Пятница
29.03.2024, 08:52
| RSS
Главная USB-диски - Форум
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Форум » Hard and Soft » железо » USB-диски
USB-диски
у вас есть флешка?
creatormasterДата: Пятница, 26.12.2008, 15:30 | Сообщение # 1
Admin
Группа: Админ
Сообщений: 83
Награды: 2
Репутация: 100
Статус: Offline
Действительно — эти удобные USB-диски и съемные носители определенно делают повседневную жизнь проще, а профессиональную усложняют. Необходим способ контроля, позволяющий определить,
какие устройства можно использовать, а какие нельзя. К счастью, групповые политики в ОС Windows Vista™ и следующей версии сервера Windows Server® под кодовым именем «Longhorn» позволяют разрешить применение USB-мышей и одновременно запретить USB-накопители флэш-памяти; разрешить чтение CD-ROM, но запретить запись DVD; разрешить Bluetooth и запретить PCMCIA.
Управлением оборудованием заведуют два раздела групповой политики: Конфигурация компьютера — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам (рис. 1) и Конфигурация компьютера — Административные шаблоны — Система — Установка устройств — Ограничения на установку устройств (рис. 2).
Рис. 1 Предопределенные ограничения использования оборудования в групповых политиках (Щелкните изображение, чтобы увеличить его)
Рис. 2 Настройка ограничения использования отдельных видов устройств (Щелкните изображение, чтобы увеличить его)
Название первого набора — доступ к съемным запоминающим устройствам — говорит само за себя. Если включить эту политику для некоего вида съемных устройств (CD или DVD, дискеты и т.п.), можно ограничить операции чтения или записи для всего класса устройств. Но у этих политик нет богатства возможностей набора «Ограничения на установку устройств».
В «Доступе к съемным запоминающим устройствам» есть такие группы настроек политики: «Специальные классы: запретить чтение» и «Специальные классы: запретить запись». Выглядит полезно, но политика доступа к съемным устройствам не может предотвратить установку драйверов устройств — к моменту обнаружения оборудования драйвер уже установлен. Запрещается только чтение с устройства или запись на него. В следующем разделе, рассматривая настройки политики «Ограничения на установку устройств», мы увидим, как ограничить использование и драйвера тоже.

Классы и идентификаторы
Самое главное — знать, что именно нужно ограничить. Ограничить широко или ограничить точечно. Можно внести ограничения в целый «класс» из многих устройств, а можно наложить сверхточный запрет только на одно из них. А можно наоборот, разрешить только отдельные устройства, например USB-мыши. Но есть проблема: ограничиваемое оборудование нужно уметь распознавать.
Так что, сказав «Устанавливать драйверы джойстиков нельзя» и «А можно только USB-мыши», следует уметь определять, что начинается установка джойстика или USB-мыши. Можно использовать Интернет для поиска кода устройства (Hardware ID), совместимого кода (Compatible ID) или класса устройства. А можно просто использовать само устройство — подключить его к компьютеру и посмотреть его код, совместимый код и класс. Зная их, запретить или разрешить устройство нетрудно.
Давайте, для примера, ограничим использование семейства звуковых карт Creative AutoPCI ES1371/ES1373. Если нужно запретить что-то другое (конкретные USB-устройства, USB-порты и т.п.), делайте все то же, только заменив коды устройств на свои.
Запустим диспетчер устройств на машине, где искомое оборудование уже установлено. Найдя в нем нужное устройство, щелкаем его правой кнопкой мыши и выбираем пункт «Свойства» а затем вкладку «Сведения». По умолчанию выбран пункт «Описание устройства». Интересно, но не полезно. В раскрывающемся списке свойств выберем пункт «Коды (ID) оборудования» (рис. 3).
Рис. 3 Вкладка «Сведения» (Щелкните изображение, чтобы увеличить его)
Появившийся список кодов упорядочен от наиболее точно соответствующих устройству до наименее точно соответствующих. На первой строчке можно увидеть, что конкретно эта звуковая карта — ревизия 2 модели ES1371. Точнее некуда. При движении по списку вниз коды будут все менее точными, вплоть до охватывающих все семейство продуктов.
Но можно еще выбрать пункт «Совместимые коды (ID)». Они тоже описывают устройство, хотя и менее точно, чем предыдущие. С помощью совместимых кодов можно составить список похожего оборудования и запретить его разом — поскольку точность ниже, совпадений будет больше. С другой стороны, так под запретом может оказаться что-то нужное.
Ну и, наконец, наименее точная категория — пункт «Класс устройства». В случае с нашей звуковой картой это просто «Media». Таким классом обладает масса устройств, так что, повторюсь, чем менее точно вы определяете запрет, тем более предусмотрительным следует быть.
Выбрав, какое значение использовать для указания устройства, щелкнем его правой кнопкой мыши, выберем «Копировать» и сохраним текст в блокноте. Это нужно сделать потому, что на следующих шагах значение потребуется вводить в точности так, как оно представлено. Все буквы верхнего регистра должны остаться в верхнем, а нижнего — в нижнем.
Если для извлечения кодов и классов устройств вам удобнее командная строка, используйте программу Devcon, доступную на узле support.microsoft.com/kb/311272. Обратите также внимание, что корпорация Майкрософт опубликовала список идентификаторов для распространенных классов, который можно использовать, если нет доступа к самому устройству. См. go.microsoft.com/fwlink/?LinkId=52665.

Контроль доступа к устройствам через групповые политики
Хотя дальше мы рассмотрим все настройки политик раздела Конфигурация компьютера — Административные шаблоны — Система — Установка устройств — Ограничения на установку устройств, показанного на рис. 2, только одна из них нужна для завершения нашего первого примера.
Создадим объект групповой политики (GPO) и свяжем его с подразделением (OU) или с доменом и т.д., который включает целевые компьютеры под управлением Windows Vista. Начав редактирование этого объекта, пройдем в «Конфигурация компьютера — Административные шаблоны — Система — Установка устройств — Ограничения на установку устройств — Запретить установку устройств с указанными кодами устройств». В настройках политики выберем «Включено», там же нажмем «Показать» и диалоговом окне «Вывод содержания» нажмем «Добавить». В диалоговое окно «Добавление элемента» скопируем ранее сохраненные данные (рис. 4).
Рис. 4 Вставка точного кода устройства (Щелкните изображение, чтобы увеличить его)
Еще момент. Если устройство уже установлено, оно не будет чудесным образом удалено и запрещено. Так что ограничивать доступ к оборудованию нужно на ранних стадиях развертывания Windows Vista. Однако при этом Windows Vista будет проверять политику доступа при каждом удалении и повторной установке устройства. Отличный пример — USB-накопители (их регулярно вставляют и вытаскивают). Поскольку проверка будет произведена только при повторном появлении устройства, ограничения доступа будут наложены тогда же (даже если драйвер устройства на компьютере уже присутствует). Сложнее с устройствами, которые поставляются вместе с компьютером и не удаляются (а потому и не устанавливаются повторно). Выход из подобной ситуации уже требует размышлений.
При включении компьютера, который еще ничего не знает об устанавливаемом устройстве, Windows попытается установить драйвер и будет отображать ход выполнения этой задачи. Если включена политика, ограничивающая такие устройства, будет достигнут результат, показанный на рис. 5.
Рис. 5 Отказ в установке устройства (Щелкните изображение, чтобы увеличить его)

Другие ограничения оборудования
Выше мы запретили только одно устройство. Если бы мы хотели, мы бы могли пойти обратным путем — по умолчанию запретить все устройства и затем разрешить только нужные. Список нужных настроек групповых политик уже был приведен на рис. 2 — это ветка Конфигурация компьютера — Административные шаблоны — Система — Установка устройств — Ограничения на установку устройств. Доступно несколько вариантов.
Прежде всего это пункт «Разрешить администраторам игнорировать политики ограничения установки устройств». По умолчанию локальные администраторы в Windows Vista подпадают под действие таких ограничений. Если же включить эту политику, они смогут не обращать внимания на ограничения и устанавливать любое оборудование.
Затем — «Разрешить установку устройств с использованием драйверов, соответствующих этим классам установки устройств». Устройства, чьи описания перечислены в этой политике, явно разрешены к установке в системе. Обратите внимание, что вводятся классы установки, а не коды устройств, как в примере выше.
Обратный эффект достигается политикой «Запретить установку устройств с использованием драйверов, соответствующих этим классам установки устройств».
Две настройки — «Отображать специальное сообщение, когда установка запрещена политикой (текст всплывающего уведомления)» и «Отображать специальное сообщение, когда установка запрещена политикой (заголовок всплывающего сообщения)» — позволяют использовать собственное сообщение вместо системного (рис. 5).
Как было упомянуто выше, самый неточный способ указать нужное оборудование — использование классов. Следует отметить, что политика «Разрешить установку устройств, соответствующих какому-либо из этих кодов устройств» не воспринимает коды классов. Чтобы использовать их, надо обратиться либо к политике «Разрешить установку устройств с использованием драйверов, соответствующих этим классам установки устройств», либо к обратной «Запретить установку устройств с использованием драйверов, соответствующих этим классам установки устройств». Последнюю лучше всего использовать вместе с «Запретить установку устройств, не описанных другими параметрами политики». Запретив все по умолчанию, мы используем эту настройку, чтобы выборочно разрешить нужные устройства.
В нашем случае я использовал политику «Запретить установку устройств с указанными кодами устройств», чтобы запретить отдельные виды оборудования, основываясь на кодах устройств. Если бы мы хотели использовать для этой цели классы устройств, пришлось бы уточнять другие параметры, например «Разрешить установку устройств с использованием драйверов, соответствующих этим классам установки устройств» или «Запретить установку устройств с использованием драйверов, соответствующих этим классам установки устройств».
«Запретить установку съемных устройств» — готовый способ быстрого запрещения любых устройств, являющихся съемными, включая USB-устройства. Эта настройка имеет довольно общий характер, так что лучше не полагаться на нее слишком сильно. Вместо этого составьте список достаточно ограничивающих кодов устройств и используйте способы, описанные выше, для их запрещения.
Наконец, «Запретить установку устройств, не описанных другими параметрами политики» — всеобъемлющая политика, запрещающая все, что не разрешено к установке явно. Ее связка с различными разрешающими политиками (например «Разрешить установку устройств, соответствующих какому-либо из этих кодов устройств») — мощный инструмент для разрешения только нужного оборудования.

Заключение
Групповые политики в Windows Vista обладают рядом исключительных преимуществ, очень полезных для разрешения использования только того оборудования, которое необходимо. Просто настройте их на ранней стадии развертывания, и нежелательные устройства в вашей рабочей среде не появятся.

P.S mmc gpedit.msc Эту команду еле еле нашёл. Она открывает редактор груповой политики


 
Форум » Hard and Soft » железо » USB-диски
  • Страница 1 из 1
  • 1
Поиск:


Copyright MyCorp © 2024
Сайт управляется системой uCoz