Jump to content
Nikolas1986

Способы блокировки USB носителей

Recommended Posts

Несмотря на то, что тема неоднократно поднималась на форуме хотелось бы обсудить более подробно, так как блокировка осуществляется не всегда корректно.

Установлено: KSC 10.2.2019 и KES 10.2.6.3733

Задача. В организации 200 сотрудников. Необходимо заблокировать доступ к USB-носителям для 50 сотрудников.

Способ №1.

а) Создаем список пользователей кому требуется доступ к USB-носителям, используя логин из AD

б) На вкладке Политики -> Контроль устройств -> Съемные диски -> Добавить - выбираем "Съемные диски" и загружаем список пользователей, для верности можно проверить имена чтобы не подгрузить "лишних".

в) Ставим галочки "Чтение" и "Запись" в разделе "Расписание по умолчанию " (если не требуется ограничивать по одному из этих параметров).

г) ОК -> Закрываем замочек -> Применить.

Выглядит это примерно так:

5aba1eeb82523_.JPG.031a3466bbb5b21702acbcfc6df2e4c9.JPG

Итог: загружен список пользователей, кому разрешен доступ к USB-носителям. Соответсвенно всем кто не внесен в список, доступ запрещен.

Косяк такого способа: После применения данной Политики на все ПК в группе, у всех пользователей, в т.ч. которым открыт доступ к USB-носителем всплывает окно с предупреждением о блокировке, но при этом флешки доступны и в результате шквал звонков от юзеров!

5aba203c2f458_.JPG.7027b0a0acb8cb99e57c864d30096f74.JPG

Внимание вопрос! Есть ли способ отключить данное предупреждение для пользователей без установки утилит и создания Политики с нуля?!

Способ №2

Задача остается прежней. Заблокировать всего 50 пользователей из 200-х для доступа к USB-носителям.

Решение: Так как Способ №1 вызывает перегрев телефонной трубки и ушей сотрудников IT, а начальника из-за неработающей презентацией уже увозит скорая, ищем другой способ.

а) На вкладке "Политики" -> "Контроль устройств" -> Открываем замочек -> ОК -> Применить. Примечание: замочек необходимо открыть для доступа к "Задачам" конкретного ПК из списка "Компьютеры" в группе.

5aba23f9a752f_.thumb.JPG.34b80b10eaece914a1516c4aeead4df8.JPG

б) После применения Политики заходим на конкретный ПК пользователя, которому требуется заблокировать доступ к USB-носителям

в)Выбираем "Задачи" -> "Контроль устройств" -> "Параметры" -> Клик правой кнопкой по "Съемные диски" -> "Запрещать" ->  ОК -> Применить

5aba264ce4029_.JPG.16a0aefbfef25d5b3900d6cdba8ac9a9.JPG

г) Проводим такую же процеду ру для других ПК (остальных 49). И все работает!

д) Возвращаемся в "Политики" -> "Контроль устройств" -> закрываем замочек -> ОК -> Применить

Однако после выполнения пункта д) - настройки слетают и доступ к USB-носителям снова открыт для всех! УРА ТОВАРИЩИ!!! Можно все начинать СНАЧАЛА и доставать раскладушку из шкафа!!!

Вывод: Или я дурак или лыжи не едут!        

настройка правил доступа к устройствам.JPG

Контроль устройств пользователь.JPG

Edited by Nikolas1986
очепятка

Share this post


Link to post

Здравствуйте!

Уточните пожалуйста, Вы добавляете целую группу или же отдельных пользователей из разных групп? 

Также рекомендуем Вам обновить сервер администрирования. 

Спасибо!

Share this post


Link to post

При использовании Способа №1 добавляю пользователей из одной группы

Share this post


Link to post
2 hours ago, Nikolas1986 said:

При использовании Способа №1 добавляю пользователей из одной группы

Добрый день.

Описанный способ №2 не приведет к желаемому результату. Закрытие "замка" включает наследование настроек из политики, что перезаписывает все локально заданные настройки того раздела, к которому относится замок. Наиболее близким к этому способом будет оставить замок открытым (т.е. разрешить индивидуальную настройку этой части политики из локального интерфейса), а в политике задать защиту паролем для изменения настроек. Таким образом, устройства в список можно будет добавлять локально, но только зная пароль (или используя временный пароль).

"Лишние" блокировки в способе 1 могут возникать, если к устройству обращается системная учетная запись (которую нельзя внести в список разрешенных пользователей из политики). Это специфика ОС. Однако оповещение на экране о таких событиях можно отключить (в политике, в настройках отчетов и уведомлений, для компонента "Контроль устройств" снять третий флажок напротив критического события "Операция с устройством запрещена".

Спасибо.

Share this post


Link to post
15 часов назад, Kirill Tsapovsky сказал:

Однако оповещение на экране о таких событиях можно отключить (в политике, в настройках отчетов и уведомлений, для компонента "Контроль устройств" снять третий флажок напротив критического события "Операция с устройством запрещена".

Я так понимаю речь идет об этой настройке?

 

Операция с устройством запрещена.JPG

Share this post


Link to post
8 минут назад, Nikolas1986 сказал:

Я так понимаю речь идет об этой настройке?

Похоже об этой:

blob.thumb.png.01889d09c7385d7dbd8fbb2ead2972bc.png

 

Но есть еще способ №3, которым я пользуюсь. Сделать 2 группы: одной в политиках разрешить USB-флешки, другой запретить. И распределить ПК по соответствующим группам. Способ неудобен, если пользователь не имеет постоянного ПК и садится за разные, но это редкость. 

 

Share this post


Link to post

Тогда создайте группу и добавьте в неё не машины, а пользователей. И когда человек смигрирует с одного ПК на другой, то он в зоне действия домена будет с собой переносить и доступ к флешкам. 

Edited by Zandatsu

Share this post


Link to post
20 минут назад, PWL сказал:

Похоже об этой:

blob.thumb.png.01889d09c7385d7dbd8fbb2ead2972bc.png

 

Но есть еще способ №3, которым я пользуюсь. Сделать 2 группы: одной в политиках разрешить USB-флешки, другой запретить. И распределить ПК по соответствующим группам. Способ неудобен, если пользователь не имеет постоянного ПК и садится за разные, но это редкость. 

 

Видимо у меня другая версия KSC и таких настроек нет.

Спасибо за совет попробую воспользоваться Способом №3

Share this post


Link to post
20 минут назад, Zandatsu сказал:

Тогда создайте группу и добавьте в неё не машины, а пользователей. И когда человек смигрирует с одного ПК на другой, то он в зоне действия домена будет с собой переносить и доступ к флешкам. 

Я имел ввиду группы в KSC. Но и ваш совет для AD более правильный для автора, чем по пользователям добавлять.

Share this post


Link to post
20 минут назад, Zandatsu сказал:

Тогда создайте группу и добавьте в неё не машины, а пользователей. И когда человек смигрирует с одного ПК на другой, то он в зоне действия домена будет с собой переносить и доступ к флешкам. 

На 95% все работают только за своим ПК. Есть ноутбуки у некоторых сотрудников, но на них проще завести учетную запись и включить её в группу

Share this post


Link to post
2 минуты назад, Nikolas1986 сказал:

Видимо у меня другая версия KSC и таких настроек нет.

Для политик KES 10 SP1 MR2-MR4 Посмотри в разделе "Интерфейс - Уведомления"

Share this post


Link to post
37 минут назад, PWL сказал:

Для политик KES 10 SP1 MR2-MR4 Посмотри в разделе "Интерфейс - Уведомления"

Спасибо, нашел:

 

интерфейс.JPG

Share this post


Link to post

Подниму тему. 

Нужно примерно 50 человек отключить запись на USB Flash. Если делать группу в AD с пользователями то правило не работает. Если прописать вместо группы уз пользователя то правило работает. Как-то можно группы включить? Много политик и в каждую прописывать уз пользователей слишком долго. KSC 10.5.1781 антивирус  KES 10sp2 

 

PS похоже проблема когда группа локальная, если делать глобальную то работает.

Edited by AlexRus227

Share this post


Link to post

PS а нет и с глобальной заработало походу долго реплицировалось 

Share this post


Link to post

Здравствуйте!

Уточните пожалуйста ситуацию сейчас. 

Спасибо!

Share this post


Link to post

Здравствуйте,

Спасибо за информацию!

Можно ли считать, что проблема решена?

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.