Как защитить компьютер от записи на USB флешку
- Май 10, 2017
- 7980
В данном видео предлагаю рассмотреть один очень интересный способ защиты от записи на USB флешку.
И вначале хотелось бы сказать, что речь пойдет не о том, как защитить саму флешку от записи, а как защитить компьютер от утечки конфиденциальной информации. Т.е. целью данного видео будет запретить определенным пользователям или группе пользователей записывать информацию на USB флешку.
А поможет нам в этом локальная групповая политики компьютера. Все действия описанные далее, мы должны выполнять из под учетной записи имеющей административные права на рабочей станции (Пуск \ Все программы \ Стандартные \ Выполнить \ gpedit.msc). Перейдем в редактирование параметра (Конфигурация пользователя \ Административные шаблоны \ Система \ Доступ к съемным запоминающим устройствам \ Съемные диски: запретить запись \ Включить \ ОК) В описании поясняется, что данный параметр поддерживается операционными системами не ниже Windows Vista, т.е. на ХР это работать не будет.
Применим параметры локальной групповой политики через команду gpupdate, чтобы не перезагружаться (Win+R \ cmd \ gpupdate). Если после выполнения данной команды, изменения не применились, то попробуйте перезагрузить компьютер.
Подключаем флешку, пробуем создать в ней папку и появляется сообщение «Нет доступа к целевой папке» жмем продолжить и появляется сообщение «Вам необходимо разрешение на выполнение этой операции». Отлично, доступ на запись заблокировался, но, как вы заметили, доступ заблокировался у всех пользователей, даже у моей учетной записи, имеющей административные права.
По этому, далее давайте сделаем так, чтобы администраторы имели доступ на запись, а обычные пользователи нет. Для начала нужно отключить включенный нами ранее параметр запрета на запись.
Для того, чтобы настроить локальную групповую политику под определенных пользователей, нужно запустить консоль управление (Win+R \ mmc \ Файл \ Добавить или удалить оснастку \ Редактор объектов групповой политик \ Обзор \ Пользователи) Здесь мы можем выбрать, под кого конкретно, мы будем настраивать групповую политику. Как вы видите, здесь мы можем настроить параметры для Администраторов, Не администраторов и определенных пользователей. На самом деле, это очень удобно, так как вы можете создать на
компьютере пользователя и конкретно под него настроить различные ограничения. Это будет очень актуально, если компьютер находится в каком-то общественном месте и вам нужно максимально ограничить его в правах, оставив только нужные функции.
Но, в нашей ситуации мы не будем настраивать под конкретного пользователя, а под администраторов и не администраторов. По этому, выберем «Не администраторы» и добавим еще одну оснастку для группы «Администраторы» и ОК.
В (Конфигурация пользователя \ Административные шаблоны \ Система \ Доступ к съемным запоминающим устройствам \ Съемные диски: запретить запись) для не администраторов «Включить», для администраторов «Выключить».
Для того, чтобы иметь возможность записывать информацию на флешку из под обычного пользователя, нам нужно будет указывать данные администратора и пароль. По этому, если учетной записи не присвоен пароль, то его нужно назначить (Мой компьютер \ ПКМ \ Управление компьютером \ Пользователи \ Station-4-7 \ ПКМ \ Задать пароль)
У меня учетная запись ХР не имеет прав администратора, по этому, для проверки, я выполню вход под ней. Пробуем создать папку и нам выдается сообщение «Нет доступа к целевой папке» жмем продолжить и вводим данные учетной записи состоящей в группе администраторы на данном компьютере.
Как вы видите, все отлично! Под учетной записью station-4-7 папка успешно была создана, а, следовательно, и при работе под данной учеткой, доступ к флешке будет разрешен.
Таким образом, мы можем определенным пользователям запрещать или разрешать запись или чтение флешки, а так же других запоминающих устройств.