При поиске вокруг дополнительные опции я столкнулся с проектом туннельного менеджера шпаклевки, который похож на другой довольно хороший вариант.
Должен быть Объект Групповой политики для этого, можно продвинуть его через Active Directory. Посмотрите в gpedit.msc
на WinXP Pro.
Я предпочитаю обучать пользователей относительно того, что приемлемо и что не приемлемо. Если Вы не можете доверять своим пользователям что далеко, затем убрать их ПК, и настройте тонкий клиент системы, соединяющиеся назад с чем-то как сервер Citrix, запускающий все Ваши приложения. Единственное другое решение, о котором я могу думать, состоит в том, чтобы поместить фактический ПК в заблокированный корпус только с кабелями для клавиатуры, мыши и выхода монитора. Во всех случаях я думаю, что Вы только закончите тем, что создали больше работы для Вашего сам.
В BIOS, Устанавливает устройство загрузки для начальной загрузки только от жесткого диска, и пароль защищают BIOS. В BIOS отключите все USB-устройства, которые можно сойти с рук. Для предотвращения карт с интерфейсом USB от того, чтобы даже быть смонтированным необходимо будет принять другие меры. Можно ли поместить компьютер в поле только с клавиатурой и выходом кабелей мыши? Затем нет никакого доступного USB-порта для них для игры с.
Нижняя строка - то, что, пока Вы не доверяете людям, у которых есть физический доступ к машине, можно только улучшить безопасность, но Вы не можете получить абсолютную безопасность.
Если Вы обеспокоены использованием программного продукта, Вы могли бы купить некоторые аппаратные блокировки.
Это предполагает, что у Вас есть бюджет для получения их для каждой машины. Вы, возможно, также должны помешать людям отключать клавиатуру и мышь, если они - USB также.
Если пользователи имеют административные права на свои ПК, они могут переопределить что-либо, что Вы делаете для предотвращения этого. Однако можно перейти по ссылке ниже к рекомендуемому решению Microsoft:
http://support.microsoft.com/kb/823732
Можно также предотвратить начальную загрузку от карты с интерфейсом USB в BIOS, как был уже упомянут.
Я не думаю, отключая порты, действительно собирается сделать то, что Вы, кажется, хотите. Не, если эти компьютеры не используют мышей PS2 и клавиатуры. Пока у Вас есть доступные USB-порты для клавиатуры и мыши, кто-то может просто включить концентратор и включить их Карту памяти в это. То, что Вы действительно хотите сделать, препятствуют тому, чтобы компьютер распознал устройства хранения USB (но не другие USB-устройства) включенный на пути USB.
Необходимо смочь отключить USB-порты от BIOS компьютера. Вы могли также, отключать кабели с них на материнскую плату.
Если они - рабочие столы Windows, можно использовать локальную политику (или групповая политика, если это - Active Directory). Там isnt's настройка по умолчанию для него, но обеспеченный MS шаблон может быть найдена под MSKB 555324.
Если Вы надеетесь эффективно 'удалять' те порты из компьютера (и Вам нужен USB вообще), И если Вы готовы изменить компьютер, я могу предложить 2 эпоксидных смолы части? Покройте коннектор эпоксидной смолой, и никто ничего никогда не включает там снова. Горячее связующее звено Плавки является немного менее постоянным, но все еще довольно эффективным.
Для принятия Вас все еще нужны USB-порты для клавиатуры/мыши, Вы оказываетесь перед необходимостью оставлять порт или два раскрытых.
Можно отключить устройство хранения данных USB через:
http://support.microsoft.com/kb/823732
Также возможно сделать устройство хранения данных USB только для чтения. Это часто - хороший компромисс, поскольку он позволяет пользователям считывать данные от USB-устройства - как фотографии от камеры, но препятствует тому, чтобы они копировали Вашу корпоративную базу данных на свою карту памяти.
http://www.petri.co.il/configure_usb_disks_to_be_read_only_in_xp_sp2.htm
Вероятно, не желательно попытаться отключить USB полностью, поскольку вещи как клавиатуры и мыши обычно требуют USB в эти дни. Оба из вышеупомянутого может быть установлено с помощью ключа реестра или файла политики. Сила этих настроек будет так же сильна как Ваша политика Windows и настройки группы.
Я должен был сделать это на автономных машинах, а также на нескольких доменных машинах. GPO был бы лучшим способом пойти, но у меня не было роскоши выполнения его тот путь. Очевидно, если бы у кого-то были права администратора по машине и небольшому знанию, то они могли бы отменить это.
В то время, когда я использовал это, у нас были все машины XP. Ни у каких пользователей не было прав администратора. Никакие пользователи не [предположены быть] Продвинутые пользователи. Чтобы помочь помешать пользователям использовать устройства массового хранения USB, некоторые другие администраторы удалили USBSTOR.SYS. Таким образом, если бы я когда-нибудь должен был повторно включать устройства массового хранения USB, то я должен был восстановить файл драйвера также. (Таким образом, я сохранил текущую копию удобной наряду с файлами ниже). Моя копия "Enable.bat" имеет строку - я прокомментировал здесь - для восстановления файла по мере необходимости.
Disable.bat:
(Вероятно, придется добавить "BUILTIN\Administrators" к командам CACLS. Я не имел к в моей среде),
@echo off
REM *********************************************************************
REM Disabling USB Mass Storage Driver
REM *********************************************************************
echo Disabling USB Mass Storage Driver
CACLS %SYSTEMROOT%\system32\Drivers\USBSTOR.SYS /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
REG.EXE IMPORT "Disable.reg"
Disable.reg:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004
Enable.bat
(Вероятно, придется добавить другому набору команд CACLS для "BUILTIN\Administrators". Я не имел к в моей среде),
@echo off
REM *********************************************************************
REM Enabling USB Mass Storage Driver
REM *********************************************************************
echo Enabling USB Mass Storage Driver
REM XCOPY /E /Y /I USBSTOR.SYS %SYSTEMROOT%\system32\Drivers
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Power Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Power Users":R
REG.EXE IMPORT "Enable.reg"
Enable.reg:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000003
Что-то подобное может работать на Vista - НО я НЕ ПОПРОБОВАЛ IT.