Групповые политики управления доступом к съемным носителям
В операционных системах Windows Vista и Windows Server "Longhorn" администратор с помощью групповых политик может управлять разрешениями на чтение и запись информации на любые устройства со съемными носителями. Эти политики помогают предотвратить утечку важных или конфиденциальных данных, которые могут быть записаны на съемные запоминающие устройства или на устройства со съемными носителями.
Вы можете применять эти политики как к компьютеру (одновременно ко всем пользователям компьютера), так и к отдельным пользователям. В дополнение к этому, в среде Active Directory Вы можете применять эти политики к группам пользователей, а также к большому числу компьютеров. Для получения дополнительной информации об использовании групповой политики для управления клиентскими компьютерами обратитесь к странице Групповая политика Group Policy (EN) на веб-узле Microsoft.
Важно
Групповые политики управления доступом к съемным носителям не влияют на работу приложений, выполняющихся в контексте системной учетной записи (System). К такому программному обеспечению относится, например, технология Windows ReadyBoost. Однако ограничения этих политик могут применяться к любым приложениям, выполняющимся в контексте безопасности текущей учетной записи пользователя. Например, даже если пользователь является локальным администратором, но к нему применяется политика Removable Disks: Deny write access, программа установки средства шифрования диска BitLocker не сможет использовать USB дисковод для записи ключа запуска. Во избежание подобных ситуаций Вы можете рассмотреть вариант, исключающий применение политик к пользователям, входящим в группу локальных администраторов.
В число политик группы Removable Storage Access входит параметр, позволяющий администратору выполнить принудительную перезагрузку компьютера. Если в момент применения ограничивающей политики для какого-либо устройства это устройство используется системой, данная политика может не вступить в силу до перезагрузки компьютера. Поэтому, если Вы не хотите ждать следующей перезагрузки компьютера, Вы можете использовать этот параметр для принудительной перезагрузки. Если для вступления в действие ограничивающих политик перезагрузка компьютера не требуется, данный параметр игнорируется.
Политики управления доступом к съемным носителям располагаются в двух разделах редактора объектов групповой политики. Политики раздела Computer Configuration\Administrative Templates\System\Removable Storage Access применяются к компьютеру и ко всем пользователям, работающим за ним. Политики раздела User Configuration\Administrative Templates\System\Removable Storage Access применяются к отдельным пользователям, а также к группам пользователей домена Active Directory.
Ниже представлено краткое описание групповых политик управления доступом к съемным носителям. Для каждой категории устройств существует две политики: одна запрещает доступ на чтение, другая – на запись.
- Time (in seconds) to force reboot. Эта политика задает интервал времени в секундах, после которого компьютер будет перезагружен, и выполняется только при необходимости перезагрузки, которая может потребоваться для вступления в силу политик, управляющих доступом к устройствам со съемными носителями. Принудительная перезагрузка выполняется лишь в тех случаях, когда это необходимо для вступления в силу ограничивающих политик.
Примечание
Если в момент применения политик к какому-либо устройству это устройство используется системой, а принудительная перезагрузка компьютера не задана, изменения не вступят в силу, пока компьютер не будет перезагружен. Если политики применяются к нескольким устройствам, они незамедлительно вступят в силу для всех неиспользуемых в данный момент устройств. Если какое-либо из устройств будет использоваться системой, то в случае включения администратором политики Time (in seconds) to force reboot компьютер будет перезагружен. - CD and DVD. Эта политика позволяет запретить доступ на чтение или запись ко всем приводам компакт- или DVD-дисков, включая внешние приводы, подключаемые через интерфейс USB.
Важно
Некоторые программы для записи компакт- и DVD-дисков, разрабатываемые сторонними разработчиками, могут обходить ограничения данной политики в силу своих особенностей работы с аппаратным обеспечением. Поэтому для того, чтобы исключить любую возможность записи информации на компакт- или DVD-диски, Вы можете воспользоваться групповыми политиками, запрещающими установку этих программ. - Custom Classes. Эта политика позволяет запретить доступ на чтение или запись ко всем устройствам, код GUID класса которых содержится в созданном Вами списке.
- Floppy Drives. Эта политика позволяет запретить доступ на чтение или запись ко всем дисководам гибких дисков, включая внешние дисководы, подключаемые через интерфейс USB.
- Removable Disks. Эта политика позволяет запретить доступ на чтение или запись ко всем съемным устройствам хранения данных, таким как USB-накопители или внешние жесткие диски с интерфейсом USB.
- Tape Drives. Эта политика позволяет запретить доступ на чтение или запись ко всем ленточным накопителям, включая внешние накопители, подключаемые через интерфейс USB.
- WPD Devices. Эта политика позволяет запретить доступ на чтение или запись ко всем переносным устройствам класса Windows Portable Device, таким как проигрыватели мультимедиа, мобильные телефоны, устройства Windows CE и так далее.
- All Removable Storage classes: Deny all access. Эта политика имеет самый высокий приоритет среди политик, представленных в данном списке. Если эта политика включена, она запрещает доступ на чтение и запись информации для всех устройств, определяющихся как устройства со съемными носителями. Если эта политика отключена или не задана, доступ на чтение и запись информации для классов таких устройств разрешен, а ограничения определяются остальными политиками, представленными в данном списке.