USB & CD-RW Engelleme (GPO)

http://cozumpark.com/forums/post/5340.aspx  linkini incelemeni tavsiye ederim. Burada anlatılan .adm dosyası forumda olmalıydı ama onu bulamadım. Araştırırsan kolaylıkla bulabilirsin.

ON ERROR RESUME NEXT

Dim WSHShell, WSHNetwork, objDomain, DomainString, UserString, UserObj, Path


Set WSHShell = CreateObject("WScript.Shell")
Set WSHNetwork = CreateObject("WScript.Network")
'Automatically find the domain name
Set objDomain = getObject("LDAP://rootDse")
DomainString = objDomain.Get("dnsHostName")


' Grab the user name
UserString = WSHNetwork.UserName
' Bind to the user object to get user name and check for group memberships later
Set UserObj = GetObject("WinNT://" & DomainString & "/" & UserString)




' To Disable USB MASS STORAGE
Path = "HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Start"
WshShell.RegWrite Path, 4 ,"REG_DWORD"
MsgBox "You just had your USB Disabled Sucka" ' just for testing


'Now check for group memberships and do conditional actions
For Each GroupObj In UserObj.Groups
Select Case GroupObj.Name
    'Check for group memberships and take needed action
                
     Case "USB Enabled"
              ' Enable USB Drives
              Path = "HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Start"
           WshShell.RegWrite Path, 3 ,"REG_DWORD"
           MsgBox "You just had your USB Turned Back On, Break It Down..." ' Goofin agian
     

     End select
Next




'Clean Up Memory We Used
set UserObj = Nothing
set GroupObj = Nothing
set WSHNetwork = Nothing
set DomainString = Nothing
set WSHSHell = Nothing
Set WSHPrinters = Nothing


'Quit the Script
wscript.quit

yukarıdaki sicript i buldum. ama daha onceden tanımlanmıs flash disk ler yine çalışıyor. bunun için bi onlem alabilirmiyim. bi de cd yazmalarını nasıl engelliycem, okuya bilir ama yazamaz ?

ON ERROR RESUME NEXT

Dim WSHShell, WSHNetwork, objDomain, DomainString, UserString, UserObj, Path


Set WSHShell = CreateObject("WScript.Shell")
Set WSHNetwork = CreateObject("WScript.Network")
'Automatically find the domain name
Set objDomain = getObject("LDAP://rootDse")
DomainString = objDomain.Get("dnsHostName")


' Grab the user name
UserString = WSHNetwork.UserName
' Bind to the user object to get user name and check for group memberships later
Set UserObj = GetObject("WinNT://" & DomainString & "/" & UserString)




' To Disable USB MASS STORAGE
Path = "HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Start"
WshShell.RegWrite Path, 4 ,"REG_DWORD"
MsgBox "You just had your USB Disabled Sucka" ' just for testing


'Now check for group memberships and do conditional actions
For Each GroupObj In UserObj.Groups
Select Case GroupObj.Name
    'Check for group memberships and take needed action
                
     Case "USB Enabled"
              ' Enable USB Drives
              Path = "HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Start"
           WshShell.RegWrite Path, 3 ,"REG_DWORD"
           MsgBox "You just had your USB Turned Back On, Break It Down..." ' Goofin agian
     

     End select
Next




'Clean Up Memory We Used
set UserObj = Nothing
set GroupObj = Nothing
set WSHNetwork = Nothing
set DomainString = Nothing
set WSHSHell = Nothing
Set WSHPrinters = Nothing


'Quit the Script
wscript.quit

yukarıdaki script i buldum, ama onceden tanıttıgım flash dikler yine calısıyo.. bunun için ne yapa bilirim. ve cd yazmalarını nasıl engellerim ?

Flashdiskleri denetim altına almak için PC lere My USB only kurabilirsin. Şifre ile USB leri kilitlemiş olursunuz ve siz
şifreyi girerek kullanabilirsiniz. Böylece sizden izinsiz Mp3 player,
flash kartlar v.s kullanamazlar .

ya aslında ben gp ile yapmalıyım bunu.

bu dosyaların security lerini edit edebilsem sorunum hallolcak. gp ile yapıyorum. çekmiyo bu ayarları. yanlıs bişeymi yapıyorum anlamadım.

bunun ile ilgili ornek varmı elinizde. kullanıcıların ou sunda yazıyorum gp yi

http://cozumpark.com/forums/post/5340.aspx  linkini incelemeni tavsiye ederim. Burada anlatılan .adm dosyası forumda olmalıydı ama onu bulamadım. Araştırırsan kolaylıkla bulabilirsin.

İncelediniz mi?

ewet inceledim cok tesekkurler, ama adm doyasını bulamadım, adm dosyasınıda baska biyerden buldum. testlerini yapıcam şimdi. cd yazamamaları ile ilgili bi yol varmı aklınızda, şu imapi cd-burning servisini diasble ediyorum ama, pc yi restart edince cekmiyo bu ayarı, cok mu beklemeliyim aca ba _?

Merhaba

http://www.omerkaradeniz.com/2008/05/30/usb-bellekleri-yasaklamak-yada-read-only-yapmak/

Linkten usb ile ilgili dosyalari reg file yapip register edebilirsiniz.

Computer Configuration > Windows Settings > Security Settings > System Services 'den "IMAPI CD-Burning Com Service" Servisini Disable Ettim.

CD Yazmalarını Engelledim.

Computer Configuration > Administrative Templates uzerine sağ tıklayıp, http://www.petri.co.il/software/usb_removable_drives_adm.zip  linkinden indirdiğim *.adm dosyasını ekledim ve Administrative Templates içine "Custom Policy Settings > Restrict Drives"  Ağacı eklendi (adm Dosyasını Notepad de açıp isimleri değiştirebiliriz) . Restrict Drives içindeki ilgili satırları etkin hale getirip combobox dan ilgili secenegi sectim

Client larda 3 - 4 kere "gpupdate /force" yapınca cekti gp leri.

Cevap yazan herkeze teşekkur ederim, sayenizde bu sorunumuda hallettim.

[URL= http://img116.imageshack.us/img116/9513/disableusbstoragemc3.th.jp g" target="_blank">http://img116.imageshack.us/img116/9513/disableusbstoragemc3.th.jp g"/> [/IMG][/URL]

Geri bildirim için biz teşekkür ederiz.

Computer Configuration > Windows Settings > Security Settings > System Services 'den "IMAPI CD-Burning Com Service" Servisini Disable Ettim.

 

CD Yazmalarını Engelledim.

Computer Configuration > Administrative Templates uzerine sağ tıklayıp, http://www.petri.co.il/software/usb_removable_drives_adm.zip  linkinden indirdiğim *.adm dosyasını ekledim ve Administrative Templates içine "Custom Policy Settings > Restrict Drives"  Ağacı eklendi (adm Dosyasını Notepad de açıp isimleri değiştirebiliriz) . Restrict Drives içindeki ilgili satırları etkin hale getirip combobox dan ilgili secenegi sectim

Client larda 3 - 4 kere "gpupdate /force" yapınca cekti gp leri.

Cevap yazan herkeze teşekkur ederim, sayenizde bu sorunumuda hallettim.

[URL= http://img116.imageshack.us/img116/9513/disableusbstoragemc3.th.jp g" target="_blank">http://img116.imageshack.us/img116/9513/disableusbstoragemc3.th.jp g"/> [/IMG][/URL]

Yukarıdaki Policy çalışıyor ama bazı durumlarda malesef usb disklerin çalıştığını gördüm. Bir şekilde policy uygulanmıyor.(Başka policyler uygulanıyor) aynı sorunu yaşayan başkaları da var mı?

Evet Rahmi hocam, sebebi şu:

USB için örnek verirsek;

Bu ADM file'ın yaptığı iş, ilgili registry anahtarı yani USBStore anahtarı altındaki Start değerini düzenlemek.

Eğer bir XP yeni kurulmuş yada kurulum yapıldığı andan itibaren herhangi bir USB Disk takılmamamış ise, USBStore anahtarı registry altında bulunmuyor. Bu anahtar ve altındaki ilgili değerler, PC ye ilk USB Diski taktığımız zamanda yaratılır.

Şimdi biz daha önce USB Disk takılmamış (yani USBStore anahtarı henüz yaratılmamış) bir PC'ye bu ADM'i uygularsak, USBStore anahtarı olmadığı için işini yapamayacak ve ayar etkili olmayacaktır.

Çözüm için:

Ayar uygulanmadan önce USBStore anahtarı ve start değeri yaratılmalı (GPO, ADM yada Script kullanarak..)

USB disk daha önce takılı. Policy'yi uygulayınca usb takınca çalışmıyor ama bir süre sonra çalışır hale geliyor. Başka bir postta da ufak bir programcık paylaşılmıştı on da da aynı şekilde. Başka diski takınca gene tanıyor. Bir süre sonra aynı usbyi de tanıyor.

Aşağıdaki ADM'i kullanıyorum ve hiç denk gelmedim. Farklı USB de taksak değişen bişey olmuyor.

http://www.serhatakinci.com/?p=248

Şunu kontrol edelim. USB taktığın zaman tanıyorsa

HKEY_LOCAL_MACHINE/ System/ CurrentControlSet/ Services/ USBSTOR altında Start değeri kaç gösteriyor?

4 olması lazım.

Aşağıdaki ADM'i kullanıyorum ve hiç denk gelmedim. Farklı USB de taksak değişen bişey olmuyor.

http://www.serhatakinci.com/?p=248

 

Şunu kontrol edelim. USB taktığın zaman tanıyorsa

HKEY_LOCAL_MACHINE/ System/ CurrentControlSet/ Services/ USBSTOR altında Start değeri kaç gösteriyor?

4 olması lazım.

Bu ayarı yapan reg file ile de(aşağıdaki) denemişti. Bir şekilde tekrardan tanıyordu.

---------- 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004

-------------------------

 İletirim buradan paylaşırım.

Bende şu anda denedim ama Rahmi hocam gibi flash takınca açılıyor.

evet ilk takıldıgında flash diski görüyor aynı diski tekrar takarsak görmüyor fakat baska bi marka flash disk takarsak yeni donanım bulundu deyip onuda yukleyince hemen acıyor

Bu olayı toplumsal bilgiislem problemi olarak görüyorum. Nasıl çzeceğiz acaba ?