""
Доброго здравия, мир в дом, вечер в хату. Наверно в любом учреждении есть такие рабочие машины где нежелательно подключать любые usb-флеш-накопители (далее флешки) для того чтобы исключить заражения компьютеров или ноутбуков, да и пресечь утечку данных не помешало бы. Есть конечно антивирусы, например, Kaspersky, в котором можно ограничить доступ, но за антивирус нужно платить, а здесь компания Microsoft предусмотрела всё в рамках операционной системы.
Да, не такая уж и плохая винда Windows как принято её ругать и чуть что рука сама по привычке тянется к установочному диску или флешке чтобы переустановить её к чёртовой бабушке. Переустановки переустановками, а если и войти копнуть поглубже, то и система довольно хорошая, вот только руки не доходят у малограмотных индусов допилить её напильником и сделать сосочку и конфетку.
Вначале немного про автозагрузку софта.
Автозагрузка для флешки
В принципе в автозагрузку любой флешки ранее можно было добавить исполняемый скрипт, который может внедрить вредоносное программное обезпечение в систему.
Если следующий файл "autorun.inf" поместить в корень флешки вместе с исполняемым, например, "test.bat", который в нём указан.
То ранее при запуске флешки этот bat-файл можно было запустить следующим образом например.
Таким образом не внедрить свой троян в систему мог только ленивый, а всякие вымогатели денег этим активно пользовались.
Всё это вынудило корпорацию Microsoft ещё в Windows 7 отключить автозапуск программ для носителей информации, подключающихся через порты USB. В феврале 2011 года Microsoft выпустила обновления, отключающие автозапуск программ из autorun.inf для Windows XP и Windows Vista. В результате уже к лету 2011 года число компьютеров, на которых были зарегистрированы вирусы семейств autorun, уменьшилось примерно на 60%.
Автозапуск отключили наглухо, а вот возможность указания иконки для флешки осталась. Выше в файле "autorun.inf" в параметре "icon" прописано имя файла иконки "test.ico". Этот файл лежит в корне флешки. Теперь моя загрузочная флешка замаскирована украшена картой России.
Такие дела.
Ограничение доступа
Переходим к ограничению доступа. Автозагрузку закрыли сами разработчики Windows, а вот доступ к данным на флешке ограничивается самостоятельно.
Ограничивать доступ будем делать в групповой политике через её редактор. Зажимаем кнопки "Win" + R и в поле для команды набираем "gpedit.msc".
Переходим "Конфигурация пользователя" -> "Административные шаблоны" -> "Система" -> "Доступ к съёмным запоминающим устройствам".
Включаем параметры "Съёмные диски: Запретить чтение" и "Съёмные диски: Запретить запись" как показано на скриншоте ниже.
Не забываем нажать "OK". Также в этом разделе можно закрыть доступ к оптическим приводами CD/DVD дисков.
Теперь при подключении usb-флешек или внешнего usb-жёсткого диска при попытке их открыть будет сообщение что в доступе отказано.
Таким образом можно также включить только запрет записи, а доступ на чтение не закрывать. Это позволит избежать слива корпоративных данных на флешки.
Кто то скажет что пользователь таким же образом может включить возможность подключения флешек обратно. Но кто запрещает в одной системе сделать два пользователя, один с правами администратора, а другой с обычными правами пользователя. А после этого зайти под админом и проделать это для всего компьютера и соответственно для всех пользователей.
Естественно что у пользователя прав поменять политику для всей системы не будет, а политика пользователя не перекрывает общесистемную.
Такая вот есть интересная возможность. Данный функционал работает начиная с Windows 7, поэтому всё будет работать во всех Windows последующих версий. Вообще групповая политика в Windows это источник кучи публикаций, тут есть много интересного если покапаться, темы для публикаций имеются, разработчики наработали немало, не зря едят устриц и ходят в мексиканские рестораны.