Запретить Autorun с флешек через KSC, возможно ли?

[Dmitry Orlov]

На уровне GPO заблокировано. Но есть много недоменных удаленных компов на которых стоит KES под управлением KSC.

Посмотрел политику, только контроль устройств нашел и там можно запрет на устройство организовать.

А хотят авторан только запретить.

Edited January 26, 2023 by Dmitry Orlov

[ElvinE5]

Да, в этом вам поможет компонент Контроль приложений ?

 

1. В политике перейдите в соответствующий раздел, Включите компонент, закройте замки.

выберите вариант работы "Список запрещенных" и действие "Применять"

добавите правило

Спойлер

 

2. Для работы правила нужна созданная категория, которое будет описывать некий набор программ по определенным атрибутам, ее можно добавить в разделе дополнительно заранее

Спойлер

но можно сразу из правила создать новую

Спойлер

 

3. Создаем категорию

Спойлер

Спойлер

Спойлер

Выбираем "тип носителя" и жмем Далее

Спойлер

на следующем шаге задаем исключения, но в этом случаи нам это не нужно, жмем Далее

после завершения мастера нас вернет в наше правило, выставляем действия и добавим описания

Спойлер

все готово ...проверяем

Спойлер

 

 

Однако ... надо понимать что запуск будет запрещен СО ВСЕХ съемных носителей - USB, CD, DVD итд

при этом если файл будет скопирован на рабочий стол ...но прекрасно запустится.

надеюсь ответил на ваш вопрос ? ?

Edited January 27, 2023 by ElvinE5

[Aftalik]

53 минуты назад, ElvinE5 сказал:

надо понимать что запуск будет запрещен СО ВСЕХ съемных носителей - USB, CD, DVD итд

по этому я бы посоветовал топикстартеру отключить автозапуск через реестр, распространив выполняющий эту процедуру, файл .cmd на все устройства, где это необходимо, а еще можно его этот файл закинуть в автозагрузку всех пользователей

[Dmitry Orlov]

ElvinE5

Спасибо, очень подробно, но речь не про старт с носителя, а про автостарт! В принципе, можно сделать запрет на доступ к файлу autostart.ini. Хотя тоже не совсем корректно так делать, ИМХО.

Aftalik

Это уже сделано, а про распространение через bat\cmd думал, да. Подходит, конечно, хотя не и совсем удобно. Но я просто ожидал увидеть галку в политике KES.

Edited January 27, 2023 by Dmitry Orlov

[ElvinE5]

-

Edited January 27, 2023 by ElvinE5

[ElvinE5]

36 минут назад, Dmitry Orlov сказал:

Но я просто ожидал увидеть галку в политике KES.

это и есть автостарт ... все что попытается запустится будет заблокировано.

 

36 минут назад, Dmitry Orlov сказал:

Но я просто ожидал увидеть галку в политике KES.

не на все есть волшебные кнопки "сделать зашибись", функционал есть ... но требует больше чем 1 действие.

 

странно задублировалось ...не могу удалить ?

Edited January 27, 2023 by ElvinE5

[Dmitry Orlov]

2 минуты назад, ElvinE5 сказал:

это и есть автостарт ... все что попытается запустится будет заблокировано.

Ну это не совсем так, как работает запрет автостарта через GPO и что я имел в виду под автостартом. Это чистой воды запрет старта со съемного носителя.