Санта-Барбара (введение ограничения на usb)
 

Вчера нарисовал распоряжение о вводе ограничения в использовании съемных накопителей (на работе).

Сегодня узнал о себе и не только много нового:censored::censored::censored: Вечером напишу трактат...

я бы вообще все юсб выпаял и сетевой шнур перерезал
ну еще флоппик и цд приводы

Простите за "серость": а с какой целью???? у вас много секретной информации???

вирусы не только из интернета можно занести, вот флэшки и закрыли.

У нас уже давно так, нормально, уже привык.

:thank_you::thank_you::thank_you::yes::yes::yes:

+1 :sad:

Админ видно не очень :pooh: раз на такую каку пошёл..........Хотя дисциплина нужна.:crazy:

Все правильно - доступ должен быть минимальным достаточным для работы. А юзеры привыкнут - такая их юзерская доля:grin:

Добавлено через 44 секунды
как раз наоборот

полностью согласен.. вощщем - освоили миллион государственных денег, а сейчас приходится выслушивать много и всякого.. в пятницу - на ковер к Главному инженеру обсуждать ситуацию.. поскольку куча ньюансов оказалась не рассмотрена (т.к. на самом деле проект распоряжения делал не я, да и применительно к производственной деятельности выползла куча нъюансов)

:suicide: моСк_файлуре

В .опу дисциплину?:crazy:

есть другие способы, отучить людей пользоваться юзбиками - добрые и злые.:crazy:

Юзбики админу тоже нужны....

Ну про себя мы-то никогда не забываем:drinks:

Добрый это просто в реестре отрубить usb, а злой - это повесить прогу которая будет стучать кому надо что писалось на флешку.

У себя отрубили флоповоды и сидюки, народ поворчал малость и успокоился, теперь тоже о флешках подумываем.....

Отличный выбор:drinks: Подаришь мне миллиончиков 5 на сетевые принтера и сканеры?:drinks:

А без лога - какой смысл? А так вполне определенные люди будут нести ответственность за возможные проделки. Меня это устраивает.:good:

не понял, а принтеры при чем? Отрубаются только флэшки, а не вообще usb.

Добавлено через 17 минут 22 секунды
Зачем "отучать" когда можно просто отключить? Вообще в нормальной конторе должен быть документ из серии "Политика информационной безопасности", во исполнение его издается ряд приказов по разграничению доступа. Персонал под роспись знакомится с этими грустными бумагами. Все возмущения, протесты и угрозы - к руководству. Если кого-то забыли (а так всегда и бывает) пишется служебная записка "прошу разрешить доступ к usb-накопителям для таких-то целей". Аналогично рубится доступ к интернету и прочим излишествам.

А я бы ещё питание перевернул и за одно и датку для злосных грубиянов, а для не очень злосных только датку........:crazy::crazy::crazy: Я вообще со своими шлангами ходить люблю.

при наличии интернета не проблема. при отсутствии - засада. у нас "секретные" точки физически отрубались от всех сетей, кроме необходимых. накопители демонтировались, биос паролировался, корпуса закрывались, права урезались.

Даааааа, Пентагон наверное. Хотя сам за такое (у нас эт нереально), но лучше сетку запутать, да и прав лишить до одной рабочей проги, ну двух.

Мда? Остальные usb устройства фунциклируют нормально?
Ну да ладно, мне заодно надо обрудить и CD/DVD...

1. вариант "засада". интернета (физ. линка) нет и не будет
2. фил.линк только в локальной сети организации, стороннего нет ничего
3. тонкий клиент? загрузка всего и всеЯ по сети? мне не покатит изи тяжелого САПРа
4. ерунда, обходится на ура
5. ерунда, я не могу уследить за кучей компов, разбросанных по 6 этажам здания, откроют зверьки и это
6. юзера домена + средства киски (раскидано по VLAN'ам всё, открыт трафик только в серверный вилан и между всеми для голоса через windows messanger)

Тогда в чём суть, вопроса? Что бы не тырили или что бы не баловались.?

и не тырили (т.е. оттуда), и не баловались (туда):rtfm:

Питание разверни и дату заодно, пару раз и пихать не будут.

А вообще зах им юзбишки, правельно сделал, что вырвал.:good:

Не вырвал... Вырывать за меня будет ПО, поскольку полностью для всех не могу открыть/закрыть доступ... Включать/выключать через реестр ключи на usb - геморрой тот еще, и без этого хватает свистопляски...

терминальный доступ

Я до недавнего времени в банке работал, так там вообще с этим строго, там флешечку вставляешь и мало того, что ничего на нее или с нее не сбросишь, так это автоматически у сисадминов фиксируется! Проходит немного времени и приезжает "добрый" дядя из депертамента безопасности и, соответственно, задает много вопросов....

завис комп - уволить АйТи отдел... не может обработать два приложения - уволить АйТи отдел... загружает приложение более тридцати секунд - уволить АйТи отдел... косяк программы установленой - уволить Айти отдел...

Добавлено через 5 минут 19 секунд
и самое главное - не будет "умных и красивых одновременно" АйТишников - мы все умрём :lol:

+1
через GPO прекрасно отрубаются флэшки и дисководы, при этом остальные usb-девайсы работают. Еще ставится запрет на установку новых устройств, а то некоторые особо одаренные через мобильник в инете лазить любят.

Ну раз купили - значит купили... к закупке я отношения не имел, покупку не лоббировал и откат не получал :)

Реестр, гпо - это хорошо, и в мере необходимости знаю. Когда нужно в 5 десятков подразделений выборочно дать права доступа - устану давать права на политики. Да и - см чуть выше. Закупили и без меня.

:blum2:
Так вот они любители поотключать всё, вместо адекватной борьбы с вирусами. Проще отключить и шляться по порносайтам в свободное время, чем сканить систему постоянно?

Проще предотвратить, чем лечить, к тому же ни один антивирус никогда не даст 100% гарантии безопасности.

Но и лишить всю систему доступа из вне не получится. У нас на грани моразма, поставили антивирус и прогу следящую за действиями каждого, при этом основная база работает через интеренетэксплоурер и два этих контролёра тормозят текущую работу. Но зато под жалобы приобрели новый сервер. У половины фирмы зарубили инет. дисководы и т.д. Для работы с ними поставили отдельный комп .

Из глупого. после запрета не могу поменять фон рабочего стола если по стандартному. однако если на картинке тыкнуть и выбрать установить на рабочий стол отлично всё ставится.
Если воткнуть фотик - не сработает. если отдельно карточку, то всё нормально читается.

а мне надоело за всем этим следить, я всем дал полный достуип и написал в корридоре цену их косяков :), Начальник утвердил, все довольны. все сразу с IE ушли, красотень.
Побудил случай с бухгалтером когда сама себе купила комп в обход меня, какой-то антивирь поставила неясный и пришла жаловаться...

А можно меня ткнуть в то, как можно отключить флешку? Не только запись, но и чтение?

http://www.sibadmin.ru/component/opt...tid,4/aid,232/

По сути меняются ключи в реестре, то же самое можно сделать и руками, если к примеру сеть одноранговая.
http://support.microsoft.com/?id=823732

Первое отрубит USB вообще. Второе только вручную.

DrWEB новый кстати контроллирует доступ к съемным носителям.

первое делает абсолютно то же, что и второе - правит параметр в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\UsbStor
Отрубается при этом не "вообще" usb, а только накопители к нему подключаемые. Принтеры и прочие девайсы функционируют без проблем.