Блокировка USB-накопителей при помощи возможностей групповой политики

devicecsandgpo-01Во время проведения бесплатного онлайнового тренинга «Групповая политика в производственной среде» мне задали следующий интересный вопрос: «каким образом можно запретить пользователям подключать к своим компьютерам определенные флэш-накопители?». Ведь в компаниях согласно правилам безопасности могут использоваться корпоративные USB-накопители, а использование всяких личных накопителей в строгом порядке могут быть запрещены. На этом этапе у многих администраторов возникает вопрос, связанный с тем, что нужно не просто запретить подключать абсолютно каждые накопители, но еще и следует разрешить подключать лишь накопители, произведенные конкретным производителем. Можно ведь просто отключить USB-порты и проблема, казалось бы, была бы решена, но в таком случае ваши пользователи не смогут использовать даже свои корпоративные устройства, что противоречит поставленной выше задаче.

Для регламентации установки устройств и создания разнообразных ограничений в доменном окружении принято использовать групповую политику. Далее в этой статье, вы узнаете о том, каким именно образом можно выполнить указанное выше задание и, естественно, как все это можно сделать, воспользовавшись функциональными возможностями групповой политики.

О чем нам драйвер говорит…

В принципе, существует четыре различных сценария, позволяющих определиться со схемой установки устройств и USB-накопителей, в частности, в организации. Ну а согласно официальным определениям, устройствами называется оборудование, с которым будет взаимодействовать операционная система для выполнения конкретных операций, причем ОС работает с устройствами только при помощи специальной программы, которая называется драйвером устройства. Что такое драйверы, полагаю, нет смысла расписывать, так как все вы прекрасно это знаете и уже не одну сотню раз с ними сталкивались.

Описанные ниже сценарии подходят как для компьютеров, являющихся членами домена Active Directory, так и для компьютеров, которые просто входят в рабочую группу или вообще не подключены к сети (что в принципе, уже из разряда фантастики). А сценарии следующие:

  • Вы можете запретить своим пользователям читать и выполнять запись на съемные устройства, а также на устройства со съемными накопителями. Причем, в этом сценарии запрещается работать с устройствами, как обычным пользователям, так и пользователям с административными привилегиями. К таким устройствам относятся компакт диски и DVD-диски, специальные классы, накопители на гибких дисках, съемные диски, ленточные накопители и WPD-устройства. О том, где именно и каким образом можно ими управлять, вы узнаете из одного из следующих подразделов;
  • Вы можете разрешить своим пользователям устанавливать только авторизованные устройства из разрешенного списка, а все остальные устройства, в свою очередь, пользователи будут не вправе установить. Другими словами, сначала вы запрещаете обычным пользователям устанавливать на свои компьютеры устройства, а затем создается список авторизованных устройств, и при помощи групповой политики разрешаете пользователям их использовать;
  • Также вам предоставляется возможность разрешить пользователям устанавливать любые устройства, помимо тех, которые присутствуют в запрещенном списке. То есть, выполняются обратные действия – пользователи могут устанавливать на свои компьютеры большую часть устройств, однако, если какое-то устройство присутствует в списке запрещенных, установить такое устройство не получится. Изначально запрещать установку устройств в этом случае нет необходимости. Вы просто создаете список запрещенных устройств, а затем при помощи возможностей групповой политики говорите пользователям, что «эти устройства» устанавливать нельзя;
  • Ну и, в конце концов, вы можете запретить устанавливать съемные накопители только обычным пользователям. Если у какого-то пользователя будут административные привилегии, то установка устройств для таких пользователей будет разрешена. Если говорить вкратце, то для выполнения этого сценария можно использовать два параметра групповой политики, о которых, естественно, вы узнаете немного ниже.

Глядя на все сказанное выше первым делом может возникнуть следующий вопрос. Список разрешенных и запрещенных устройств – естественно, это хорошо, однако, узнает ли операционная система, что к компьютеру подключили USB-накопитель Transcend или Kingston, если я так и укажу это устройство в таком списке? Нет, не узнает. Для сопоставления устройств и пакетов драйверов, которые имеются на компьютере, во время установки таких устройств задействуются идентификационные строки.

А вот процесс установки драйверов устройств намного интереснее самого определения и между этапом физического подключения устройства компьютера и этапом, когда пользователь сможет с таким устройством взаимодействовать, происходят некоторые действия. Теперь перейдем непосредственно к самому процессу установки устройств. Полагаю, что многие из вас уже видели эту иллюстрацию из десяти этапов в установке устройств, однако, приведу ее еще раз в этой статье:

clip_image004

Рис. 1. Процесс установки драйвера в операционной системе Windows

  1. Сразу как только пользователь подключает устройство, например, USB-накопитель, к компьютеру, операционная система обнаруживает новое подключенное оборудование и оповещает специальную службу самонастройки (которая всем известна как Plug and Play, или PnP) о том, что следовало бы настроить подключенное устройство должным образом, чтобы пользователь мог начать, ни о чем не задумываясь, с ним работать. Этот этап видит каждый пользователь, так как в области уведомлений отображается значок, свидетельствующий о том, что какое-то устройство было подключено к компьютеру;
  2. Следующим этапом служба Plag and Play запрашивает у устройства идентификационные строки, о которых подробнее мы поговорим ниже;
  3. После того как идентификационные строки устройства будут известны операционной системе, Windows пытается обнаружить в своем локальном хранилище подходящий драйвер, который соответствует полученным строкам и первым делом использует его исключительно в справочных целях;
  4. Для того чтобы найти подходящий драйвер для устройства, но который по каким-либо параметрам будет превосходить драйвер из локального хранилища, операционная система обращается в Центр Обновления Windows. Если в базе Центра Обновлений обнаруживается подходящий и актуальный драйвер, сразу переходим к пункту 6. В противном случае, переходим к следующему этапу;
  5. Если на предыдущем этапе драйвер не был обнаружен, операционная система обращается к папкам, указанным в параметре DevicePath из раздела HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion системного реестра. По умолчанию это будет папка %SystemRootINF. И снова, если подходящий драйвер будет обнаружен в этой папке, переходим к этапу №6. В противном случае, переходим сразу к этапу №8. О DevicePath вы можете почитать дополнительную информацию в статье Where Windows Searches for Drivers на сайте первоисточника;
  6. Этот этап опять же могут заметить пользователи, так как на этом этапе операционная система Windows загружает пакет драйвера;
  7. На этом этапе уже загруженный пакет драйвера операционная система Windows помещает в хранилище драйверов, о котором речь шла на третьем этапе процесса установки;
  8. Это предпоследний этап. На этом этапе система обнаруживает все драйверы из локального хранилища, сравнивает их и выбирает наиболее подходящий из них. Если такой драйвер обнаружен – переходим к завершающему этапу №9. Если после всех предыдущих этапов подходящего драйвера не было обнаружено, переходим к завершающему этапу №10.
  9. Операционная система Windows устанавливает из хранилища наиболее подходящий драйвер. Устройство нормально функционирует, и пользователи незамедлительно могут начинать с ним работать. В этом случае все заканчивается хорошо;
  10. Однако, не всегда все хорошо заканчивается и драйвер может быть попросту не обнаружен в локальном хранилище. В этом случае операционная система создает отчет об ошибке, указывающий устройство, для которого не было найдено походящего драйвера и отправляет отчет. В большинстве случаев ответ приходит не сразу. Если вам повезет, и производитель своего устройства еще предоставляет к нему драйвера, в Центре Поддержки из области уведомлений вы обнаружите решение, где, возможно, вам будет предложено загрузить драйвер и установить его самостоятельно. В противном случае, вам придется, немного погуглив, разыскать такой драйвер и самостоятельно его установить. Как в первом, так и во втором случае, установка драйвера ляжет на ваши плечи.

После того как все эти этапы будут выполнены, драйвер для подключаемого устройства будет установлен и его можно будет обнаружить на компьютере.

Идентификация юсБорна

devicecsandgpo-02Драйвер установлен – отлично. Однако перед нами была поставлена задача, связанная с управлением установкой устройств, а драйверы для большинства устройств, как было замечено в предыдущем разделе, напрямую зависят от идентификационных строк и классов установки устройств.

Все установленные устройства можно обнаружить в предустановленном компоненте операционной системы «Диспетчер устройств». Именно благодаря этой оснастке вы можете устанавливать, локализовать и удалять драйверы для установленных устройств. Помимо этих трех основных действий, вам также предоставляется возможность дополнительных сведений, которые могут оказаться полезными как в случае с поставленной в данной статье задачей, так и при обнаружении фантомных проблем, отладке операционной системы и еще при выполнении множества действий.

Как я уже писал, еще до установки драйвера устройства, для того чтобы понять какие драйвера следует искать, операционная система проверяет идентификационные строки устройства, которые присваиваются самим производителем. Не является секретом то, что эти строки можно обнаружить в .INF-файлах драйвера самого устройства. Для драйвера могут использоваться несколько строк, которые будут однозначно идентифицировать само устройство и здесь все зависит непосредственно от самого устройства и его производителя. В данном случае, нас интересуют два идентификатора: идентификатор оборудования и совместимый идентификатор, а также GUID-идентификаторы, определяющие класс установки устройств. Рассмотрим подробнее каждый из этих идентификаторов.

Идентификаторы оборудования

Согласно официальному определению, идентификаторы оборудования обеспечивают самое точное определение драйвера для подключаемого устройства. Этот идентификатор обычно предопределяется производителями аппаратного обеспечения, который полностью соответствует части содержимого INF-файла. Если немного вдаваться в подробности, то в первой строке идентификатора оборудования указывается сборка, модель и версия устройства и эта строка называется идентификатором устройства. Все же остальные строки идентификатора оборудования, в свою очередь, содержат существенно меньше полезной информации, однако, тоже необходимы для идентификации устройства.

Но не исключены и такие ситуации, когда в идентификаторе оборудования просто не были определены какие-то данные, например, версия устройства, что позволяет использовать драйверы устаревших версий устройства для более новых моделей оборудования. Ведь бывает такое, что драйвер просто невозможно обнаружить… Дополнительную информацию по идентификаторам оборудования вы можете прочитать в статье «Hardware IDs» на сайте MSDN.

Теперь посмотрим, где же располагается этот идентификатор оборудования:

  1. Для начала следует подключить USB-накопитель к компьютеру. В этой статье будут использоваться два накопителя: 32-гигабайтная флэшка Transcend, а также подаренная мне Чарльзом Стерлингом именная флэшка Generic Flash на 4 Гигабайта;
  2. Откройте «Диспетчер устройств». Например, так как на компьютерах, которые задействуются в данной статье, установлены операционные системы Windows 8 и Windows Server 2012, помимо привычных всем методов, открыть оснастку devmgmt.msc также можно при помощи Win+X меню;
  3. В диспетчере устройств разверните группу «Дисковые устройства» и откройте диалоговое окно свойств выбранного вами USB-накопителя;
  4. В отобразившемся диалоговом окне перейдите ко вкладке «Сведения» и из раскрывающегося списка «Свойство» выберите свойство «ИТ оборудования». Как можно заметить на следующей иллюстрации, у меня к компьютеру подключен USB-накопитель Transcend на 32 гигабайта, версия драйвера которого 8.01:

devicecsandgpo-03

Рис. 1. Идентификатор оборудования для USB-накопителя JetFlash Transcend 32GB

Совместимые идентификаторы

Необходимость в совместимых идентификаторах становится острой тогда, когда операционная система не может обнаружить драйверы для устройства, согласно его идентификатору оборудования. В этом случае, выходят на передовую идентификаторы совместимости, которые используются тогда, когда операционной системе не удалось обнаружить точное совпадение с идентификатором оборудования или устройства, а необходимо подобрать совместимый драйвер. Можно привести простой пример: во время поиска драйверов после того как операционная система находит подходящие пакеты драйверов, им проставляются позиции, которые сопоставляются с идентификаторами оборудования и совместимыми идентификаторами. Эти позиции, или так называемый в оригинале Rank, отвечают за то, насколько подходит найденный драйвер подключенному устройству. Самой высокой считается нулевая позиция.

Перечисляются такие идентификаторы в порядке убывания совместимости, причем в большинстве случаев их информация является универсальной. Практически для каждых USB-накопителей в качестве одного из совместимых идентификаторов вы обнаружите «DISK» и «RAW».

Для того чтобы обнаружить совместимый идентификатор, следует в том же диалоговом окне свойств подключенного устройства, на вкладке сведений выбрать свойство «Совместимые ИД» из соответствующего раскрывающегося списка, как показано на следующей иллюстрации:

devicecsandgpo-04

Рис. 2. Совместимые идентификаторы

GUID-идентификаторы

Последний идентификатор, о котором в данной статье пойдет речь – это GUID-идентификатор. Для тех, кто уже продолжительное время работает с операционными системами Windows, скорее всего, известно, что установленные устройства настраиваются и группируются согласно конкретным классам самих устройств. И все классы, зарегистрированные в операционных системах Windows, можно обнаружить в разделе HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass системного реестра. А для того, чтобы просмотреть уникальный класс для подключенного устройства необходимо знать его GUID.

GUID-идентификаторы назначаются непосредственно самими производителями устройств и их можно обнаружить в самом пакете драйверов. Чтобы их обнаружить, следует в упоминаемом ранее диалоговом окне свойств устройства, на вкладке «Сведения» из раскрывающегося списка «Свойство» выбрать «GUID класса устройств» и локализовать этот GUID в указанном выше разделе реестра.

GUID класс для рассматриваемого ранее USB-накопителя изображен ниже:

devicecsandgpo-05

Рис. 3. Локализованный GUID класс устройства

Судя по предыдущей иллюстрации, можно прийти к выводу, что данное устройство относится к классу «DiskDrive», то есть, его можно обнаружить в узле «Дисковые устройства», где, собственно, и был найден GUID класса данного устройства. Так как обнаружить правильный GUID класс устройства и указать все требуемые параметры существенно сложнее, нежели если вы будете указывать идентификаторы оборудования, далее в этой статье будут использоваться исключительно идентификаторы оборудования.

Блокировка USB-накопителей средствами групповой политики

С процессом установки драйверов, думаю, все понятно, о существовании идентификаторов вы уже знаете и на этом этапе, думаю, можно приступить непосредственно к этапу создания объектов групповой политики и назначению ограничений на использование USB-накопителей.

Прежде всего, следует создать объект групповой политики, с которым на протяжении всей оставшейся части данной статьи мы с вами будем работать. После того как будет создан данный объект GPO будут определены параметры политики, благодаря которым можно выполнить поставленную во вводной части статьи задачу. Далее по программе: параметры политики, отвечающие за доступ к большинству съемных запоминающих устройств, ну а перед заключением будет описана проверка всех примененных параметров политики.

Чтобы совершить все эти действия, следует руководствоваться следующим инструкциям:

1. На контроллере домена откройте оснастку «Управление групповой политикой», создайте новый объект групповой политики, например, «Блокировка устройств в компании» и свяжите этот объект с требуемым подразделением. В подразделении должны быть расположены либо компьютеры ваших пользователей, либо это может быть сам домен. В данном случае объект привязывается ко всему домену. О процессе создании и привязки объектов групповой политики вы можете подробнее узнать из первого и второго занятия тренинга «Групповая политика в производственной среде». Процесс привязки созданного объекта групповой политики проиллюстрирован ниже:

devicecsandgpo-06

Рис. 4. Привязка объекта групповой политики ко всему домену

2. Для созданного на первом шаге объекта GPO вызовите контекстное меню и откройте оснастку «Редактор управления групповыми политиками». Для того чтобы начать настраивать требуемые параметры политики, в отобразившейся оснастке следует перейти к узлу «Конфигурация компьютераПолитикиАдминистративные шаблоныСистемаУстановка устройстваОграничение на установку устройств». Так как в данном узле можно обнаружить всего 10 параметров политики, рассмотрим применение каждого параметра:

devicecsandgpo-07

Рис. 5. Политики ограничения установки устройств редактора управления групповыми политиками

  • Первый рассматриваемый параметр политики: «Запретить установку съемных устройств». Если используется текущий параметр политики, вы тем самым полностью запретите операционной системе устанавливать любые съемные устройства. Следует обратить внимание на то, что данный параметр политики будет превалировать над любыми параметрами, которые вы будете настраивать в данном узле. По сути, настроив этот параметр, вы тем самым добьетесь использования первого сценария блокировки устройств. Однако, если устройство ранее было установлено, вы всего лишь не сможете обновлять для этого устройства драйвера. В свою очередь, при использовании текущего параметра политики на серверах удаленных рабочих столов, вы запретите перенаправление съемных устройств на такой сервер. Так как в данном случае нас интересует блокировка USB-накопителей для всех пользователей, включая администраторов, за исключением определенного ряда USB, в применении текущего параметра нет необходимости. Соответственно, в диалоговом окне свойств этого параметра политики следует установить переключатель на опцию «Отключить», как можно увидеть на следующем изображении:

devicecsandgpo-08

Рис. 6. Параметр политики «Запретить установку съемных устройств»

 

  • Если перед вами поставлена задача, связанная с разрешением любых устройств, помимо устройств из запрещенного списка (третий сценарий, о котором шла речь в самом начале статьи), вам следует воспользоваться параметром политики «Запретить установку устройств с указанными кодами устройств». Используя этот параметр, вы можете определить уникальный список идентификаторов оборудования или совместимых идентификаторов, при совпадении с которым драйвер устройства не будет устанавливаться. Похожий параметр политики будет рассматриваться немного ниже, поэтому на данном этапе нет смысла показывать, как можно добавить список идентификаторов. Однако, следует обратить внимание на то, что любой запрещающий параметр политики всегда будет превалировать над разрешающим и если вы настроите два противоположных параметра, на пользователей будет распространяться именно запрещающее правило. Можно установить переключатель на опцию «Отключить» и перейти к следующему параметру политики;
  • Вам не нравятся идентификатора оборудования и совместимые идентификаторы? Вы привыкли работать с классами установки устройств и вам необходимо реализовать третий сценарий блокировки установки устройств? Значит параметр политики «Запретить установку устройств с использованием драйверов, соответствующих этим классам установки устройств» был разработан специально для вас! Как вы уже, скорее всего, догадались, при помощи текущего параметра политики вам предоставляется возможность определения GUID-идентификаторов для классов устройств, установка которых запрещается. Помимо установки переключателя на опцию «Включить», вам еще понадобится по нажатию на кнопку «Показать» вызвать диалоговое окно вывода содержимого, где вы сможете ввести столько GUID-идентификаторов, сколько устройств вам необходимо заблокировать. Несмотря на то, что в данном примере для текущего параметра будет установлен переключатель на опцию «Отключить», на следующей иллюстрации вы увидите пример блокировки USB-накопителя Transcend, GUID-идентификатор которого был найден в предыдущем разделе данной статьи:

devicecsandgpo-09

Рис. 7. Блокировка определенного устройства, согласно его идентификатору GUID

  • Наконец-то мы переходим к основному сценарию, позволяющему запретить установку любых устройств, кроме выданных пользователям USB-накопителям. Для полноценной реализации данного сценария, вам следует одновременно воспользоваться несколькими параметрами политики. Другими словами, используя этот параметр политики, вы запрещаете своим пользователям устанавливать драйвера для USB-накопителей, за исключением тех, чьи идентификаторы вы укажите при помощи одного из двух описываемых ниже параметров политики. Следовательно, устанавливаем для этого параметра переключатель на опцию «Включить» и без промедления переходим к следующему параметру политики;
  • Если при помощи второго, рассматриваемого в данной статье параметра можно запретить устанавливать устройства, согласно их идентификаторам оборудования и совместимым идентификаторам, используя параметр «Разрешить установку устройств, соответствующих какому-либо из этих кодов устройств» совместно с предыдущим параметром политики, вы можете разрешить устанавливать только определенный ряд съемных устройств, исключив все остальные. Для того чтобы определить, какие устройства смогут использовать ваши пользователи, для начала выполните некоторые предварительные действия. Повторно откройте «Диспетчер устройств» и перейдите к свойствам разрешенного USB-накопителя. На вкладке «Сведения» локализуйте идентификаторы оборудования и скопируйте в буфер обмена требуемый идентификатор. В данном случае, как можно заметить на одной из предыдущих иллюстраций, будет выбран идентификатор «USBSTORDiskJetFlashTranscend_32GB__8.01». для того чтобы настроить правильные ограничения, я рекомендую не использовать совместимые и какие-либо общие для многие устройств идентификаторы, такие как USBSTORDisk, RAW или GenDisk. Теперь в диалоговом окне свойств данного параметра политики установите переключатель на опцию «Включить» и для определения идентификаторов нажмите на кнопку «Показать». Здесь, в отобразившемся диалоговом окне «Вывод содержимого», следует вставить из буфера обмена идентификатор оборудования. Если вам необходимо, чтобы на компьютерах могли пользоваться несколькими видами съемных устройств, добавляйте каждый идентификатор на новой строке. Диалоговое окно текущего параметра политики вы можете посмотреть на следующей иллюстрации:

devicecsandgpo-10

Рис. 8. Выбор устройств, которые смогут использовать на компьютерах

  • Очередной параметр политики, благодаря которому вы можете разрешить использовать «избранные устройства», это параметр «Разрешить установку устройств с использованием драйверов, соответствующих этим классам установки устройств». Здесь, полагаю, все понятно из самого названия параметра: вы можете определить GUID-идентификаторы для устройств, установка драйверов которых разрешена вашим пользователям. Настраивается по аналогии с параметром «Запретить установку устройств с использованием драйверов, соответствующих этим классам установки устройств». Обязательно обратите внимание на то, что если вы будете использовать оба параметра политики, с идентичными идентификаторами, запрещающий параметр будет замещать текущий. Учитывайте этот факт при планировании управления установкой устройств. Так как в данном примере настраивается только идентификатор оборудования, можно либо оставить данный параметр без изменений, либо установить переключатель на опцию «Отключить»;
  • Предположим, что вы уже настроили описанные выше шесть параметров политики и определили, какие устройства смогут устанавливать ваши пользователи. Но в большинстве случаев нет необходимости запрещать администраторам использовать свои съемные устройства. Специально для этой цели был разработан параметр политики «Разрешить администраторам заменять политики ограничения установки устройств». Следовательно, установив переключатель на опцию «Включить», вы тем самым дадите «добро» пользователям, являющихся членами группы локальных администраторов устанавливать и обновлять драйверы устройств, независимо от настроенных выше параметров политики. Так как повышенные полномочия администраторов не входят в поставленный выше сценарий, установим переключатель на опцию «Отключить» и перейдем к оставшимся параметрам политики;
  • Понравится ли вашим пользователям то, что в один прекрасный момент они попробуют установить или обновить драйверы для своих любимых съемных устройств, а их тихонько проигнорируют, запретив пользоваться последними? Вряд ли. Вы можете избавиться от большинства вопросов, если настроите параметры политики «Отображать заголовок специального сообщения, когда установка устройств запрещена параметром политики» и «Отображать специальное сообщение, когда установка запрещена параметром политики». Включив каждый параметр, вы можете ввести свой текст, у которого будет ограничение в 63 и 128 символов, соответственно. Например, окно параметра политики, определяющего заголовок, изображено ниже:

devicecsandgpo-11

Рис. 9. Определение заголовка предупреждающего сообщения

  • И последний параметр политики «Время (в секундах) до принудительной перезагрузки при необходимости введения параметров политики в действие». Как понятно из самого названия параметра, вам предоставляется возможность определить период, в течение которого компьютер не будет перезагружаться для внесения изменений в политиках ограничений в установке устройств. Этот параметр политики будет распространяться только на компьютеры, на которых установлена, как минимум, операционная система Windows 7. Здесь выбор остается только за вами. Например, в данном примере я указал 300 секунд.

Несмотря на то, что все эти параметры политики предоставляют такие замечательные возможности, для себя вы можете обнаружить у них два незначительных недостатка. Прежде всего, установка будет блокироваться только для устройств, которые впервые подключаются к компьютеру. То есть, если пользователь когда-то уже подключал свой личный USB-накопитель, вам придется сначала удалить его драйвер из диспетчера устройств, а уже потом, после повторного подключения корректно отработают установленные вами параметры политики. Второй несущественный недостаток может быть связан с тем, что текст, который был указан при помощи соответствующих параметров групповой политики, будет отображаться в том случае, когда пользователь попробует обновить или установить драйвер непосредственно из диспетчера устройств. То есть, сразу при подключении устройства этот текст не будет фигурировать.

Помимо этих недостатков также следует отметить и то, что для внесения изменений операционная система не требует перезагрузки, и если вы редактируете эти параметры политики в рабочее время, пользователям не придется перезагружать свои компьютеры.

3. Помимо всех определенных ранее параметров политики мне хотелось бы рассказать еще о некоторых интересных параметрах групповой политики, позволяющих вам управлять съемными устройствами. Возможно, вы не хотите всех пользователей ограничивать в использовании съемных устройств, вам не нравится выискивать требуемые идентификаторы и планировать создаваемые объекты групповой политики. Возможно, вам просто нужно запретить пользователям записывать на CD/DVD-диски и USB-накопители, а также не дать возможности использовать WPD-диски с ленточными накопителями. Для этой цели ведь не получится воспользоваться упомянутыми ранее параметрами политики. Конечно, вы можете определить идентификаторы для WPD и ленточных накопителей и запретить их использовать, но при помощи этих десяти параметров политики вам никак не удастся запретить записывать на диски. Специально для решения этой задачи были разработаны некоторые параметры, которые можно обнаружить в узле «Доступ к съемным запоминающим устройствам». Работать с этими параметрами очень просто: вы находите требуемый параметр политики, например, «Компакт-диски и DVD-диски: Запретить запись» и устанавливаете переключатель на опцию «Включить». Таким образом, вы можете указывать дополнительные ограничения, связанные с управлением устройствами ваших пользователей. Пример применения параметров политик этого узла вы можете просмотреть на следующей иллюстрации:

devicecsandgpo-12

Рис. 10. Дополнительные ограничения, связанные с использованием съемных устройств

4. После того как все параметры будут настроены, вы можете смело закрывать редактор управления групповыми политиками и проверять внесенные при помощи функциональных возможностей групповой политики изменения. Так как в данной строке все действия выполняются в операционной системе Windows Server 2012, было бы неправильно не отметить то, что сейчас в оснастке «Управления групповой политикой» появилась возможность принудительного обновления групповой политики на всех клиентских компьютерах, расположенных в выбранных вами подразделениях. Для этого следует выбрать подразделение, содержащее компьютеры, на которые будет распространяться настраиваемый объект групповой политики, нажать на нем правой кнопкой мыши и из контекстного меню выбрать команду «Обновление групповой политики». В отобразившемся диалоговом окне вы можете просмотреть количество компьютеров, на которые будут распространяться настроенные вами объекты групповой политики и нажать на кнопку «Да», как показано на следующей иллюстрации:

devicecsandgpo-13

Рис. 11. Принудительное обновление групповой политики на клиентских компьютерах

По нажатию на кнопку «Да» вы можете просмотреть состояние обновления объектов групповой политики и в случае возникновения ошибок узнать код и описание самой ошибки, что является очень удобным нововведением.

Пришло время проверить на клиентском компьютере, правильно ли распространились все изменения, настраиваемые при помощи функциональных возможностей групповой политики. Для этого к клиентскому компьютеру подключаются два упомянутых выше USB-накопителя. Так как драйвер на 4-гигабайтный USB-накопитель у меня уже был установлен, мне пришлось его удалить и заново подключить флэшку.

После того как были подключены оба устройства, перейдя в оснастку «Диспетчер устройств» я обнаружил в группе «Дисковые устройства» только жесткий диск и USB-накопитель Transcend на 32 Гигабайта, а второй накопитель, в свою очередь располагался в группе «Другие устройства» с предупреждающим об ошибке значком. При попытке обновления драйвера, операционная система выдала сообщения, на которое можно посмотреть на следующей иллюстрации:

devicecsandgpo-14

Рис. 12. Результат применение параметров групповой политики

Исходя из полученного результата, можно прийти к выводу, что измененные в данной статье параметры групповой политики были правильно применены и впредь пользователи не смогут подключать к своим рабочим компьютерам свои личные устройства.

Заключение

О чем вы узнали из этой статьи? Прежде всего, вы познакомились с процессом установки драйверов подключаемых устройств к компьютеру с операционной системой Windows. После этого с наглядными примерами я объяснил назначение идентификационных строк, благодаря которым операционная система узнает о том, какое устройство было подключено к компьютеру. И основное, из этой статьи вы узнали о том, как при помощи функциональных возможностей групповой политики можно управлять процессом установки драйвером съемных накопителей, а также ограничивать выполняемые с ними действия.

VN:F [1.9.22_1171]
Rating: 10.0/10 (17 votes cast)
Блокировка USB-накопителей при помощи возможностей групповой политики, 10.0 out of 10 based on 17 ratings

10 комментариев

  1. Есть одна маленькая проблема. На самом деле так можно разрешить установку определенной партии флешек. Т.е. например предприятие закупило флешки производителя А емкостью 4 Гб в количестве 200 шт. Мы разрешили устанавливать только эти флешки. Но кто мешает пользователю купить флешку производителя того же той же емкости? НИКТО! И она, увы, тоже будет работать!

    VA:F [1.9.22_1171]
    Rating: -2 (from 4 votes)
    1. Вообще-то у каждой флешки свой уникальный ID есть, поэтому прописывать придется каждую флешку пользователя ручками.
      Одного названия будет мало.
      Так что, если правильно подойти к делу — то купив такую же флешку — не будет она работать, если ее не пропишут по ID.

      Еще есть платные ПО «DeviceLock» или «Zlock», которые на этой основе построены, и в добавок еще и могут копировать все что переносят на флешках, печатают, записывают — теневым копированием на сервер.

      VA:F [1.9.22_1171]
      Rating: +1 (from 1 vote)
  2. Здравствуйте.
    В требованиях политик указано «At least Windows Vista». Это будет работать для Windows XP Pro SP3?

    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)
    1. В случае с Windows XP, придется создавать скрипты, а затем уже распространять их средствами ГПО

      VA:F [1.9.22_1171]
      Rating: +1 (from 1 vote)
  3. Дмитрий. спасибо за статью! Очень помогло и очень хорошо написано!

    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)
  4. Возможно ли использовать подстановочные знаки в кодах устройств?
    При установке смарт-карты платежной системы возникают ошибки вида:
    «Средством управления драйверами ограничена установка кода экземпляра устройства {892EDE5E-BE49-443C-A0B3-005D74F2D69C\SCFILTER\6&CE50179&0&13 из-за параметра политики ограничений установки устройств.»
    Последние два символа в коде (сразу после амперсанда «&») постоянно меняются даже на одной смарт-карте в пределах одного компьютера. Прописывать в политике сотню строк не вариант. Как быть?

    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)
    1. А какой у этих смарт-карт класс устройств? Если он у всех совпадает и не пересекается с классами для тех устройств, инсталляцию которых нужно запретить, можно попробовать воспользоваться параметром политики «Разрешить установку устройств с использованием драйверов, соответствующих этим классам установки устройств» (Allow installation of devices using drivers that match these device setup classes)…

      VN:F [1.9.22_1171]
      Rating: 0 (from 0 votes)
      1. «Allow installation of devices using drivers that match these device setup classes» — уже включил.
        Класс устройств смарт-карты — SmartCardReader
        ИД оборудования — USB\VID_096E&PID_0005&REV_0290
        Совместимые ИД — USB\Class_FF&SubClass_00&Prot_00
        GUID класса устройств — {50dd5230-ba8a-11d1-bf5d-0000f805f530} (эту строчку я добавил в AllowDeviceClasses)

        А в ошибке фигурирует значение параметра «Зависимости шины» — {892EDE5E-BE49-443c-A0B3-005D74F2D69C}\ScFilter\7&400aac7&0&08

        VA:F [1.9.22_1171]
        Rating: 0 (from 0 votes)
  5. Нашел ответ тут — http://social.technet.microsoft.com/Forums/windows/en-US/b1a428e4-e2e2-4512-b3dc-368971b71058/windows-7-professional-network-driver-installation-blocked-by-restricted-setup-class-policy?forum=w7itproinstall

    Нашел файл C:\Windows\inf\setupapi.dev.log. В нем в самом конце нашел строки:

    dvi: Selected driver installs from section [SCRAWPDO_Install] in ‘c:\windows\system32\driverstore\filerepository\scrawpdo.inf_x86_neutral_18f3d1cd9736f87d\scrawpdo.inf’.
    dvi: Class GUID of device changed to: {db4f6ddd-9c0e-45e4-9597-78dbbad0f412}.
    dvi: Set selected driver complete.
    ndv: Driver selected, now performing install…
    ndv: {Core Device Install} 14:54:09.208
    inf: Opened PNF: ‘C:\windows\INF\scrawpdo.inf’ ([strings.0419])
    pol: {Device installation policy check [{892EDE5E-BE49-443C-A0B3-005D74F2D69C}\SCFILTER\6&CE50179&2&03]}
    !!! pol: The device is explicitly restricted by the following policy settings:
    !!! pol: [-] Restricted installation of devices not described by policy
    !!! pol: {Device installation policy check [{892EDE5E-BE49-443C-A0B3-005D74F2D69C}\SCFILTER\6&CE50179&2&03] exit(0xe0000248)}
    !!! ndv: Installation of device is blocked by policy!
    ndv: Device install status=0xe0000248
    ndv: Performing device install final cleanup…
    ! ndv: Queueing up error report since device installation failed…
    ndv: {Core Device Install — exit(0xe0000248)} 14:54:09.239
    ump: Server install process exited with code 0xe0000248 14:54:09.239
    <<< Section end 2014/04/16 14:54:09.255
    <<< [Exit status: FAILURE(0xe0000248)]

    Во второй строке видно, что у класса устройства сменился GUID (Class GUID of device changed to: {db4f6ddd-9c0e-45e4-9597-78dbbad0f412}.).
    И это не тот GUID, что выводится в свойствах самой смарт-карты в диспетчере устройств.

    Стоило добавить его в список разрешенных, как все заработало. Ура!

    VA:F [1.9.22_1171]
    Rating: -1 (from 1 vote)

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *