Forum

USB & CD-RW Eng...
 
Bildirimler
Hepsini Temizle

USB & CD-RW Engelleme (GPO)

48 Yazılar
22 Üyeler
0 Reactions
3,613 Görüntüleme
(@guven.yildiz)
Gönderiler: 77
Estimable Member
Konu başlatıcı
 

Merhabalar. 


Windows 2003 - dc Uzerinde Group policy tanımlıyorum (asagıdaki gibi) xusers ou 'ine ekliyorum policy 'i ama makinalar cekmiyo. 


nasıl bi hata yapıyor olabilirim ? (Computer OU 'inemi eklemem lasım bu policy 'i)


Amacım USB leri kapatmak (onceden takılıp tanımlanmıs cihazlarda calısmasın), cd yazmalarını engellemek.  (Bi kaç bilgisayar usb scanner kullanıyo aslında onunla ilgilide ne yapcam bilmiyom.)


Computer Configuration > Windows Settings > Security Settings > File System 'de %systemroot%\inf\usbstore.inf


Computer Configuration > Windows Settings > Security Settings > File System 'de %systemroot%\inf\usbstore.pnf


Computer Configuration > Windows Settings > Security Settings > System Services 'de


yardımlarınız için teşekkurler.


    IMAPI CD-Burning COM Service              Disabled


    Removable Storage                                 Disabled

 
Gönderildi : 22/08/2008 12:19

(@kaantekkol)
Gönderiler: 831
Noble Member
 

http://cozumpark.com/forums/post/5340.aspx  linkini incelemeni tavsiye ederim. Burada anlatılan .adm dosyası forumda olmalıydı ama onu bulamadım. Araştırırsan kolaylıkla bulabilirsin.

 
Gönderildi : 22/08/2008 12:54

(@guven.yildiz)
Gönderiler: 77
Estimable Member
Konu başlatıcı
 

ON ERROR RESUME NEXT

Dim WSHShell, WSHNetwork, objDomain, DomainString, UserString, UserObj, Path


Set WSHShell = CreateObject("WScript.Shell")
Set WSHNetwork = CreateObject("WScript.Network")
'Automatically find the domain name
Set objDomain = getObject("LDAP://rootDse")
DomainString = objDomain.Get("dnsHostName")


' Grab the user name
UserString = WSHNetwork.UserName
' Bind to the user object to get user name and check for group memberships later
Set UserObj = GetObject("WinNT://" & DomainString & "/" & UserString)




' To Disable USB MASS STORAGE
Path = "HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Start"
WshShell.RegWrite Path, 4 ,"REG_DWORD"
MsgBox "You just had your USB Disabled Sucka" ' just for testing


'Now check for group memberships and do conditional actions
For Each GroupObj In UserObj.Groups
Select Case GroupObj.Name
    'Check for group memberships and take needed action
                
     Case "USB Enabled"
              ' Enable USB Drives
              Path = "HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Start"
           WshShell.RegWrite Path, 3 ,"REG_DWORD"
           MsgBox "You just had your USB Turned Back On, Break It Down..." ' Goofin agian
     

     End select
Next




'Clean Up Memory We Used
set UserObj = Nothing
set GroupObj = Nothing
set WSHNetwork = Nothing
set DomainString = Nothing
set WSHSHell = Nothing
Set WSHPrinters = Nothing


'Quit the Script
wscript.quit


 


yukarıdaki sicript i buldum. ama daha onceden tanımlanmıs flash disk ler yine çalışıyor. bunun için bi onlem alabilirmiyim. bi de cd yazmalarını nasıl engelliycem, okuya bilir ama yazamaz ?

 
Gönderildi : 22/08/2008 16:09

(@guven.yildiz)
Gönderiler: 77
Estimable Member
Konu başlatıcı
 

ON ERROR RESUME NEXT

Dim WSHShell, WSHNetwork, objDomain, DomainString, UserString, UserObj, Path


Set WSHShell = CreateObject("WScript.Shell")
Set WSHNetwork = CreateObject("WScript.Network")
'Automatically find the domain name
Set objDomain = getObject("LDAP://rootDse")
DomainString = objDomain.Get("dnsHostName")


' Grab the user name
UserString = WSHNetwork.UserName
' Bind to the user object to get user name and check for group memberships later
Set UserObj = GetObject("WinNT://" & DomainString & "/" & UserString)




' To Disable USB MASS STORAGE
Path = "HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Start"
WshShell.RegWrite Path, 4 ,"REG_DWORD"
MsgBox "You just had your USB Disabled Sucka" ' just for testing


'Now check for group memberships and do conditional actions
For Each GroupObj In UserObj.Groups
Select Case GroupObj.Name
    'Check for group memberships and take needed action
                
     Case "USB Enabled"
              ' Enable USB Drives
              Path = "HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Start"
           WshShell.RegWrite Path, 3 ,"REG_DWORD"
           MsgBox "You just had your USB Turned Back On, Break It Down..." ' Goofin agian
     

     End select
Next




'Clean Up Memory We Used
set UserObj = Nothing
set GroupObj = Nothing
set WSHNetwork = Nothing
set DomainString = Nothing
set WSHSHell = Nothing
Set WSHPrinters = Nothing


'Quit the Script
wscript.quit


 


yukarıdaki script i buldum, ama onceden tanıttıgım flash dikler yine calısıyo.. bunun için ne yapa bilirim. ve cd yazmalarını nasıl engellerim ?

 
Gönderildi : 22/08/2008 16:11

(@sinankahraman)
Gönderiler: 5225
Illustrious Member
 

Flashdiskleri denetim altına almak için PC lere My USB only kurabilirsin. Şifre ile USB leri kilitlemiş olursunuz ve siz
şifreyi girerek kullanabilirsiniz. Böylece sizden izinsiz Mp3 player,
flash kartlar v.s kullanamazlar .

 
Gönderildi : 22/08/2008 16:16

(@guven.yildiz)
Gönderiler: 77
Estimable Member
Konu başlatıcı
 

ya aslında ben gp ile yapmalıyım bunu.










%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf
 


bu dosyaların security lerini edit edebilsem sorunum hallolcak. gp ile yapıyorum. çekmiyo bu ayarları. yanlıs bişeymi yapıyorum anlamadım.


 


bunun ile ilgili ornek varmı elinizde. kullanıcıların ou sunda yazıyorum gp yi

 
Gönderildi : 22/08/2008 16:46

(@sinankahraman)
Gönderiler: 5225
Illustrious Member
 

http://cozumpark.com/forums/post/5340.aspx  linkini incelemeni tavsiye ederim. Burada anlatılan .adm dosyası forumda olmalıydı ama onu bulamadım. Araştırırsan kolaylıkla bulabilirsin.

İncelediniz mi?

 
Gönderildi : 22/08/2008 17:17

(@guven.yildiz)
Gönderiler: 77
Estimable Member
Konu başlatıcı
 

ewet inceledim cok tesekkurler, ama adm doyasını bulamadım, adm dosyasınıda baska biyerden buldum. testlerini yapıcam şimdi. cd yazamamaları ile ilgili bi yol varmı aklınızda, şu imapi cd-burning servisini diasble ediyorum ama, pc yi restart edince cekmiyo bu ayarı, cok mu beklemeliyim aca ba _?

 
Gönderildi : 22/08/2008 18:44

(@OmerKARADENIZ)
Gönderiler: 1560
Noble Member
 

Merhaba


http://www.omerkaradeniz.com/2008/05/30/usb-bellekleri-yasaklamak-yada-read-only-yapmak/


Linkten usb ile ilgili dosyalari reg file yapip register edebilirsiniz.


 

 
Gönderildi : 22/08/2008 18:49

(@guven.yildiz)
Gönderiler: 77
Estimable Member
Konu başlatıcı
 

Computer Configuration > Windows Settings > Security Settings > System Services 'den "IMAPI CD-Burning Com Service" Servisini Disable Ettim.


 


CD Yazmalarını Engelledim.


Computer Configuration > Administrative Templates uzerine sağ tıklayıp, http://www.petri.co.il/software/usb_removable_drives_adm.zip  linkinden indirdiğim *.adm dosyasını ekledim ve Administrative Templates içine "Custom Policy Settings > Restrict Drives"  Ağacı eklendi (adm Dosyasını Notepad de açıp isimleri değiştirebiliriz) . Restrict Drives içindeki ilgili satırları etkin hale getirip combobox dan ilgili secenegi sectim


Client larda 3 - 4 kere "gpupdate /force" yapınca cekti gp leri.


Cevap yazan herkeze teşekkur ederim, sayenizde bu sorunumuda hallettim.


[URL= http://img116.imageshack.us/img116/9513/disableusbstoragemc3.th.jp g" target="_blank">http://img116.imageshack.us/img116/9513/disableusbstoragemc3.th.jp g"/> [/IMG][/URL]

 
Gönderildi : 22/08/2008 19:27

(@sinankahraman)
Gönderiler: 5225
Illustrious Member
 

Geri bildirim için biz teşekkür ederiz.

 
Gönderildi : 22/08/2008 19:37

(@rahmidilli)
Gönderiler: 2458
Famed Member
 


Computer Configuration > Windows Settings > Security Settings > System Services 'den "IMAPI CD-Burning Com Service" Servisini Disable Ettim.


 


CD Yazmalarını Engelledim.


Computer Configuration > Administrative Templates uzerine sağ tıklayıp, http://www.petri.co.il/software/usb_removable_drives_adm.zip  linkinden indirdiğim *.adm dosyasını ekledim ve Administrative Templates içine "Custom Policy Settings > Restrict Drives"  Ağacı eklendi (adm Dosyasını Notepad de açıp isimleri değiştirebiliriz) . Restrict Drives içindeki ilgili satırları etkin hale getirip combobox dan ilgili secenegi sectim


Client larda 3 - 4 kere "gpupdate /force" yapınca cekti gp leri.


Cevap yazan herkeze teşekkur ederim, sayenizde bu sorunumuda hallettim.


[URL= http://img116.imageshack.us/img116/9513/disableusbstoragemc3.th.jp g" target="_blank">http://img116.imageshack.us/img116/9513/disableusbstoragemc3.th.jp g"/> [/IMG][/URL]



Yukarıdaki Policy çalışıyor ama bazı durumlarda malesef usb disklerin çalıştığını gördüm. Bir şekilde policy uygulanmıyor.(Başka policyler uygulanıyor) aynı sorunu yaşayan başkaları da var mı?

 
Gönderildi : 12/09/2008 00:08

(@serhatakinci)
Gönderiler: 4117
Famed Member
 

Evet Rahmi hocam, sebebi şu:

USB için örnek verirsek;

Bu ADM file'ın yaptığı iş, ilgili registry anahtarı yani USBStore anahtarı altındaki Start değerini düzenlemek.

Eğer bir XP yeni kurulmuş yada kurulum yapıldığı andan itibaren herhangi bir USB Disk takılmamamış ise, USBStore anahtarı registry altında bulunmuyor. Bu anahtar ve altındaki ilgili değerler, PC ye ilk USB Diski taktığımız zamanda yaratılır.

Şimdi biz daha önce USB Disk takılmamış (yani USBStore anahtarı henüz yaratılmamış) bir PC'ye bu ADM'i uygularsak, USBStore anahtarı olmadığı için işini yapamayacak ve ayar etkili olmayacaktır.

 

Çözüm için:

Ayar uygulanmadan önce USBStore anahtarı ve start değeri yaratılmalı (GPO, ADM yada Script kullanarak..)

 
Gönderildi : 12/09/2008 00:26

(@rahmidilli)
Gönderiler: 2458
Famed Member
 

USB disk daha önce takılı. Policy'yi uygulayınca usb takınca çalışmıyor ama bir süre sonra çalışır hale geliyor. Başka bir postta da ufak bir programcık paylaşılmıştı on da da aynı şekilde. Başka diski takınca gene tanıyor. Bir süre sonra aynı usbyi de tanıyor.

 
Gönderildi : 12/09/2008 00:32

(@serhatakinci)
Gönderiler: 4117
Famed Member
 

Aşağıdaki ADM'i kullanıyorum ve hiç denk gelmedim. Farklı USB de taksak değişen bişey olmuyor.

http://www.serhatakinci.com/?p=248

 

Şunu kontrol edelim. USB taktığın zaman tanıyorsa

HKEY_LOCAL_MACHINE/ System/ CurrentControlSet/ Services/ USBSTOR altında Start değeri kaç gösteriyor?

4 olması lazım.

 
Gönderildi : 12/09/2008 00:48

(@rahmidilli)
Gönderiler: 2458
Famed Member
 


Aşağıdaki ADM'i kullanıyorum ve hiç denk gelmedim. Farklı USB de taksak değişen bişey olmuyor.


http://www.serhatakinci.com/?p=248


 


Şunu kontrol edelim. USB taktığın zaman tanıyorsa


HKEY_LOCAL_MACHINE/ System/ CurrentControlSet/ Services/ USBSTOR altında Start değeri kaç gösteriyor?


4 olması lazım.



Bu ayarı yapan reg file ile de(aşağıdaki) denemişti. Bir şekilde tekrardan tanıyordu.


---------- 


Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004


-------------------------


 İletirim buradan paylaşırım.

 
Gönderildi : 12/09/2008 01:23

(@kaantekkol)
Gönderiler: 831
Noble Member
 

Bende şu anda denedim ama Rahmi hocam gibi flash takınca açılıyor.

 
Gönderildi : 26/11/2008 21:31

(@mehmetali)
Gönderiler: 140
Estimable Member
 

evet ilk takıldıgında flash diski görüyor aynı diski tekrar takarsak görmüyor fakat baska bi marka flash disk takarsak yeni donanım bulundu deyip onuda yukleyince hemen acıyor

 
Gönderildi : 26/11/2008 22:23

(@kaantekkol)
Gönderiler: 831
Noble Member
 

Bu olayı toplumsal bilgiislem problemi olarak görüyorum. Nasıl çzeceğiz acaba ?

 
Gönderildi : 26/11/2008 23:11

Sayfa 1 / 3
Paylaş: