Наш клиент хочет, чтобы поставляемые нами системы соответствовали следующим требованиям:

  • Только администратор может получить доступ к USB-флеш-драйверам.
  • Все остальные локальные пользователи не должны иметь доступа к USB-флеш-драйверу вообще

В идеале они хотят, чтобы мы не редактировали местные правила. Но если это требуется, это нормально использовать. Компьютер не подключен ни к одному контроллеру домена.

Интересно, возможно ли удовлетворить эти требования?

3 ответа3

2

При этом USB-накопитель не работает, когда пользователь подключает устройство к компьютеру. Чтобы установить начальное значение, выполните следующие действия:

  1. Нажмите Пуск, а затем нажмите Выполнить.
  2. В поле Открыть введите regedit и нажмите кнопку ОК.
  3. Найдите и щелкните следующий раздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

  4. В области сведений дважды щелкните Пуск.

  5. В поле Значение введите 4, нажмите Шестнадцатеричный (если он еще не выбран) и нажмите кнопку ОК.

  6. Выход из редактора реестра.

Если вы хотите включить снова, просто измените это значение на 3.

У Microsoft есть инструмент, который вы можете скачать здесь, чтобы это исправить.

Источник

1

Если на компьютере еще не установлено запоминающее устройство USB

Если запоминающее устройство USB еще не установлено на компьютере, назначьте пользователю или группе и локальной учетной записи SYSTEM разрешения Запретить следующие файлы:

% SystemRoot%\Inf\Usbstor.pnf% SystemRoot%\Inf\Usbstor.inf

Когда вы сделаете это, пользователи не смогут установить запоминающее устройство USB на компьютер.

Чтобы назначить пользователю или группе запрещающие права доступа к файлам Usbstor.pnf и Usbstor.inf, выполните следующие действия.

Запустите проводник Windows и найдите папку% SystemRoot%\Inf.

Щелкните правой кнопкой мыши файл Usbstor.pnf и выберите «Свойства».

Перейдите на вкладку «Безопасность».

В списке «Группа» или «Имена пользователей» добавьте пользователя или группу, для которых вы хотите установить разрешения «Запретить».

В списке «Разрешения для имени пользователя или группы» установите флажок «Запретить» рядом с полным доступом.

Примечание. Также добавьте системную учетную запись в список «Запретить».

В списке имен групп или пользователей выберите учетную запись SYSTEM.

В списке «Разрешения для имени пользователя или имени группы» установите флажок «Запретить» рядом с полным доступом, а затем нажмите кнопку «ОК».

Щелкните правой кнопкой мыши файл Usbstor.inf и выберите пункт «Свойства».

Перейдите на вкладку «Безопасность».

В списке «Группа» или «Имена пользователей» добавьте пользователя или группу, для которых вы хотите установить разрешения «Запретить».

В списке «Разрешения для имени пользователя или группы» установите флажок «Запретить» рядом с полным доступом.

В списке имен групп или пользователей выберите учетную запись SYSTEM.

В списке «Разрешения для имени пользователя или имени группы» установите флажок «Запретить» рядом с полным доступом, а затем нажмите кнопку «ОК».

Для получения дополнительной информации:https://support.microsoft.com/kb/823732

1

Запустите gpedit.msc и создайте новый объект групповой политики. Установите фильтры так, чтобы пользователь с правами администратора не выполнял этот GP. Настройте доступ к элементам чтения / записи / выполнения в разделе: Конфигурация компьютера> Политики> Административные шаблоны> Система> Доступ к съемному хранилищу.

Изменить: хорошо, я просто перечитал вопрос: нет локальной политики. Хотя это лучший способ сделать это.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .