نحوه باز و بسته کردن پورت USB از طریق رجیستری با اکانت limited
دوستان سلام
من روی سیستم های شرکت یوزر ها رو limited تعریف کردم و روی همه شون از طریق regedit پورت های USB رو بستم . به این ترتیب کاربران نمی تونند خودشون تغییری در این رجیستری ایجاد کنند و USB های سیستم ها را باز کنند . ولی الان مدتیه سیستمهایی که روشون ویندوز 7 نصب هست ، کاربرانش یه راه دور زدن پیدا کردند و از اون طریق می تونند USB سیستم ها رو باز کنند از طریق همون رجیستری. می خواستم ببینم این ترفند چیه ؟ و راه مقابله با اون چیه ؟
از راهنمایی تون سپاسگزارم.
17 پاسخ
برای بوت نیازی به Cd نیست ، میتونن Mini Windows رو روی فلش هاشون بریزن و بهتره بدونید که فلش ها در محیط Dos باز هستن یعنی تا قبل از بوت شدن ویندوز فلش ها کار میکنن میتونن با فلش بوت کنن و ادامه داستان ...
ضمن تشکر از همه دوستان .
در جواب آقای خانلری باید بگم که کاربرای ما CD ROM روی سیستمهاشون ندارند ، پس نمی تونن با ویندوز مینی این کاری که شما میگید رو انجام بدن. حالا من باید گروپ پالیسی رو امتحان کنم که پیشنهاد آقای jeffar هست ، ببینم بازم پورت های USB باز میشوند یا نه ؟
دوست عزیزMonsieur Inconnu ، نود 32 که ما استفاده می کنیم ورژن 7 هستش ، اگه تنظیماتی داره برای بستن پورت های USB میشه راهنمایی کنید که چطور اینکار رو میشه انجام داد ؟
یکی از کارها اینه که با سی دی های بوت مثل Hirens’ Boot CD میان تو mini Windows که در عرض دو دقیقه میاد تو یه ویندوزی که مال شما نیست پس رجیستری های شما هم در نظر گرفته نمیشه هر چی دوست دارن کپی میکنن رو هارد و در نهایت با ویندوز شما میان بالا و شما هم اصلاً متوجه نمیشید.
بهتره بوت سیستم رو روی هارد بزارید و برای ورود به بایوس پسورد بزارید هرچند میتونن در کیس رو باز کنن و با در اوردن باطری پسورد بایوس رو پاک کنن ولی برای این کار هم میتونید در کیس ها رو پلمپ کنید یا لیبل هلوگرام دار بزنید و اعلام کنید هر سیستمی که پلمپش باز شده متخلف محسوب میشه و ادامه داستان از طریق مراجع قانونی مثل مدیریت یا حراست.
راه دوم اینه که پسورد اکانت یوزر ادمین Local رو گیر اوردن با لوکال میان بالا و خودشون رجیستری رو عوض میکنن.
درود...
من با راه های ساده ای جلوی این کارو گرفتم...
- یه برنامه نوشتم که غیر از آیدی یه فلش مخصوص چیزه دیگه ای رو باز نکنه!
- یه برنامه بود که فقط روی ویندوز xp جواب میداد و تا فلش بهش وصل میشد خاموش میکرد!
- با آنتی ویروس nod32 و داخل تنظیماتش پورت usb رو بستم.
از این راه ها خوشم نیومد ، برای همین رفتم سراغ بایوس و سخت افزار. این کار یه سری مشکل هایی رو برام بوجود آورد! یکی از مثال هاش اینکه کله پورت های usb بسته میشدن! پس دانگل ها و کیبورد ها و ... هم قطع میشدن!
دوست عزیزم مهندس خانلری هم این راه رو مطرح کردن! ولی hiren boot با cd بالا میاد و راه دیگش هم boot کردن از روی فلش هستش.
"بهتره بوت سیستم رو روی هارد بزارید و برای ورود به بایوس پسورد بزارید" این روش فکر کنم جواب بده. البته بازم فکر کنم دیگه خیلی تابلو باشه کسی در کیسو باز کنه.
من نظرم اینه که شما از active directory استفاده کنین یا کیبورد های ps2 و همینطور ماوس ps2 بگیرین و پورت های رو از بایوس ببندین. اگه هم زیاد کار جدی نیست یادمه در سوال های قبلتون گفته بودین روی سیستم ها nod32 هست. توی ورژن پنجمش که من تست کردم میشه پورت ها رو بست. رمز هم برای تنظیماتش میشه گذاشت.
نکته خیلی جالبی بود باید تست کنم ببینم این دوتا با هم در ارتباط هستند یا نه
از طریق Group Policy هم می تونی دستگاه های جانبی مثل فلش , CD و ... ببندی
GPEdit.msc-->Computer Configuration --> Administrative Templates --> System -->Removable Storage Access
از نظر منطقی صحیح نیست این کار
رجیستری یه سری پالیسی برا خودش داره وقتی میبندی و بری تو گروپ پالیسی میبینی که از طریق گروپ پالیسی usb ها enable هستند و مشکلی نیست و همین طور بر عکسش هم صدق میکنه.
کلاً هر پالیسی که خلافش از جای دیگه صادر شده باشه (تو منطق من اینجوری هست که اونی که محدودیت بیشتر داره قوی تر از اونی هست که محمدودیت نداره یا محدودیتش کمتره ) پس بر میگردیم به سوال کاربرمون:
ایشون اومدن Usb ها رو از طریق رجیستری بستن خب اگر رجیستری تنظیم شه آیا Group policy اتوماتیک تغییر میکنه و اونم عوض میشه و USB رو Disable میکنه؟ از نظر من خیر گروپ پالیسی میگه من با usb مشکل ندارم برید چک کنید ببینید کی این کارو کرده.
نکته 1: مورد دیگه ای که این خانم باید رعایت کنند :حالا اگر یوزر ها دسترسی Limite داشته باشن که دیگه اصلاً نمیتونن تو Group policy هم برن اگه میتونستن که خب رجیستری هم میتونن برن خودشون دستکاری کنن پس باید محدودیت این موضوع رعایت شه.
نکته 2: اگر از Active Directory پورت های usb رو ببندی هم تو رجیستری هم تو Group policy تمام کلاینت ها میبینی که فلش بازه و مشکلی نیست چون از جای دیگه بسته شده.
میشه یکی از دوستان توضیح بده چطوری از طریق گروپ پالیسی یا اکتیو دایرکتوری پورت ها رو غیر فعال کنم ؟
ممنون میشم .
میتونید به مقاله زیر از مهندس سعید شمس آبادی مراجعه کنید :
راستی کسی از دوستان نمی تونه حدس بزنه این کاربرای ما چه ترفندی به کار بردن برای باز کردن usb هاشون ؟
اگه میشه یه راهنمایی بکنید که چطور با اکتیو دایرکتوری یا گروپ پالیسی میشه پورت ها رو بست ؟ البته کیبورد ها و ماوس ها همچنان فعال باشند.
کدوم روش رو رفتید جلو؟
Cd/Rom و Mouse و Keyboard و Printer و Scaner و حافظه های جانبی مانند فلش مموری و هارد اکسترنال همشون برای خودشون تنظیمات دارن.
اگر قرار باشه کسی USB رو ببنده و موسی که با این پورت کار میکنه که بسته میشه پس هر کدوم جداگانه تنظیمات دارن
سلام و عرض ادب و احترام ، به نظر من استفاده از رجیستری ، استفاده از گروپ پالیسی و آنتی ویروس برای شبکه های Workgroup و Domain منسوخ شده هست و دیگه عملا کسی از این ابزارها استفاده نمی کنه مگر خیلی مجبور باشه ، وقتی ابزارهای بسیار ساده تر و سریعتر و مطمئن تری وجود دارند چرا از اینها استفاده کنیم؟
ابزارهایی که بصورت اختصاصی برای Endpoint Protection هستند کارشون همین هست ، آنتی ویروسهای مرکزی سالهاست این موضوع رو حل کردن اما برای محیط Workgroup پیشنهاد می کنم ابزار زیر رو تست کنید ، قبلش حتما پسورد و نام کاربری دارای دسترسی Admin روی سیستم های شبکه رو بدید خودش نصب می کنه براتون و با یک ویزارد ساده همه چیز رو براتون مدیریت می کنه ، دنبال دانلود نرم افزاری به نام GFI Endpoint Security بگردید.
من مطلب آقای شمس رو مطالعه کردم ولی ببخشید یه چیزی رو درست نفهمیدم . با اعمال این پالیسی روی ویندوز 7 ،پرینتر ما هم دیگر شناخته نمیشه ؟ DVD ROM چطور ؟
اگه بخوایم اینا شناخته بشن باید چی کار کنیم ؟
من این پالیسی را اعمال کردم ، الان دیگه DVD-ROM را غیر قابل دسترس می زنه.
محسن عزیز ! اگر قرار باشه شما کارهای زیر رو به عنوان یک ادمین در شبکتون انجام ندید ، هر کار دیگه ای هم بکنید کاربر دور میزنه شما رو :
- قرار دادن پسورد روی BIOS یا بهتر بگیم CMOS
- جلوگیری از Boot شدن پیشفرض CD و USB فلش
- قرار دادن پسورد Local Admin و غیرفعال کردنش بصورت مرکزی
- و ....
قطعا اینها نباشه همه کارهایی که گفتیم بی ارزش میشه ... اینجا اصول رو میگیم بحث محدودیت خیلی مفصل تره
این عکس مربوط به نود32 5 هستش...
1 - setting
2 - computer - device control
3 - add
4 - disk storage
مهندس قنبری یه سوال برام ایجاد شده: اگر USB ها رو از طریق رجیستری غیر فعال کنیم میشه با Group policy بازشون کرد؟!
اگر از طریق گروپ پالیسی و آنتی ویروس پورتها رو بسته باشی . کاربران با safe mode بیان بالا این روش رو دور میزنن