이 작업을 수행하려면 조각을 모으는 데 도움이 필요합니다.
- USB 저장 장치를 비활성화하는 스크립트나 프로그램을 실행합니다.
- 차단된 장치 마운트를 시스템 이벤트 로그에 기록합니다..
- 두 번째 스크립트나 프로그램을 실행하고(또는 1단계에서 실행 중인 프로그램을 취소하고) USB 저장 장치를 다시 활성화합니다.
(내 앱은 사용자가 테스트를 받는 제한된 액세스 "샌드박스"를 만들기 위해 공공 연구실의 PC에서 실행됩니다. 부정 행위를 방지하려면 USB 저장 장치를 차단해야 합니다.)
내 제약:
- 내 솔루션은 내가 제어할 수 없는 공용 컴퓨터에 대해 실행됩니다. 재부팅이 필요한 작업, BIOS 수정 또는 컴퓨터의 물리적 변경 작업은 작동하지 않습니다.
- 솔루션이 관리자로 실행될 것이라고 가정할 수 있지만 관리자가 아닌 사람에게도 작동하면 보너스 포인트가 있습니다.
- 지금은 Windows XP만 걱정됩니다. Vista 또는 Win7 호환성에 대한 보너스 포인트.
부분적인 해결책:
다음을 통한 장치 자동 마운트 차단KB 823732. 빠르고 간편하지만:
- 기기가 차단되어도 알림을 받지 못합니다. (누군가가 차단되었음에도 불구하고 부정행위를 시도하는 경우가 있는지 알고 싶습니다.)
- 에 따르면이 기사, USB 저장소 드라이버가 아직 설치되지 않은 경우 플러그 앤 플레이 시스템은 처음 사용할 때 이를 설치하여 레지스트리 키를 덮어쓰고 액세스를 활성화합니다.
그룹 정책을 통해 USB 저장소 비활성화(KB 555324).
- 내가 할 수 있을까?스크립트런타임 시 이러한 정책을 로컬 컴퓨터에 적용재부팅하지 않고?
- 정책을 완료한 후 얼마나 쉽게 정책을 이전 상태로 되돌릴 수 있습니까?
- 차단된 장치가 보안 로그에 표시됩니까?
USBSTOR.SYS에 대한 ACL 수정, 이 SF 질문에 표시된 대로]4.
- 현재 사용자 클래스의 파일에 대한 권한을 거부하면 내 되돌리기 스크립트가 권한을 다시 부여할 수 있습니까?
- 파일에 대한 권한을 거부하는 경우 모든 장치 마운트 시도가 보안 로그에 기록되는지 어떻게 확인합니까?
저는 .NET의 솔루션이나 배치 파일 또는 Powershell 스크립트를 사용하는 솔루션을 사용하고 있습니다.
(참고: 이는 다음과 관련이 있습니다.내 비슷한 현상금 스택 오버플로 질문. SO 담당자에 관심이 있으시면 거기에도 자유롭게 답변해주세요)
답변1
그룹 정책을 구현하기 위해 재부팅할 필요가 없습니다. 클라이언트에서 gpupdate /force(두 번)를 실행하면 충분합니다(예를 들어 psexec를 사용).
정책을 되돌리려면 ou에서 연결을 해제하고 클라이언트에서 gpupdate /force를 다시 실행하십시오(다시 psexec를 사용하여).
컴퓨터가 AD에 없고 그룹 정책을 구현할 수 없는 경우에도 레지스터 가져오기를 통해 동일한 결과를 얻을 수 있습니다. AD에서 사용할 adm 템플릿을 살펴보고 reg.exe 및 psexec를 사용하여 레지스터 변경 사항을 가져옵니다. 또 다른 옵션은 wpkg(http://wpkg.org) 여기에는 물건을 설치/제거하기 위한 작업에 대한 xml 정의가 있습니다. 그것은 훌륭하게 작동하며 비용도 들지 않습니다.