Pull to refresh

Выборочное подключение USB-флешек в Windows XP

System administration *
По роду своей деятельности (системное администрирование), приходится мне постоянно решать различные интересные задачи по управлению компьютерами и сетями.

Вот одна из них.

Дано:
  • Компьютер операторов производства (Windows XP SP2)
  • Одобренная начальством USB-флешка для переноса данных с промышленных компьютеров на компьютер операторов

Требуется:
Обеспечить подключение только одной, одобренной начальством USB-флешки, запретив при этом подключение других, неодобренных (смайл).

Ход решения:

Как отключить USB-флешки совсем, нашел быстро — статья kb823732 на support.microsoft.com «Как отключить использование USB-устройств хранения данных»
В нашем случае этот способ не подходит, ибо одна флешка должна все-таки работать.
Больше Microsoft не помог ничем.

Яндекс и Гуголь отправляли меня купить всяческие замечательные программы, которые играючи справляются с подобными проблемами.
Данный вариант я отверг сразу — неспортивно это, пользоваться программой, когда должно быть решение стандартными средствами.

И оно нашлось.
Уже ни на что не надеясь, отправился я на форум Ру-Борды.
И нашел там один-единственный пост с нужной информацией.
Прочитал, осмыслил и приступил к действиям.

Итак, по шагам (разумеется, нужно обладать правами локального администратора):
  1. Win+R (аналог Пуск -> Выполнить), regedit.
  2. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR]. Этот ключ хранит информацию о всех когда-либо подключенных USB-носителях.
  3. Даем себе полный доступ на USBSTOR (правая клавиша мыши -> Разрешения, отметить пункт Полный доступ у группы ВСЕ).
  4. Удаляем все содержимое USBSTOR.
  5. Подключаем одобренную фэшку, убеждаемся в том, что она определилась. Внутри USBSTOR должен появиться ключ типа Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07 (F5 для обновления списка).
  6. Опять ПКМ на USBSTOR, Разрешения. Убираем Полный доступ у группы ВСЕ, право на чтение оставляем.
  7. Те же самые права нужно назначить пользователю SYSTEM, но напрямую это сделать не получится. Сначала нужно нажать кнопку Дополнительно, убрать галку Наследовать от родительского обьекта…, в появившемся окне Безопасность сказать Копировать. После очередного нажатия на ОК права пользователя SYSTEM станут доступны для изменения.
  8. Для закрепления эффекта нажимаем кнопку Дополнительно еще раз и отмечаем пункт Заменить разрешения для всех дочерних объектов… Подтверждаем выполнение.

Чего же мы добились в итоге?
Разрешенная флешка подключается и отключается без проблем. При попытке же несанкционированного подключения Windows определит устройство, но установить его не сможет, ругнувшись следующим образом:

data_error

Причем, в USBSTOR'е будет создан новый ключ, который недвусмысленно укажет на попытку подключения неодобренного USB-накопителя.
Tags:
Hubs:
Total votes 158: ↑153 and ↓5 +148
Views 19K
Comments Comments 85