Мне нужна помощь в сборе деталей для этого:
- Запустите скрипт или программу, которая отключает USB-накопители.
- Регистрируйте все заблокированные подключения устройств в системном журнале событий..
- Запустите второй скрипт или программу (или отмените запущенную программу из шага 1) и повторно включите USB-накопители.
(Мое приложение запускается на ПК в общественных лабораториях для создания «песочницы» с ограниченным доступом, в которой пользователь проходит тест. Мне нужно заблокировать USB-накопители, чтобы предотвратить мошенничество)
Мои ограничения:
- Мое решение будет выполнено на публичных компьютерах, которые я не контролирую. Все, что требует перезагрузки, изменения BIOS или физического изменения компьютера, не сработает.
- Я могу предположить, что решение будет выполнено администратором, но бонусные баллы будут, если оно сработает и для обычного пользователя.
- Сейчас беспокоюсь только о Windows XP. Бонусные баллы за совместимость с Vista или Win7.
Частичные решения:
Блокировать автоматическое монтирование устройств черезКБ 823732. Быстро и просто, но:
- Я не получаю уведомления о блокировке устройства. (Я хочу знать, пытается ли кто-то обмануть, даже если его заблокировали.)
- В соответствии сЭта статьяЕсли драйвер USB-накопителя еще не установлен, то система Plug-N-Play установит его при первом использовании, перезаписав раздел реестра и включив доступ.
Отключите USB-накопитель с помощью групповой политики (КБ 555324).
- Могу ясценарийприменение этих политик к локальному компьютеру во время выполнения,без перезагрузки?
- Насколько легко я смогу вернуть политику в предыдущее состояние после завершения работы?
- Будут ли заблокированные устройства отображаться в журнале безопасности?
Измените ACL для USBSTOR.SYS, как показано в этом вопросе SF]4.
- Если я откажу в правах на файл для текущего класса пользователя, сможет ли мой скрипт отмены вернуть права?
- Если я откажу в правах на файл, как мне убедиться, что все попытки монтирования устройства будут зафиксированы в журнале безопасности?
Я открыт для решений на .NET или с использованием пакетных файлов или скриптов PowerShell.
(Примечание: это связано смой похожий, разрекламированный вопрос на Stack Overflow. Если вам небезразличен представитель SO, не стесняйтесь ответить и там)
решение1
для реализации групповой политики перезагрузка не требуется. Достаточно выполнить gpupdate /force (дважды) на клиенте (используйте для этого, например, psexec).
Если вы хотите отменить политику, просто отсоедините ее от OU и повторно запустите gpupdate /force на клиенте (снова с помощью psexec).
Если компьютеры не находятся в AD и вы не можете реализовать групповые политики, вы все равно можете получить те же результаты с помощью импорта регистров. Взгляните на шаблон adm, который вы бы использовали в AD, и импортируйте изменения регистров с помощью reg.exe и psexec. Другим вариантом будет использование wpkg (http://wpkg.org) где у вас есть xml-определение действий для установки/удаления вещей. Это отлично работает и ничего не стоит.