Комментарии 85
молодец. вроде такая тривиальная задача, а сходу бы сам сразу тоже не решил. познавательно!
+19
А ключ у флешки нельзя изменить?
0
Не пробовал, надо покопать в этом направлении.
0
Серийный номер можно сменить, даже у Microsoft была утилитка на сайте, меняющая серийник. К сожалению, ссылку дать не могу
0
Указанная в топе строка — это не ключ, это FirmwareID (по сути идентификатор прошивки), насколько я понимаю. Сменить его софтварно невозможно — только перепрошить и то я не уверен в существовании удачного решения.
Однозначно вариант автора приемлем для среднего уровня защиты. Вариант отличный — взят на заметку, автору поклон. Но если у вас все настолько серьезно, что могут найти людей, перепрошить и т.д. — должны быть совершенно другие решения корпоративного уровня.
Однозначно вариант автора приемлем для среднего уровня защиты. Вариант отличный — взят на заметку, автору поклон. Но если у вас все настолько серьезно, что могут найти людей, перепрошить и т.д. — должны быть совершенно другие решения корпоративного уровня.
+6
Теперь ясно, Спасибо.
0
Ну как бы если настолько все серьезно, то я думаю что будет тотальный запрет всех носителей с вытекающими отсюда последствиями.
+3
Перепрошить можно. Но это, как правильно замечено, нетривиальная задача, требующая довольно существенного багажа специальных знаний (и софта). То есть решение автора для внедрения в NSA, ЦРУ и ФСБ не пойдет, но в «офисном пространстве» — вполне.
0
Скорее сломают WinXP, чем это решение для неё :) Так что для поставленной задачи — хорошее решение. Спасибо
+1
Например, есть софтина DeviceLock для такого.
-1
можно обойтись без перепрошивки. если есть флешка такого же размера, достаточно переписать загрузочный сектор — и она станет «лицензионной» =/ проблема в том, что для этого нужно подержать в руках оригинальную флешку
+1
>если у вас все настолько серьезно, что могут найти людей, перепрошить
Проще купить такую же. Все будет работать.
Да, описанный в статье способ не панацея, но в большинстве случаев поможет. Автору спасибо.
Проще купить такую же. Все будет работать.
Да, описанный в статье способ не панацея, но в большинстве случаев поможет. Автору спасибо.
0
У меня, после того как особо умные пользователи стали подключать не только флешки но и другие усб устройства, пришлось убрать права на папку inf.
+3
НЛО прилетело и опубликовало эту надпись здесь
Поскольку все юзеры работают под пользовательскими учетками, запрещено всё для групп SYSTEM и Пользователи на папке inf.
Побочных эффектов не наблюдал. Единственное неудобство заключается в том, что если необходимо доустановить или переустановить какое-нибудь оборудование, то приходится временно давать пользователю администраторские права, возвращать доступ к папке, устанавливать оборудоване и возвращать всё назад.
Побочных эффектов не наблюдал. Единственное неудобство заключается в том, что если необходимо доустановить или переустановить какое-нибудь оборудование, то приходится временно давать пользователю администраторские права, возвращать доступ к папке, устанавливать оборудоване и возвращать всё назад.
+1
А у двух одинаковых флешек из одной партии это одинаковый идентификатор?
+1
Давайте рассмотрим из чего складывается FirmwareID — «Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07»
JetFlash — производитель
Prod_TS4GJF185 — код товара (см. гугл по запросу TS4GJF185)
Rev_8.07 — прошивка/незначительные детали
Делаем однозначный вывод — да, у двух флешек из одной партии этот ID одинаков. Судя по всему ревизия инкрементируется не часто, так что вероятность «флешмоба» существует.
JetFlash — производитель
Prod_TS4GJF185 — код товара (см. гугл по запросу TS4GJF185)
Rev_8.07 — прошивка/незначительные детали
Делаем однозначный вывод — да, у двух флешек из одной партии этот ID одинаков. Судя по всему ревизия инкрементируется не часто, так что вероятность «флешмоба» существует.
+6
+6
+11
Все сделал по статье.
На разрешенную флешку не ругается.
На «левую» выскакивает окно под каким администратором установить устройство.
Нажимает отмену.
Выскакивает последнее из статьи окно с надписью недопустимые данные.
Но в фаре, тотале флешка определилась.
Что я сделал не так? Или что докрутить еще можно.
На разрешенную флешку не ругается.
На «левую» выскакивает окно под каким администратором установить устройство.
Нажимает отмену.
Выскакивает последнее из статьи окно с надписью недопустимые данные.
Но в фаре, тотале флешка определилась.
Что я сделал не так? Или что докрутить еще можно.
0
Народ, делайте, пожалуйста, скриншоты в PNG. И размер файликов будет поменьше, и грязи вокруг букв и тонких линий при этом не будет.
+2
Классное решение. И прикольное у вас начальство :) Перенесите, пожалуйста, в какой-нибудь блог, чтобы пост попал на главную; ведь не все читают личные блоги.
0
НЛО прилетело и опубликовало эту надпись здесь
Вы мне открыли глаза на то, что у разделов реестра есть разрешения.
Как же я их раньше не заметил?
Это так можно много чего назапрещать )
Как же я их раньше не заметил?
Это так можно много чего назапрещать )
+2
Нифига себе, я сначала подумал, что в первую очередь разъемы напильником обработал, чтобы влезала только определенная флешка.
-4
НЛО прилетело и опубликовало эту надпись здесь
шайтан!
+5
Позновательно, ушел пробовать
0
Как всегда, сообщение винды об ошибке не содержит абсолютно никакойполезной информации.
+6
90% пользователей Windows все равно их не читают.
+6
А оставшиеся 10%? Доходит до идиотизма — чтобы понять почему не ставится программа, прихордится смотреть на вывод ProcMon, где он спотыкается, осталось только еще дебаггером выискивать баги.
-1
потому и не читают!
0
Вы никогда не пробывали залесть в журнал событий? ;)
+1
Бесполезно. Пробовал, например — установщик программы неожиданно отказывается ставить программу, в журнале пусто. Потом, я конечно научился передавать installShield параметры для msiexec, чтобы тот писал логи, но не сказал бы что это простой и очевидный способ (ибо опций типа --help или /?, равно как и мануала у инсталлятора не было).
0
как хорошо, что у меня на работе и флешки и интернет есть.
-1
НЛО прилетело и опубликовало эту надпись здесь
если пользователь подключит флешку той же модели (как вариант из той же партии) она заработает?
вариант решения — правильная флешка подключается к esata, остальное запрещаем:)
вариант решения — правильная флешка подключается к esata, остальное запрещаем:)
-2
Нет, не заработает.
См. выше: habrahabr.ru/blogs/i_am_clever/52553/#comment_1407010
Все-таки каждая флешка имеет свой уникальный идентификатор.
См. выше: habrahabr.ru/blogs/i_am_clever/52553/#comment_1407010
Все-таки каждая флешка имеет свой уникальный идентификатор.
0
DeviceLock умеет такие штуки делать — можно разрешать/запрещать работу с конкретными USB устройствами, да еще и централизованно. Единственный минус — денег стоит :)
0
Весьма и весьма. Респект и уважуха!
0
Самое главное практически без костылей, как в Linux, хотя… :)
-3
Триста пицот шестьдесят сорок восемь плюсов! Как раз то, что искал сам намедни, но не нашел. Спасибо огромное.
-1
( 1 )
Контроль использования USB-накопителей в Windows Server 2008, подходит и для Windows Vista
www.osp.ru/win2000/2008/02/4866704/
( 2 )
Запрет на исходящие данные на Flash накопители
подходит и для XP и для Vista:
1. REGEDIT
2. HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet\Control.
3. Создаем новый раздел StorageDevicePolicies.
4. В созданном StorageDevicePolicies создадим DWORD с именем WriteProtect и установим ему значение равным 1
5. Рестарт, готово, данные по USB уже не уйдут
Контроль использования USB-накопителей в Windows Server 2008, подходит и для Windows Vista
www.osp.ru/win2000/2008/02/4866704/
( 2 )
Запрет на исходящие данные на Flash накопители
подходит и для XP и для Vista:
1. REGEDIT
2. HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet\Control.
3. Создаем новый раздел StorageDevicePolicies.
4. В созданном StorageDevicePolicies создадим DWORD с именем WriteProtect и установим ему значение равным 1
5. Рестарт, готово, данные по USB уже не уйдут
+3
Ваше решение имеет один недостаток — оно конфликтует с изначальной задачей т.е запрещает всем запись на ЛЮБЫЕ флешки.
А если пользователь Администратор на компьютере — ваше ограничение до лампочки.
А если пользователь Администратор на компьютере — ваше ограничение до лампочки.
-1
странный комментарий…
по поводу ( 1 ) — там описывается ровно такой же метод, что приведен в данном топике, только для ОС — Server 2008, Vista
по поводу ( 2 )
да это запрет на любую исходящую информацию, о чем собственно там и сказано
и да Администратору подобное ограничение до лампочки как и ЛЮБЫЕ другие ограничения
(потому как — это как бы нонсенс, пользователи которым нужно поставить запрет на исходящие данные и вместе с тем предоставить привилегии Администратора)
по поводу ( 1 ) — там описывается ровно такой же метод, что приведен в данном топике, только для ОС — Server 2008, Vista
по поводу ( 2 )
да это запрет на любую исходящую информацию, о чем собственно там и сказано
и да Администратору подобное ограничение до лампочки как и ЛЮБЫЕ другие ограничения
(потому как — это как бы нонсенс, пользователи которым нужно поставить запрет на исходящие данные и вместе с тем предоставить привилегии Администратора)
0
здорово! завтра поэксперементирую… только я всегда флешки блокирую, а если юзеру позарез нужна инфа с флешки, то через себя и по сети перекидываю :)
0
Хорошее решение. Заложу, чтобы использовать в будущем.
0
в Vista такое можно провернуть настройками в GP
0
а кто запретит загружать компьютер с любой USB-Flash'ки?
можно конечно поставить пароль на BIOS, который можно легко стереть из под той же винды
можно конечно поставить пароль на BIOS, который можно легко стереть из под той же винды
+1
тогда надо еще переписать биос чтобы не было в нем загрузки с usb )
0
Видел я совсем жесткий метод — на юсб-порты вешается крышка и закрывается на висячий замок. Но если задаться целью вынести что-нибудь важное, любые препятствия можно побороть.
Другое дело, закрыть доступ кривым рукам офисных работников, которые любят припереть какую-нибудь срань из дому со всевозможным букетом вирусей. Они обычно слова такого не знают… биос… Я молчу про загрузку винды с флэшки.
Другое дело, закрыть доступ кривым рукам офисных работников, которые любят припереть какую-нибудь срань из дому со всевозможным букетом вирусей. Они обычно слова такого не знают… биос… Я молчу про загрузку винды с флэшки.
0
Кстати винду с флешки вполне просто запустить: качается какойнибудь BartPE и записывается с помощью UltraISO на флешку. Выбрать в BIOS'е загрузку с USB-HDD тоже дело 5 секунд.
Вы правы в том, что это защита только от ламера, который не имеет даже общих знаний о компьютере.
Вы правы в том, что это защита только от ламера, который не имеет даже общих знаний о компьютере.
-1
В биосе отключена загрузка ото всюду кроме системного диска
Пароль на биос
И старая добрая свинцовая пломба на системном блоке
2 тыка + пломба стоит копейки и вобще вещь незаменимая от шалунов
Пароль на биос
И старая добрая свинцовая пломба на системном блоке
2 тыка + пломба стоит копейки и вобще вещь незаменимая от шалунов
0
Бывает еще жестше, все порты заливают эпаксидной смлолой, а машинка грузится по сети.
0
Мусье знает толк в извращениях…
+3
хм, зачем, если можно отключить usb в биосе?
0
Даже в этом случае остаётся возможность подключить маленький ноут или КПК с Ethernet-портом через свой перекрёстный патч-корд и скомпрометировать защищаемую систему, заставив её грузиться по локалке присоединённой к мини-компьютеру.
0
мда, информацию можно унести сделав фотку на камеру мобильного…
0
Спасибо за отличное решение!
0
Спасибо, беру метод на вооружение )
0
В описанном методе есть баг:
1) Открываем «Мой компьютер»
2) Делаем все описанное в топике
3) Вставляем флешку (флешка появиться в «Моем компьютере»)
4) Заходим на флешку, и открываем любую поддиректорию до того как появиться картинка, показанная в топике.
5) Собственно все.
Кстати это работает, даже если у пользователя, из-под которого выполняются пункты 1, 3 и 4 нет прав локальным администратором.
Проверенно на XP SP3.
1) Открываем «Мой компьютер»
2) Делаем все описанное в топике
3) Вставляем флешку (флешка появиться в «Моем компьютере»)
4) Заходим на флешку, и открываем любую поддиректорию до того как появиться картинка, показанная в топике.
5) Собственно все.
Кстати это работает, даже если у пользователя, из-под которого выполняются пункты 1, 3 и 4 нет прав локальным администратором.
Проверенно на XP SP3.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Выборочное подключение USB-флешек в Windows XP