета на запуск редактора реестра, дабы лишнего соблазна не было.

Запрещаем запуск редактора реестра

HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System

Необходимо добавить ключ типа DWORD DisableRegistryTools со значением 1.

Запуск редактора реестра будет запрещен, но останется возможность вносит трансформации посредством ПО сторонних разработчиков либо посредством REG-файла. Лишь никому об этом не говорите 😉

Запрет на применение флешек. Часть 2

Комментарии и уведомления в настоящее время закрыты..

Комментарии закрыты.