управление доступом к usb windows

K

kpect

Турист
вопрос спецам - как управлять доступом к usb-устройствам в windows?

описываю ситуацию:

есть терминал с тачскрином и запущенной shell-программой (вместо explorer.exe). Все управление осуществляется с тачскрина, исключительно функциями shell-программы. У терминала есть usb-устройства (тачскрин, принтер и т.д.), которые должны работать, и публичный usb-порт.

если ли способ:

1) программно включать/выключать порт (или функцию определения устройства на порту)?
2) работать на этом порту только с определенным классом устройств (usb-flash drive), игнорируя подключение клавиатуры-мыши-принтера-мп3плеера и т.д.?

вроде в vista есть что-то подобное:

Посредством Групповой Политики Windows Vista позволяет системным администраторам блокировать установку неавторизованных USB-устройств в компьютер. Данная политика может применяться как к отдельному компьютеру, так и к множеству компьютеров по всей сети. У администраторов в руках находятся весьма гибкий инструмент по настройке политики запрета USB-устройств. Например, можно разрешить установку только определенного класса устройств, таких как принтеры, запретить установку любых типов USB-накопителей или запретить установку любых неавторизованных устройств. Данные политики можно перекрывать путем ввода пароля администратора для установки того или иного устройства. И, наконец, можно открывать доступ по чтению/записи к устройствам для определенных пользователей или компьютеров.
Click to expand...
но переносить систему на vista нежелательно из-за высоких требований у нее к железу.
 
TroyaNetz

TroyaNetz

ex-Team DUMPz
Свой / Own
kpect, А под какую ось это все ставится? Какой shell конкретно? Скриншоты хоть бы прикрепил.
В Windows XP вызов груповой политики осуществляется командой "gpedit.msc" из меню "выполнить". Опиши, что уже сам пытался сделать.
 
gavron

gavron

ex-Team DUMPz
Свой / Own
Есть такая штука как Групповая политика :)
терминал как я понимаю находиться в локальной сети ? или он стоит отдельно ?
если в сети и имеется домен через групповые политики домена - http://www.petri.co.il/disable_usb_disks_with_gpo.htm
ну а если стоит отдельно то так же через груповые политики
 
K

kpect

Турист
TroyaNetz said:
kpect, А под какую ось это все ставится? Какой shell конкретно? Скриншоты хоть бы прикрепил.
В Windows XP вызов груповой политики осуществляется командой "gpedit.msc" из меню "выполнить". Опиши, что уже сам пытался сделать.
Click to expand...
шеллом служит самописная программа, название и скриншоты вам ничего не скажут.
про gpedit.msc я в курсе, но таких политик, как в мануале по отрубанию usb в виста, в xp я не нашел.

в итоге остановился на промежуточном варианте с использованием стороннего софта (DeviceLock от ДиалогНауки)

gavron said:
Есть такая штука как Групповая политика :)
терминал как я понимаю находиться в локальной сети ? или он стоит отдельно ?
если в сети и имеется домен через групповые политики домена - http://www.petri.co.il/disable_usb_disks_with_gpo.htm
ну а если стоит отдельно то так же через груповые политики
Click to expand...
терминал отдельно, не в домене.
По ссылке инфа интересная, но не совсем то. Хотелось бы именно adm-файл с настройками, как в висте.

Кто-нибудь в курсе, можно ли из висты экспортнуть ГП в adm-сценарий?
И заработает ли это потом на ХР?
 
gavron

gavron

ex-Team DUMPz
Свой / Own
Дак вот по ссылке там и есть адм файл :) там все расписано читайте внимательно
 
K

kpect

Турист
цитата по сцылке:

This tip will allow you to block usage of USB removable disks, but will continue to allow usage of USB mice, keyboards or any other USB-based device that is NOT a portable disk.
Click to expand...
мне же надо диаметрально противоположное: оставить флешку, но запретить "usage of USB mice, keyboards or any other USB-based device that is NOT a portable disk"

вот так это делается в висте:

http://comp-lik.biz/modules/myarticles/article.php?storyid=82
 
Last edited by a moderator:
P

polisoft

Турист
kpect said:
шеллом служит самописная программа, название и скриншоты вам ничего не скажут.
про gpedit.msc я в курсе, но таких политик, как в мануале по отрубанию usb в виста, в xp я не нашел.

в итоге остановился на промежуточном варианте с использованием стороннего софта (DeviceLock от ДиалогНауки)



терминал отдельно, не в домене.
По ссылке инфа интересная, но не совсем то. Хотелось бы именно adm-файл с настройками, как в висте.

Кто-нибудь в курсе, можно ли из висты экспортнуть ГП в adm-сценарий?
И заработает ли это потом на ХР?
Click to expand...
Если шелл не эксплорер, про групповые политики забудь, либо не будут работать, либо будут проблемы.

DeviceLock классная программа, и для ХР нет альтернативы.

А не важно, терминал или нет. Маппинг портов по большей части зависит от
РДП-клиента. Хотя при самопальном шелле всего можно ждать.

Сравни gpedit.msc в ХР и Висте, поймешь что политики перенести невозможно.
Как в анекдоте: "Ну нет у меня холодильника ..." :)
 
You must log in or register to reply here.
Top