Способ защиты от несанкционированного копирования файлов в корень флеш-карты для юзеров OS WINDOWS

Думаю, что все сталкивались с проблемой злобных «авторанов». И есть много способов решения: СПО, скрипты, «танцы с бубном» и т.п. Я же хочу предложить простой алгоритм решения для пользователей OS Windows, который не требует сторонних вмешательств. Для достижения цели нам потребуется несколько шагов — точнее два.

Шаг №1 — подготовка


Форматирование файловой системы носителя в NTFS с помощью ОС.
При выборе вариантов форматирования нет NTFS
Если нет варианта форматирования файловой системы в NTFS, что имеет место быть на Windows XP, то делаем следующее:
  1. Заходим в свойства флешки;
  2. Переходим на вкладку «Оборудование;»
  3. Выбираем нашу флеш-карту и нажимаем кнопку свойства;
  4. Переходим на вкладку «Политика»;
  5. Выбираем вариант использования кэша;
  6. Принимаем изменения и форматируем в NTFS;
  7. Затем возвращаем обратно в «Быстрое удаление».

Шаг №2 — разграничение прав


Теперь создаем папку («рабочая папка») в корне и сразу задаем имя (в дальнейшем поменять имя папки невозможно), в ней и будет храниться вся информация. А вот в корень папки будет доступен только на чтение. Теперь разграничиваем права:
  1. Заходим в безопасность — открываем свойства флешки, вкладка «Безопасность»;
    Если нет такой вкладки, то делаем следующее
    1. Заходим в «Параметры папок», что в «Панели управления»;
    2. На вкладке вид в списке «Дополнительные параметры» находим параметр содержащий слова «общий доступ» и "(рекомендуется)";
    3. Снимаем галку.

    Теперь вкладка появилась
  2. Нажимаем кнопку «Дополнительно»;
  3. В открывшемся окне переходим на вкладку «Владелец» и нажимаем кнопку «Изменить»;
    Для XP
    (в Windows XP нет кнопки «Изменить разрешения», там сразу действуем)
  4. Ставим галку «Заменить владельца подконтейнеров и объектов»;
  5. Выбираем себя и становимся владельцем объекта;
  6. Закрываем диалоговые окна по требованию ОС кнопкой «ОК» и затем опять открываем «безопасность» и «дополнительно»;
  7. Изменяем разрешения — для этого заходим в безопасность и на вкладке «Разрешения» нажимаем кнопку «Изменить разрешения» удаляем имеющиеся права;
    Для XP
    (в Windows XP нет кнопки «Изменить разрешения», там сразу действуем)
  8. Добавляем группу «Все» — нажимаем кнопки «Добавить», «Дополнительно», «Поиск», выбираем из списка группу «Все», «ОК», «ОК»;
  9. В открывшемся окне задаем параметры разрешений для группы «Все»:
    • «Применять: Для этой папки, ее подпапок и файлов»;
    • Устанавливаем следующие галки в поле «Разрешения»:
      1. Разрешить: «Полный доступ»;
      2. Запретить: «Смена владельца», «Смена разрешений», «Удаление», «Удаление подпапок и файлов», «Запись дополнительных атрибутов», «Запись атрибутов», «Создание папок / дозапись данных», «Создание файлов / запись данных».
  10. Принимаем изменения, переходим к ранее созданной папке в корне флеш-карты и проделываем почти те же операции;
  11. Смена владельца — по знакомой схеме;
  12. Удаление имеющихся прав путем снятия галки «Добавить разрешения, наследуемые от родительских объектов» на вкладке «Разрешения»;
  13. В появившемся диалоговом окне выбираем «Удалить»;
  14. Добавляем группу «Все» (уже знаем как) и задаем параметры разрешений:
    • «Применять: Для этой папки, ее подпапок и файлов» ;
    • Устанавливаем галку Разрешить: «Полный доступ».
  15. Опять добавляем группу «Все» и задаем параметры разрешений:
    • «Применять: Только для этой папки»;
    • Устанавливаем следующие галки «Запретить» в поле «Разрешения»:
      «Смена владельца», «Смена разрешений», «Удаление», «Запись дополнительных атрибутов», «Запись атрибутов»

Плюсы

+ В корне флеш-карты нет возможности создавать / удалять файлы и папки. Следовательно, закрыта лазейка для «авторанов».
+ В «рабочей папке» полный доступ — что хотим, то и воротим (ударение расставите сами).
+ Файловая система NFTS — для личного пользования в самый раз. (ИМХО)

Минусы

— Нет возможности воспользоваться пунктом меню «Отправить» для копирования информации на нашу флешку, т.к. корневой каталог закрыт для записи. Необходимо копировать в «рабочую папку».
— Нет возможности переименовать «рабочую папку» — в корне только чтение.
— Файловая система NTFS — не подходит для устройств читающих только FAT (муз./видео плееры, смартфоны, фото-камеры и т.п.).

Замечания
  • Данную операцию лучше проводить на «здоровой машине». А то можно сотворить immortal-autorun;
  • НА Windows XP у меня при попытке удалить «рабочую папку» она оставалась (так и должно быть), но внутри всё удалялось;
  • Зато на Window 7 все файлы при попытке удаления «рабочей папки» остаются;
  • Внутри «рабочей папки» не спасает от вредоносных программ, которые создают exe'шник с именем папки при ее открытии.
Share post
AdBlock has stolen the banner, but banners are not teeth — they will be back

More
Ads

Comments 31

    +1
    Хотелось бы услышать аргументированную критику, ну или просто критику.
    Спасибо.
      +1
      Вы зря пошли костыльным путём Юрия Бабушкина.

      Процесс с правами админа вполне может сбросить владельца объектов, потом поставить права, потом сделать с флэшкой всё прочее.
        –4
        Этот способ за 3 года использования ни разу не подвел, вот я и решил написать.
        P.S.
        А Вы когда-нинибудь встречали подобное действо направленное на флешку
      +1
      Автораны не так страшны (на обновленной системе с флешки авторан не запускается).
      Сейчас ко мне часто стали приходить сотрудники с проблемой — «пропали все файлы с флешки». На проверку — все файлы и папки в корне флешки помечались как «системные» и на большинстве компьютеров не отображались…
        –1
        Согласен, что сам авторан не запуститься на «хорошой системе» в нормальной организации(фирме). Предложенный материал для рядовых пользователей, для которых «словить вирус с флешки» обычное дело. Также большинство моих знакомых работает не по профилю IT и это решение им подходит (все довольны).
        Однако, когда я работал в организации и на IT денег не выделяли (пиратка XP без антивируса), система с флешками сработала на 5+.
        +2
        Но ведь любой пользователь (а значит и приложение) с правами локального администратора, сможет сменить права. Я как то давно, еще в первую волну этих авторанов сделал себе подобное разграничение прав на флешке, но к сожалению не сильно помогло, продержалось с недели две, потом права чем то затерло.
        В данном вопросе я предпочел бы rw/ro переключатель хардварный. Надо с Китаем связаться и наладить производство, а то выбор на рынке совсем никакой.
          –1
          Но ведь любой пользователь (а значит и приложение) с правами локального администратора, сможет сменить права.

          Верно, но для начала необходимо стать владельцем объекта.
            0
            Переключатель Lock на SD карте, вставленной в компактный кардридер не предлагать?
            Хотя ниже уже написали, да.
              –2
              Переключатель может сломаться, а права и перенастроить можно.
            0
            А всегда просто в групповых политиках выключал автозапуск со всех носителей (Win7 — \Компоненты Windows\Политики автозапуска\Отключить автозапуск). И было безразлично что там записано в конре флешки, а если что и было довольно быстро удалялось антивирусом. И опять же Microsoft выпускал багфикс который закрывает большинство дыр в автозапуске.
              –2
              Это верно, можно свою машину настроить. Но что делать с «чужим»?
                +1
                А это вопрос компетенции и ответственности хозяина «чужого» компьютера. Если уровень компетенции и ответственности низкий (если он (владелец) не держит даже банального бесплатно антивируса), то заражение компьютера не помешают никакие ухищрения с флешками.
                  –1
                  Так тут речь и идет о том как обезопасить себя и надеяться на ответственность других. Конечно нет ни какого труда в том, чтобы у кого то "«заразиться и дома полечиться». Но лучше упреждать «заразу».
                    0
                    Полностью согласен, просто предпочитаю сохранять баланс между удобством использования и безопасности. Да и у некоторых пользователей невозможность записать в корень флешки может вызвать довольно бурную и неадекватную реакцию.

                    Нарвался однажды на одной из своих работ в бытность мою системным администратором, когда в политике домена запретил запись в корень диска С:. Жалко не заснял истерику главбуха ))).

                    А способ описанный мной запрет аторана и нормальный антивирус вполне работал и в организациях где я работал не было не одной эпидемии вирусов вызванной «вирусами с флешек» даже kido обошел стороной.
                  0
                  Я не в коей мере не пропагандирую наплевательское отношение к чужому имуществу. Я лично считаю правило плохого тона принести к кому-либо вирус на своей флешке, по возможности если чего и подцепил то стараюсь удалить это дело побыстрей. ДА и если вижу что у владельца «чужого» нет даже антивируса я всегда его посоветую и даже поделюсь дистрибутивом.
              • UFO just landed and posted this here
                  –1
                  Спасибо, попробую.
                  • UFO just landed and posted this here
                    0
                    кстати да, такую реализацию тоже часто встречал. отличное решение.
                      0
                      ReadOnly, Hidden, System папка и в ней такой же файлик. и .exe так же, да.
                      99% вирусни фейлится.
                        +1
                        Наивные — мало вы с вирусами сталкивались… — для нормальных вирусов — это семечки.
                        Как вам такая самозащита вируса — при _выделении_ в проводнике или запука любым способом файла, в названии которого есть avz или combofix — комп выключается!
                        А по теме — за Вас всё уже придумано и продумано — habrahabr.ru/post/53642/
                        ЗЫ спас открытый несохраненный doc файл в word'е, спасибо Хабру за подсказку.
                          –1
                          Мой пост описывает как сделать права NTFS и не открывает Америку. До этого дошел сам в 2009 году решая проблему на работе. как-то так вот.
                        0
                          –1
                          Да да, это один из многих вариантов.
                          0
                          Давно использую права доступа для защиты записи на флешку именно таким способом.
                          Плюс переключатель ReadOnly на SD карте незаменим.
                            –1
                            Хочу напомнить всем читающим, что это один из многих вариантов, который я считаю оптимальным. Все делается средствами ОС.
                            P.S.
                            Другие варианты тоже хороши.
                              –1
                              Ну вот хоть кто-то развесил — заминусовал все мои коменты. Теперь я знаю, что кому-то не безраличен )))
                                0
                                про минусы либо никак, либо…
                                  0
                                  либо с юмором. Отрицательно мнение, тоже мнение.
                                0
                                На проблемных машинах использую флешку с тумблером вкл/выкл запись + имею желание всегда и всех лишить админских прав. ) Кстати их в продаже давно не видел у нас…
                                  0
                                  Проблема тумблера в его режиме действия (вкл/выкл), с правами лучше — корень выкл, папка вкл.
                                  Но плюс в невозможности изменить режим программно.

                                Only users with full accounts can post comments. Log in, please.