[Секреты реестра] Ограничение возможностей работы USB-накопителей

Сегодня я расскажу о малоизвестной, но достаточно интересной и полезной фишке - о внешних носителей информации и влиянии реестра на них. Этой статьей собственно и начну цикл "Секреты реестра Win2k систем ". Я думаю, что любой админ знает, что основным источником "заразы" на фирме есть офисный планктон(хотя это и странно, так как планктон ни посещает рисковые сайты). Я думаю, что админ-комюнити задумывалось, а чего бы не ограничить доступ к подключению внешних носителей для тех пользователей, которым это не нужно, чтобы уменьшить количество головного геморроя, который растет прямо пропорционально пользователей, которые приносят свежую "заразу" с домашних компьютеров. На некоторых предприятиях об этом задумывалось даже начальство (например, на одной фирме работники подписывают документ, о том, что не станут приносить внешних носителей. Есть правда много тех, кто не понимает, в результате сисадмины имеют большой склад флешек и даже несколько фотоаппаратов). Когда-то одна охранная фирма поставила мне задачу интереснее, запретить запись на внешние носители информации, но оставить возможность читать из них. Задачу я решил, а как именно - рассказываю ниже.

Задача первая: заблокировать возможность использования внешних носителей на компьютере под руководством Win2k.

Здесь все очень просто, есть статья Майкрософта, которая детально объясняет как предотвратить подключению внешних носителей - http://support.microsoft.com/kb/823732. В статье указано 2 метода: способ с реестром мне более по душе и функционирует он как для новых носителей, так и для тех что уже были установлены. Метод работает со всеми типами USB-накопителей (flash-диск, фотоаппарат, внешний диск и т.д.). Данный ключ работает с Windows 7, поэтому запретить подключение флешки для Win7 тоже не составит проблем. На USB-девайсы, которые не являются носителями информации(принтер, вебкам т.д.)ключ никак не влияет.

Задача вторая: предотвратить записи информации на внешний носитель с компьютера под руководством Win2k

Другими словами, нужно установить режим read-only для flash-диска, внешнего харда, и др. USB-носителей, на которые может быть "слита" служебная информация. Здесь также просто, однако, по-моему, данная возможность появилась с выходом SP2 под WinXP. Нужно создать ключ(по умолчанию его нет в реестре)StorageDevicePolicies в ветке HKLM\SYSTEM\CurrentControlSet\Control\. Это ключ, будучи активным, выставляет флешки и другие внешние носители в режим read only. В ключе создать параметр WriteProtect с типом DWORD. Параметр может принимать значения 1 и 0, которые соответственно активируют и отключают работу ключа. Эта фишка корректно работает с Win7.

Чтобы вам не пришлось самим читать статьи и добавлять ключи я выложил архив с ключами здесь. В архиве 4 файла:

• usbblock.reg - запретить подключение
• usbunblock.reg -разрешить подключение
• usbwriteprotect.reg - запретить запись
• usbwritenoprotect.reg - разрешить запись