proNovell

Хотел спросить что нового на фронтах в этом плане ?

Я прикинул вот как с этим бороться и пришел к выводу что без привлечения доп средств можно сдлеать примерно так :

В профайловом логин скрипте делаем примерно вот что :

IF PLATFORM IS "WNT" THEN

IF MEMBER_OF .TREE.NOUSBSTOR
Write "запрет на использование USB Flash.."
#\\server\sys\login\runasspc.exe /cryptfile:"\\server\sys\login\flashoff.spc" /quiet
Write "..OK"
ENDIF

IF MEMBER_OF .TREE.NOFLOPPY
Write "запрет на использование Floppy дисков.."
#\\server\sys\login\runasspc.exe /cryptfile:"\\server\sys\login\floppyoff.spc" /quiet
Write "..OK"
ENDIF

IF MEMBER_OF .TREE.NOCDROM
Write "запрет на использование CDROM дисков.."
#\\server\sys\login\runasspc.exe /cryptfile:"\\server\sys\login\cdromoff.spc" /quiet
Write "..OK"
ENDIF

ENDIF

где
runasspc.exe живет на www.robotronic.de
subinacl.exe живет на www.microsoft.com

а скритпы для runasspc.exe это crypt-файлы которым прописан запуск из-под аккаунта=член группы локальные админы
и содержащие соответственно

-------runasspc.exe -> flashoff.cmd -> ------------
regedit /s \\server\sys\login\disable1.reg
\\server\sys\login\subinacl.exe /keyreg \system\currentcontrolset\services\usbstor /deny=system
\\server\sys\login\devcon disable *usbstor*
----------------------cdromoff.spc -------------------
devcon disable *cdrom*
----------------------floppyoff.spc -------------------
devcon disable *floppy*


отличие в том что для usbstor надо не только выставить
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004

но и убрать право SYSTEM на ветку реестра ибо если usbstor еще не запускался он при первом запуске перезапишет ее на "3".

При этом все рулится членством в группах eDirectory.

Пароль локального вендового админа нигде не светится.

runasspc.exe теоретически стоит 200 евро на неограниченное количство станций (реально скачивается бесплатно).

Вот где-то так. По методу Ипатовцев.

Тяжелого и дорогого софта дополнительно не надо. На станции тоже ничего не надобно.

Доп вопрос к олл. В какую сторону рыть на висте? Вроде как там такой механизм уже втроен - следовательно и затрат никаких...

А на хомяке будет робить ?

на хомяке (хп) влет я думаю.

главное чтобы на всех компах был один и тот же аккаунт (используемый при создании криптофайла).

Вот виста с виртуализацией подлежит тестингу - у нас его нет.

Идея замечательная, отключить напрочь USB, флопик или сидиром.
А если к компу подключен принтер или сканер?
А если нужно открыть доступ к флешке с ключевым файлом для клиент-банка по уникальному ID этой флешки?
Тогда увы но такой способ не действует А таких ситуаций море.

Есть сторонние продукты - за которые хотят денег. Есть ZCM Advanced/Enterprise - за который опять хотят денег ZCM точно умеет задавать политики для подключения конкретных устройств (т.е. одну флэшку - можно, другую - извините, нельзя)

Иван Левшин aka Ivan L. писал(а):Есть сторонние продукты - за которые хотят денег. Есть ZCM Advanced/Enterprise - за который опять хотят денег ZCM точно умеет задавать политики для подключения конкретных устройств (т.е. одну флэшку - можно, другую - извините, нельзя)

Вот в том то и дело что за них хотят денег, причем не малых. А продуктов придостаточно: DeviceLock, zLock, Novell ZCM и т.д.

ZCM это слишком обширно
Проще ZUWS/ZESM
http://www.novell.com/ru-ru/products/zenworks/endpointsecuritymanagement/
http://www.novell.com/ru-ru/products/zenworks/usbwirelesssecurity/

Вопрос только в том что точно такой же функционал анонсирован в висте. Я думаю нужно только разобрться что к чему.

http://novell.org.ru/forum/viewtopic.php?p=57557#57557 - вот тут грили про это.

Ответ.

USBSTOR никак не пересекается с USB маусами и принтерами.
это чисто USB STORAGE.

Кстати - eToken так же работает не через USBSTOR.

Юзера можно внести в группу. Того которго надо.
Плюс подписка.

Dimerson писал(а):Плюс подписка.

О невыезде?

про подписку.

Как и в случае с Firewall я думаю сперва надо все запретить а потом выборочно разрешать.

С дачей подписки ответисполнитем что он все знает и оповещен о том что все его действия протоколируются.

В конце концов , Кстати, в ENUM\USBSTOR откладывается инфа о всех юсб девайсах в виде :
===============================================
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_&Prod_CCR-60&Rev_9407]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_&Prod_CCR-60&Rev_9407\07102827000
A&0]
"DeviceDesc"="Дисковый накопитель"
"Capabilities"=dword:00000010
"UINumber"=dword:00000000
"HardwareID"=hex(7):55,53,42,53,54,4f,52,5c,44,69,73,6b,5f,5f,5f,5f,5f,5f,5f,\
5f,43,43,52,2d,36,30,5f,5f,5f,5f,5f,5f,5f,5f,5f,5f,39,34,30,37,00,55,53,42,\
53,54,4f,52,5c,44,69,73,6b,5f,5f,5f,5f,5f,5f,5f,5f,43,43,52,2d,36,30,5f,5f,\
5f,5f,5f,5f,5f,5f,5f,5f,00,55,53,42,53,54,4f,52,5c,44,69,73,6b,5f,5f,5f,5f,\
5f,5f,5f,5f,00,55,53,42,53,54,4f,52,5c,5f,5f,5f,5f,5f,5f,5f,5f,43,43,52,2d,\
36,30,5f,5f,5f,5f,5f,5f,5f,5f,5f,5f,39,00,5f,5f,5f,5f,5f,5f,5f,5f,43,43,52,\
2d,36,30,5f,5f,5f,5f,5f,5f,5f,5f,5f,5f,39,00,55,53,42,53,54,4f,52,5c,47,65,\
6e,44,69,73,6b,00,47,65,6e,44,69,73,6b,00,00
"CompatibleIDs"=hex(7):55,53,42,53,54,4f,52,5c,44,69,73,6b,00,55,53,42,53,54,\
4f,52,5c,52,41,57,00,00
"ClassGUID"="{4D36E967-E325-11CE-BFC1-08002BE10318}"
"Service"="disk"
"ConfigFlags"=dword:00000000
"ParentIdPrefix"="7&2e889321&0"
"Driver"="{4D36E967-E325-11CE-BFC1-08002BE10318}\\0009"
"Class"="DiskDrive"
"Mfg"="(Стандартные дисковые накопители)"
"FriendlyName"="CCR-60 USB Device"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_&Prod_CCR-60&Rev_9407\07102827000
A&0\Device Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_&Prod_CCR-60&Rev_9407\07102827000
A&0\Device Parameters\MediaChangeNotification]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_&Prod_CCR-60&Rev_9407\07102827000
A&0\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_&Prod_CCR-60&Rev_9407\07102827000
A&0\Control]

==============================

проаудитив видно что пихали в этот комп.

То что я предлагал хорошо как раз для первого этапа - развертывание
в организации политики в отношении USB устройств.

Опять же неплохо добавить ветку реестра для запрещения автомонтирования на всех устройствах ....

все упирвается в фантазию админа тк есть интструмент - запись в реестр через криптованный runas ;o)

Я решил (пока не могу добить покупку zcm)
для особо злостных нарушителей отключить с помощью zenworks загрузку службы usbstop

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
Start = 4 (Disabled) - Don't start the driver on boot
Start = 3 (Enabled) - Start the driver on boot

Также закрыл доступ к mmc ну и естесственно права юзерские.

v13 писал(а):Я решил (пока не могу добить покупку zcm)
для особо злостных нарушителей отключить с помощью zenworks загрузку службы usbstop

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
Start = 4 (Disabled) - Don't start the driver on boot
Start = 3 (Enabled) - Start the driver on boot

Также закрыл доступ к mmc ну и естесственно права юзерские.

если до того не встявляли флешку не поможет см выше.
надо права у SYSTEM на HKLM\CurrentControlSet\Services\usbstor отнять.

Если каждый раз проверять Start = 4 первый раз запустится, второй обломается
Нюансы по вкусу конечно.
Но лучше иметь нормальный инструмент который может отличать служебные/личные флешки ...

А где в зцэме работа с флешками?
В Висте заявлено но не отыскал тоже.