これを実行するには、必要な情報をまとめるのに助けが必要です。
- USB ストレージ デバイスを無効にするスクリプトまたはプログラムを実行します。
- ブロックされたデバイスのマウントをシステムイベントログに記録します。。
- 2 番目のスクリプトまたはプログラムを実行し (または手順 1 で実行中のプログラムをキャンセルし)、USB ストレージ デバイスを再度有効にします。
(私のアプリは、ユーザーがテストを受けるためのアクセス制限付きの「サンドボックス」を作成するために、公共のラボの PC で実行されます。不正行為を防ぐために、USB ストレージ デバイスをブロックする必要があります)
私の制約:
- 私のソリューションは、私が管理していない公共のコンピューターに対して実行されます。再起動、BIOS の変更、またはコンピューターの物理的な変更を必要とするものは機能しません。
- ソリューションは管理者として実行されるものと想定できますが、管理者以外でも機能する場合はボーナスポイントになります。
- 今のところ Windows XP についてのみ心配です。Vista または Win7 との互換性があればさらに良いです。
部分的な解決策:
デバイスの自動マウントをブロックするKB823732 翻訳簡単で迅速ですが、
- デバイスがブロックされても通知されません。(ブロックされていても不正行為をしようとしている人がいるかどうか知りたい)
- によるとこの記事USBストレージドライバがまだインストールされていない場合は、プラグアンドプレイシステムが初回使用時にそれをインストールし、レジストリキーを上書きしてアクセスを有効にします。
グループポリシーでUSBストレージを無効にする(KB555324 翻訳)。
- 私は脚本実行時にこれらのポリシーをローカルコンピュータに適用する再起動せずに?
- 完了したら、ポリシーを以前の状態に簡単に戻すことができますか?
- ブロックされたデバイスはセキュリティ ログに表示されますか?
USBSTOR.SYS の ACL を変更するこのSFの質問に示されているように]4。
- 現在のユーザー クラスに対してファイルへの権限を拒否した場合、元に戻すスクリプトで権限を再度付与できますか?
- ファイルへの権限を拒否した場合、デバイスのマウント試行がセキュリティ ログに記録されるようにするにはどうすればよいですか?
.NET またはバッチ ファイルや PowerShell スクリプトを使用したソリューションも検討します。
(注:これは私の同様の、懸賞付きのStack Overflowの質問SOの評判を気にするなら、ぜひそこにも答えてください。
答え1
グループ ポリシーを実装するには、再起動する必要はありません。クライアントで gpupdate /force (2 回) を実行するだけで十分です (そのためには、たとえば psexec を使用します)。
ポリシーを元に戻す場合は、ou からポリシーのリンクを解除し、クライアントで gpupdate /force を再実行します (この場合も psexec を使用)。
コンピュータがAD内になく、グループポリシーを実装できない場合でも、レジスタのインポートで同じ結果を得ることができます。ADで使用するadmテンプレートを確認し、reg.exeとpsexecを使用してレジスタの変更をインポートします。別のオプションはwpkgを使用することです(このサイトについて) には、インストール/アンインストールのアクションの XML 定義があります。これは非常にうまく機能し、コストもかかりません。