KF

Есть задача: заблокировать использование USB-drive (флешек), но не мешать использованию USB-принтеров.

Как уважаемые сисадмины решают такие задачи? Поделитесь опытом пожалуйста.

Отключить USB совсем и использовать принт-сервер, как вариант.

По-возможности делаю так же, но пока не везде удаётся.
Потому и возник вопрос.

http://www.protect-me.com/ru/

Ну и можно чисто техническими мерами. Штекер принтера блокируется пломбой на проволочке, остальные порты перекрываются чем-нибудь металлическим, чтоб вставить нельзя было.

в политике домена запрещаются съемные носители информации и все. еще есть утилиты DeviceLock, GFI Endpoint security и похожие. или речь не о винде?

А в диспетчере устройств корневые USB концентраторы никак галочкой не отключить? нет? Правая кнопка мыши>отключить.....в никсах уже ломом и проволокой орудуют?

была такая утилитка, позволяла делать политику безопастности в зависимости от типа USB-устройства, интегрировалась в систему безопастности виндавс
сам не юзал, название забыл, но шо была - бит в галаве атлажилса :)
HZ, вроде кадата здесь про неё гаварил (мож эта и есть DeviceLock)

Условие читай, принтер должен работать.
В никсе такой проблемы не существует. Это особенность его архитектуры - включать только то, что нужно. Я ставлю драйвер принтера и не ставлю все остальные. Или настраиваю UDEV таким образом, что бы он подключал устройство А,Б,Ц, а на устройства Д,Е,Ж не реагировал вообще.

Сис.политика.запрет использования сьемных носителей ... оными определяются и USB флеш ....

прально DeviceLock наш метод, могет назначать права по АД-шным группам и класам устройств флехи-сд-флопы

Вариант - блокировать дрова USB Flash Drive - Тупо переписать inf файлы, чтобы винда дров на них не находила ;)

а вообще, при каких условиях эта проблема возникает? Кроме, как умыкнуть конфиденциальную инфу, более не могу представить. Спрашиваю, поскольку юзеры начали активно закупаться флешками, но воровать у нас нечего (вроде бы). Я пока не препятствую, но начали терзать сомнения...

Вирусы приносят, игры, ну мало ли чего ещё.

Кста (не совсем в тему), фотки когда отношу в торгаш на флешке для печати - там постоянно мне на флешку вирусы забабахиваются :
MS32DLL.dll.vbs, autorun.vbs и killVBS.vbs

Дык, это сдача....

вирусы на дискетах испокон века таскали, но вопроса, как отрубить флоповод почему-то не возникало.

Приносят и уносят всякое.

P.S. флопы выключены.

А может это злые хацкеры из торгаша инсайдерские фото от меня хотят получить:) ?

Хороший вариант.
Есть вариант использовать LPT принтеры и вообще отказаться от USB где принт-сервер не может быть установлен.

Дядь Джа, сейчас ЛПТ принтер еще поискать нужно, дорогие, офисные, да, еще бывают пока с ним, так в них и езернет сразу есть часто.

 Да и нафига - если все принт-серверы и так с УСБ идут.

Я в курсе.
У нас такая же байда была на работе - все "обезопашивали". Пришли к тому, что принт-серверы USB поставили где только возможно. А на локальные машины (цеховые, складские) ЛПТшники поставили. Со всех отделов собирали.

Можно установить на компьютере операционную систему Windows 98. Она не поддерживает "флешки", если на нее не устанавливать специальный драйвер.

Было бы приемлимо, но 98 не очень дружит с доменом Win2003.
Поэтому применяются только win2000.

В пятак не надо, помнится мне в одной конторе проблему с вирусами решили кардинально, раз и навсегда....пару раз лишали премиальных и всех благ...через 2 месяца там о вирусах забыли, правда было это лет 5-6 назад...

Возникало.

У меня все решено политиками.
Юзер на локальной машине - поверюзер и по умолчанию не имеет права поставить драйвер для флешки.
При этом установка драйверов принтера разрешена.
Вируса пару раз притаскивались на флешках из других филиалов. Антивирь есесьно ловит - но неприятно как то.

http://support.microsoft.com/kb/555324
для людей с английским там все просто.

PlayStation, вопрос стоял заблокировать USB устройства в зависимости от их типа

так блокируется usbstor.sys - а это и есть флешки. а до кучи можно (но не обязательно) еще и флопики с сидюками. принтеры никто не трогает. я сам щас с этим столкнулся, потому что задолбали вирусы на флешках таскать.

ааа

да все элементарно
принтеры ставятся сетевые
а у компов переписывается биос без поддержки USB
тоесть гнезда остаются , а как такого устройства нет ни в сетапе , ни в системе тем более
кстати и компы становятся надежнее
статикой не убивают южные мосты

Если всё делать совсем серьезно, то можно использовать Z-Lock (http://www.securit.ru/products/info/zlock/). Обзор этой программы был в одном из номеров журнала "Системный администратор" за прошлый год.
А на скорую руку потянет метод с манипуляциями с правами доступа к inf-файла (описан тут (http://www.securitylab.ru/forum/index.php?PAGE_NAME=read&FID=18&TID=25418&MID=236102) или тут (http://flashkin.ru/2007/05/11/otkljuchit_ispolzovanie_usbustrojjstv_khranenija_dannykh.html)).

Боже, как в Windows все запущено... Дворникам там есть работа