Monday, December 11th, 2017

Ограничение использования оборудования через групповые политики

Published on Март 10, 2009 by   ·   Комментариев нет

Действительно — эти удобные USB-диски и съемные носители определенно делают повседневную жизнь проще, а профессиональную усложняют. adidas zx 750 Необходим способ контроля, позволяющий определить,

какие устройства можно использовать, а какие нельзя. К счастью, групповые политики в ОС Windows Vista™ и следующей версии сервера Windows Server® под кодовым именем «Longhorn» позволяют разрешить применение USB-мышей и одновременно запретить USB-накопители флэш-памяти; разрешить чтение CD-ROM, но запретить запись DVD; разрешить Bluetooth и запретить PCMCIA.

Управлением оборудованием заведуют два раздела групповой политики: Конфигурация компьютера — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам (рис. 1) и Конфигурация компьютера — Административные шаблоны — Система — Установка устройств — Ограничения на установку устройств.

Программа ограничения использования usb устройств

Рис. 1 Предопределенные ограничения использования оборудования в групповых политиках Название первого набора — доступ к съемным запоминающим устройствам — говорит само за себя. Если включить эту политику для некоего вида съемных устройств (CD или DVD, дискеты и т.п.), можно ограничить операции чтения или записи для всего класса устройств. Но у этих политик нет богатства возможностей набора «Ограничения на установку устройств». В «Доступе к съемным запоминающим устройствам» есть такие группы настроек политики: «Специальные классы: запретить чтение» и «Специальные классы: запретить запись». Выглядит полезно, но политика доступа к съемным устройствам не может предотвратить установку драйверов устройств — к моменту обнаружения оборудования драйвер уже установлен. Запрещается только чтение с устройства или запись на него. В следующем разделе, рассматривая настройки политики «Ограничения на установку устройств», мы увидим, как ограничить использование и драйвера тоже.

Классы и идентификаторы

Самое главное — знать, что именно нужно ограничить. Ограничить широко или ограничить точечно. Можно внести ограничения в целый «класс» из многих устройств, а можно наложить сверхточный запрет только на одно из них. А можно наоборот, разрешить только отдельные устройства, например USB-мыши. Но есть проблема: ограничиваемое оборудование нужно уметь распознавать. Так что, сказав «Устанавливать драйверы джойстиков нельзя» и «А можно только USB-мыши», следует уметь определять, что начинается установка джойстика или USB-мыши. Можно использовать Интернет для поиска кода устройства (Hardware ID), совместимого кода (Compatible ID) или класса устройства. А можно просто использовать само устройство — подключить его к компьютеру и посмотреть его код, совместимый код и класс. Зная их, запретить или разрешить устройство нетрудно. Давайте, для примера, ограничим использование семейства звуковых карт Creative AutoPCI ES1371/ES1373. Если нужно запретить что-то другое (конкретные USB-устройства, USB-порты и т.п.), делайте все то же, только заменив коды устройств на свои. Запустим диспетчер устройств на машине, где искомое оборудование уже установлено. Найдя в нем нужное устройство, щелкаем его правой кнопкой мыши и выбираем пункт «Свойства» а затем вкладку «Сведения». По умолчанию выбран пункт «Описание устройства». Интересно, но не полезно. В раскрывающемся списке свойств выберем пункт «Коды (ID) оборудования» (рис. 2).

Запрет использования usb через групповые политики

Рис. 2 Вкладка «Сведения» Появившийся список кодов упорядочен от наиболее точно соответствующих устройству до наименее точно соответствующих. На первой строчке можно увидеть, что конкретно эта звуковая карта — ревизия 2 модели ES1371. Точнее некуда. При движении по списку вниз коды будут все менее точными, вплоть до охватывающих все семейство продуктов. Но можно еще выбрать пункт «Совместимые коды (ID)». Они тоже описывают устройство, хотя и менее точно, чем предыдущие. С помощью совместимых кодов можно составить список похожего оборудования и запретить его разом — поскольку точность ниже, совпадений будет больше. С другой стороны, так под запретом может оказаться что-то нужное. Ну и, наконец, наименее точная категория — пункт «Класс устройства». В случае с нашей звуковой картой это просто «Media». Таким классом обладает масса устройств, так что, повторюсь, чем менее точно вы определяете запрет, тем более предусмотрительным следует быть. Trolleys Mammut Выбрав, какое значение использовать для указания устройства, щелкнем его правой кнопкой мыши, выберем «Копировать» и сохраним текст в блокноте. Это нужно сделать потому, что на следующих шагах значение потребуется вводить в точности так, как оно представлено. Все буквы верхнего регистра должны остаться в верхнем, а нижнего — в нижнем.

hidradenitis suppurativa treatment

Если для извлечения кодов и классов устройств вам удобнее командная строка, используйте программу Devcon, доступную на узле support.microsoft.com/kb/311272. Обратите также внимание, что корпорация Майкрософт опубликовала список идентификаторов для распространенных классов, который можно использовать, если нет доступа к самому устройству. См. go.microsoft.com/fwlink/?LinkId=52665.

Контроль доступа к устройствам через групповые политики

Хотя дальше мы рассмотрим все настройки политик раздела Конфигурация компьютера — Административные шаблоны — Система — Установка устройств — Ограничения на установку устройств, показанного на рис. 2, только одна из них нужна для завершения нашего первого примера. Создадим объект групповой политики (GPO) и свяжем его с подразделением (OU) или с доменом и т.д., который включает целевые компьютеры под управлением Windows Vista. Начав редактирование этого объекта, пройдем в «Конфигурация компьютера — Административные шаблоны — Система — Установка устройств — Ограничения на установку устройств — Запретить установку устройств с указанными кодами устройств». В настройках политики выберем «Включено», там же нажмем «Показать» и диалоговом окне «Вывод содержания» нажмем «Добавить». В диалоговое окно «Добавление элемента» скопируем ранее сохраненные данные (рис. 3).

Перенос групповых политик на другой сервер

Рис.34 Вставка точного кода устройства Еще момент. Если устройство уже установлено, оно не будет чудесным образом удалено и запрещено. Так что ограничивать доступ к оборудованию нужно на ранних стадиях развертывания Windows Vista. Однако при этом Windows Vista будет проверять политику доступа при каждом удалении и повторной установке устройства. Отличный пример — USB-накопители (их регулярно вставляют и вытаскивают). Поскольку проверка будет произведена только при повторном появлении устройства, ограничения доступа будут наложены тогда же (даже если драйвер устройства на компьютере уже присутствует). Сложнее с устройствами, которые поставляются вместе с компьютером и не удаляются (а потому и не устанавливаются повторно). Выход из подобной ситуации уже требует размышлений. При включении компьютера, который еще ничего не знает об устанавливаемом устройстве, Windows попытается установить драйвер и будет отображать ход выполнения этой задачи. Если включена политика, ограничивающая такие устройства, будет достигнут результат.

Другие ограничения оборудования

Выше мы запретили только одно устройство. Если бы мы хотели, мы бы могли пойти обратным путем — по умолчанию запретить все устройства и затем разрешить только нужные. Список нужных настроек групповых политик уже был приведен на рис. 2 — это ветка Конфигурация компьютера — Административные шаблоны — Система — Установка устройств — Ограничения на установку устройств. spyder pants sale Доступно несколько вариантов. Прежде всего это пункт «Разрешить администраторам игнорировать политики ограничения установки устройств». По умолчанию локальные администраторы в Windows Vista подпадают под действие таких ограничений. Если же включить эту политику, они смогут не обращать внимания на ограничения и устанавливать любое оборудование. Затем — «Разрешить установку устройств с использованием драйверов, соответствующих этим классам установки устройств». Устройства, чьи описания перечислены в этой политике, явно разрешены к установке в системе. Обратите внимание, что вводятся классы установки, а не коды устройств, как в примере выше. Обратный эффект достигается политикой «Запретить установку устройств с использованием драйверов, соответствующих этим классам установки устройств». Две настройки — «Отображать специальное сообщение, когда установка запрещена политикой (текст всплывающего уведомления)» и «Отображать специальное сообщение, когда установка запрещена политикой (заголовок всплывающего сообщения)» — позволяют использовать собственное сообщение вместо системного (рис. 5). Как было упомянуто выше, самый неточный способ указать нужное оборудование — использование классов. Следует отметить, что политика «Разрешить установку устройств, соответствующих какому-либо из этих кодов устройств» не воспринимает коды классов.





Смотрите также:

Tags:

Readers Comments (Комментариев нет)

Comments are closed.

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]