
Многие задавались вопросом как подключать съемные носители информации в режиме защиты от записи (readonly). Это может потребоваться:
- для предотвращения утечки информации из компании через флешки или USB-диски
- для проведения исследования флешки или жесткого диска при подключении их через USB-интерфейс, когда нежелательно модификация данных, в том числе изменение времени последнего достапа к файлам (у NTFS)
Когда существуют аппаратные переключатели — нет проблем, в Unix-овых системах тоже все просто, добавляешь параметр -o ro или -r и диски монтируются в нужном режиме (readonly). В системах семейства Windows подключение разделов происходит в режиме записи и автоматически, при этом система несанкционировано пользователем начинает писать на раздел служебную информацию, тем самым нарушаю целостность данных (что критично при производстве технических экспертиз носителей информации).
В Windows за режим монтирования съемных носителей информации отвечает параметр WriteProtect [dword] в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies:
- 1 — режим защиты от записи (readonly)
- 0 — режим записи
А за идентификацию и автоматическое подключение USB-дисков параметр Start [dword] в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR:
- 4 — блокировка USB-утсройств хранения информации
- 3 — стандартные режим (без блокировок)
Компании сами выбирают какие политики безопасности устанавливать: некоторые борятся чтобы не приносили сторонние программы (игрухи и т.п.) некоторые — чтобы ничего не уносили (особенно охраняемую информацию). Иногда бездумно просто запрещают все USB-устройства а пользователям для обмена необходимой служебной информацией (когда отсутствует общая ЛВС) приходится изрядно поизощрятся действуя в рамках политик (записывать данный на CD и перенос через комп администратора сети у которого возможно чтение флешек и т.п.). На мой взгляд если главная цель чтобы данные не утекли -установить (определенным группам) режим работы с флешками readonly.
Существует несколько продуктов позволяющих устанавливать режимы работы с USB накопителями:
- DeviceLock www.devicelock.com
- Lumension Device Control www.lumension.com (мне очень нравится)
- GFILANguard www.gfi.com
все они отлично справляются со своими функциями, умеют работать централизовано с AD. Основной минус — дороговато. Как слабая альтернатива может сгодится и скрипт в групповой политике:
SET WSHShell = CreateObject(«WScript.Shell»)
WSHShell.RegWrite «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies\WriteProtect», «00000001», «REG_DWORD»
или
SET WSHShell = CreateObject(«WScript.Shell»)
WSHShell.RegWrite «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Start», «00000004», «REG_DWORD»
UPD. Также, для отключение USB можно воспользоваться следующим методом: (за метод спасибо damnet) (данный метод работает если USB-устройство хранения данных еще не установлено в компьютер.)
1. Назначте пользователю или группе запрещающие права на следующие файлы:
%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf
Для этого во вкладке Безопасность файла ставим галочка напротив Полный доступ — Запретить, жмем применить.
2. Назначте для этих файлов запрещающие права учетной записи SYSTEM.
Для удобства в переключении режимов доступа к USB storage device сворганил небольшую програмку USBWriteProtect. Кому нужно можете использовать в свое удовольствие. Скачать тут place.ifolder.ru/15535906

В дальнейшем планирую нарастить функционал программы, но будет это не скоро.
UPD. Для программы требуется Microsoft Visual C++ 2005 Redistibutable Package.
Для уверенности что Windows ничего все-таки не ухитряется записать на USB-диск — программу протестировал:
1. Считаем контрольную сумму USB-диска с NTFS-разделом
md5sum /dev/sdb
215820fe569e57201c9b02b1fb37a272
2. Подключаем к компьютеру Windows XP с режимом работы с флешками readonly
3. Просматриваем файлы и катологи на флешке, работаем с другими приложениями.
4. Отключаем диск и проверяем контрольную сумму
md5sum /dev/sdb
215820fe569e57201c9b02b1fb37a272
5. Ура! Радуемся, readonly режим работает.
6. Подключаем к компьютеру Windows XP со стандартным режимом работы с флешками (write read)
7. Практически сразу отключаем диск и проверяем контрольную сумму
md5sum /dev/sdb
db9c636c35b352dbf024a73cd195c84f
8. А Windows таки успел нам данные модифицировать )))