Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 85
молодец. вроде такая тривиальная задача, а сходу бы сам сразу тоже не решил. познавательно!
А ключ у флешки нельзя изменить?
Не пробовал, надо покопать в этом направлении.
Серийный номер можно сменить, даже у Microsoft была утилитка на сайте, меняющая серийник. К сожалению, ссылку дать не могу
Указанная в топе строка — это не ключ, это FirmwareID (по сути идентификатор прошивки), насколько я понимаю. Сменить его софтварно невозможно — только перепрошить и то я не уверен в существовании удачного решения.
Однозначно вариант автора приемлем для среднего уровня защиты. Вариант отличный — взят на заметку, автору поклон. Но если у вас все настолько серьезно, что могут найти людей, перепрошить и т.д. — должны быть совершенно другие решения корпоративного уровня.
Однозначно вариант автора приемлем для среднего уровня защиты. Вариант отличный — взят на заметку, автору поклон. Но если у вас все настолько серьезно, что могут найти людей, перепрошить и т.д. — должны быть совершенно другие решения корпоративного уровня.
Теперь ясно, Спасибо.
Ну как бы если настолько все серьезно, то я думаю что будет тотальный запрет всех носителей с вытекающими отсюда последствиями.
Перепрошить можно. Но это, как правильно замечено, нетривиальная задача, требующая довольно существенного багажа специальных знаний (и софта). То есть решение автора для внедрения в NSA, ЦРУ и ФСБ не пойдет, но в «офисном пространстве» — вполне.
Скорее сломают WinXP, чем это решение для неё :) Так что для поставленной задачи — хорошее решение. Спасибо
Например, есть софтина DeviceLock для такого.
можно обойтись без перепрошивки. если есть флешка такого же размера, достаточно переписать загрузочный сектор — и она станет «лицензионной» =/ проблема в том, что для этого нужно подержать в руках оригинальную флешку
>если у вас все настолько серьезно, что могут найти людей, перепрошить
Проще купить такую же. Все будет работать.
Да, описанный в статье способ не панацея, но в большинстве случаев поможет. Автору спасибо.
Проще купить такую же. Все будет работать.
Да, описанный в статье способ не панацея, но в большинстве случаев поможет. Автору спасибо.
У меня, после того как особо умные пользователи стали подключать не только флешки но и другие усб устройства, пришлось убрать права на папку inf.
Поскольку все юзеры работают под пользовательскими учетками, запрещено всё для групп SYSTEM и Пользователи на папке inf.
Побочных эффектов не наблюдал. Единственное неудобство заключается в том, что если необходимо доустановить или переустановить какое-нибудь оборудование, то приходится временно давать пользователю администраторские права, возвращать доступ к папке, устанавливать оборудоване и возвращать всё назад.
Побочных эффектов не наблюдал. Единственное неудобство заключается в том, что если необходимо доустановить или переустановить какое-нибудь оборудование, то приходится временно давать пользователю администраторские права, возвращать доступ к папке, устанавливать оборудоване и возвращать всё назад.
А у двух одинаковых флешек из одной партии это одинаковый идентификатор?
Давайте рассмотрим из чего складывается FirmwareID — «Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07»
JetFlash — производитель
Prod_TS4GJF185 — код товара (см. гугл по запросу TS4GJF185)
Rev_8.07 — прошивка/незначительные детали
Делаем однозначный вывод — да, у двух флешек из одной партии этот ID одинаков. Судя по всему ревизия инкрементируется не часто, так что вероятность «флешмоба» существует.
JetFlash — производитель
Prod_TS4GJF185 — код товара (см. гугл по запросу TS4GJF185)
Rev_8.07 — прошивка/незначительные детали
Делаем однозначный вывод — да, у двух флешек из одной партии этот ID одинаков. Судя по всему ревизия инкрементируется не часто, так что вероятность «флешмоба» существует.
Не стОит торопиться с однозначными выводами — внутри ключа реестра находится много другой интересной информации:
Вот что происходит, если подключать флешки с одинаковым ID:
Так что флэшмоб отменяется.
Так что флэшмоб отменяется.
Все сделал по статье.
На разрешенную флешку не ругается.
На «левую» выскакивает окно под каким администратором установить устройство.
Нажимает отмену.
Выскакивает последнее из статьи окно с надписью недопустимые данные.
Но в фаре, тотале флешка определилась.
Что я сделал не так? Или что докрутить еще можно.
На разрешенную флешку не ругается.
На «левую» выскакивает окно под каким администратором установить устройство.
Нажимает отмену.
Выскакивает последнее из статьи окно с надписью недопустимые данные.
Но в фаре, тотале флешка определилась.
Что я сделал не так? Или что докрутить еще можно.
Народ, делайте, пожалуйста, скриншоты в PNG. И размер файликов будет поменьше, и грязи вокруг букв и тонких линий при этом не будет.
Классное решение. И прикольное у вас начальство :) Перенесите, пожалуйста, в какой-нибудь блог, чтобы пост попал на главную; ведь не все читают личные блоги.
Вы мне открыли глаза на то, что у разделов реестра есть разрешения.
Как же я их раньше не заметил?
Это так можно много чего назапрещать )
Как же я их раньше не заметил?
Это так можно много чего назапрещать )
Нифига себе, я сначала подумал, что в первую очередь разъемы напильником обработал, чтобы влезала только определенная флешка.
шайтан!
Позновательно, ушел пробовать
Как всегда, сообщение винды об ошибке не содержит абсолютно никакойполезной информации.
90% пользователей Windows все равно их не читают.
Вы никогда не пробывали залесть в журнал событий? ;)
Бесполезно. Пробовал, например — установщик программы неожиданно отказывается ставить программу, в журнале пусто. Потом, я конечно научился передавать installShield параметры для msiexec, чтобы тот писал логи, но не сказал бы что это простой и очевидный способ (ибо опций типа --help или /?, равно как и мануала у инсталлятора не было).
как хорошо, что у меня на работе и флешки и интернет есть.
если пользователь подключит флешку той же модели (как вариант из той же партии) она заработает?
вариант решения — правильная флешка подключается к esata, остальное запрещаем:)
вариант решения — правильная флешка подключается к esata, остальное запрещаем:)
Нет, не заработает.
См. выше: habrahabr.ru/blogs/i_am_clever/52553/#comment_1407010
Все-таки каждая флешка имеет свой уникальный идентификатор.
См. выше: habrahabr.ru/blogs/i_am_clever/52553/#comment_1407010
Все-таки каждая флешка имеет свой уникальный идентификатор.
DeviceLock умеет такие штуки делать — можно разрешать/запрещать работу с конкретными USB устройствами, да еще и централизованно. Единственный минус — денег стоит :)
Весьма и весьма. Респект и уважуха!
Самое главное практически без костылей, как в Linux, хотя… :)
Триста пицот шестьдесят сорок восемь плюсов! Как раз то, что искал сам намедни, но не нашел. Спасибо огромное.
( 1 )
Контроль использования USB-накопителей в Windows Server 2008, подходит и для Windows Vista
www.osp.ru/win2000/2008/02/4866704/
( 2 )
Запрет на исходящие данные на Flash накопители
подходит и для XP и для Vista:
1. REGEDIT
2. HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet\Control.
3. Создаем новый раздел StorageDevicePolicies.
4. В созданном StorageDevicePolicies создадим DWORD с именем WriteProtect и установим ему значение равным 1
5. Рестарт, готово, данные по USB уже не уйдут
Контроль использования USB-накопителей в Windows Server 2008, подходит и для Windows Vista
www.osp.ru/win2000/2008/02/4866704/
( 2 )
Запрет на исходящие данные на Flash накопители
подходит и для XP и для Vista:
1. REGEDIT
2. HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet\Control.
3. Создаем новый раздел StorageDevicePolicies.
4. В созданном StorageDevicePolicies создадим DWORD с именем WriteProtect и установим ему значение равным 1
5. Рестарт, готово, данные по USB уже не уйдут
Ваше решение имеет один недостаток — оно конфликтует с изначальной задачей т.е запрещает всем запись на ЛЮБЫЕ флешки.
А если пользователь Администратор на компьютере — ваше ограничение до лампочки.
А если пользователь Администратор на компьютере — ваше ограничение до лампочки.
странный комментарий…
по поводу ( 1 ) — там описывается ровно такой же метод, что приведен в данном топике, только для ОС — Server 2008, Vista
по поводу ( 2 )
да это запрет на любую исходящую информацию, о чем собственно там и сказано
и да Администратору подобное ограничение до лампочки как и ЛЮБЫЕ другие ограничения
(потому как — это как бы нонсенс, пользователи которым нужно поставить запрет на исходящие данные и вместе с тем предоставить привилегии Администратора)
по поводу ( 1 ) — там описывается ровно такой же метод, что приведен в данном топике, только для ОС — Server 2008, Vista
по поводу ( 2 )
да это запрет на любую исходящую информацию, о чем собственно там и сказано
и да Администратору подобное ограничение до лампочки как и ЛЮБЫЕ другие ограничения
(потому как — это как бы нонсенс, пользователи которым нужно поставить запрет на исходящие данные и вместе с тем предоставить привилегии Администратора)
здорово! завтра поэксперементирую… только я всегда флешки блокирую, а если юзеру позарез нужна инфа с флешки, то через себя и по сети перекидываю :)
Хорошее решение. Заложу, чтобы использовать в будущем.
в Vista такое можно провернуть настройками в GP
а кто запретит загружать компьютер с любой USB-Flash'ки?
можно конечно поставить пароль на BIOS, который можно легко стереть из под той же винды
можно конечно поставить пароль на BIOS, который можно легко стереть из под той же винды
тогда надо еще переписать биос чтобы не было в нем загрузки с usb )
Видел я совсем жесткий метод — на юсб-порты вешается крышка и закрывается на висячий замок. Но если задаться целью вынести что-нибудь важное, любые препятствия можно побороть.
Другое дело, закрыть доступ кривым рукам офисных работников, которые любят припереть какую-нибудь срань из дому со всевозможным букетом вирусей. Они обычно слова такого не знают… биос… Я молчу про загрузку винды с флэшки.
Другое дело, закрыть доступ кривым рукам офисных работников, которые любят припереть какую-нибудь срань из дому со всевозможным букетом вирусей. Они обычно слова такого не знают… биос… Я молчу про загрузку винды с флэшки.
Кстати винду с флешки вполне просто запустить: качается какойнибудь BartPE и записывается с помощью UltraISO на флешку. Выбрать в BIOS'е загрузку с USB-HDD тоже дело 5 секунд.
Вы правы в том, что это защита только от ламера, который не имеет даже общих знаний о компьютере.
Вы правы в том, что это защита только от ламера, который не имеет даже общих знаний о компьютере.
Бывает еще жестше, все порты заливают эпаксидной смлолой, а машинка грузится по сети.
Мусье знает толк в извращениях…
хм, зачем, если можно отключить usb в биосе?
Даже в этом случае остаётся возможность подключить маленький ноут или КПК с Ethernet-портом через свой перекрёстный патч-корд и скомпрометировать защищаемую систему, заставив её грузиться по локалке присоединённой к мини-компьютеру.
мда, информацию можно унести сделав фотку на камеру мобильного…
Спасибо за отличное решение!
Спасибо, беру метод на вооружение )
В описанном методе есть баг:
1) Открываем «Мой компьютер»
2) Делаем все описанное в топике
3) Вставляем флешку (флешка появиться в «Моем компьютере»)
4) Заходим на флешку, и открываем любую поддиректорию до того как появиться картинка, показанная в топике.
5) Собственно все.
Кстати это работает, даже если у пользователя, из-под которого выполняются пункты 1, 3 и 4 нет прав локальным администратором.
Проверенно на XP SP3.
1) Открываем «Мой компьютер»
2) Делаем все описанное в топике
3) Вставляем флешку (флешка появиться в «Моем компьютере»)
4) Заходим на флешку, и открываем любую поддиректорию до того как появиться картинка, показанная в топике.
5) Собственно все.
Кстати это работает, даже если у пользователя, из-под которого выполняются пункты 1, 3 и 4 нет прав локальным администратором.
Проверенно на XP SP3.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Выборочное подключение USB-флешек в Windows XP