Подтвердите USB-устройство после вставки
В Windows есть ли способ программно одобрить USB-устройство после вставки, если оно определенного типа (например, съемный диск), разрешить его использование, иначе нет? Также, чтобы не разрешить запуск драйверов, разрешить использование устройства только разрешенным способом?
I.E. Мы хотим разрешить вставку USB-накопителей, но не беспокоиться об установке вируса.
РЕДАКТИРОВАТЬ Извините, я не очень ясно понял, как опубликовать этот вопрос. Да, это Windows, но меня не беспокоит автозапуск программ, он, конечно, отключен. Пользователи не смогут получить доступ к исполняемым файлам, с диска будут считываться только данные. У них не будет доступа к какому-либо пользовательскому интерфейсу, кроме разрешенного нами (это киоск). Что меня беспокоит, так это запуск драйверов устройств и установка программного обеспечения (ala U3 и другое программное обеспечение USB, которое устанавливается само, когда вы вставляете USB-накопитель). В дикой природе существует множество вирусов, которые можно запустить, просто вставив USB-накопитель в систему. Мы ограничили возможности групповой политики до уровня, который мы можем, но я не могу найти способ запретить установку драйверов без создания базового белого списка USB-накопителей, которые поставляются предустановленными, и ничто другое не будет работать (т. Е. . Не разрешать установку драйверов).
Попробуйте заглянуть в групповую политику Windows, я считаю, что XP, 2003 и 2008 могут установить это как параметр политики. Дайте нам знать, что вы найдете.
Ответы 4
Нет. Вы можете ограничить доступ к съемным носителям с помощью GPO, но вы не можете указать, какие файлы разрешены на съемном носителе и могут ли они выполняться или нет.
Обновлено: голосование за Томаса. лучший ответ, чем мой.
(Поскольку вы беспокоитесь о вирусах, я предполагаю, что мы говорим о Windows.)
Нет смысла так ограничивать пользователя. Убедитесь, что у пользователя нет прав администратора. И установите современный антивирусный сканер.
Обоснование: если вы не собираетесь разрешать даже чтение файлов, то разрешение на использование USB-накопителя в любом случае будет бесполезным. Итак, вы собираетесь разрешить чтение файлов с USB-накопителя. Но тогда кто-то уже мог установить вирус, скопировав его на локальный жесткий диск и запустив оттуда.
Также в Windows отключите автозапуск / автозапуск на USB-накопителях.
С групповой политикой: http://www.howtogeek.com/howto/windows/disable-autoplay-of-audio-cds-and-usb-drives/
В утилите TweakUI также есть опции: http://www.microsoft.com/windowsxp/Downloads/powertoys/Xppowertoys.mspx
Если это ваше собственное киоск-приложение, убедитесь, что вашему киоску назначены буквы дисков A – Z. Для доступа к USB-накопителю вам понадобится путь в формате \ ?? \ Volume {GUID} \ Filename. Но, не допуская его попадания в обычную файловую систему, вы защищены от большинства атак.
Вы никогда не будете полностью в безопасности. Как заметил Рэймонд Чен, если вы не одобряете вилки, это не очень поможет. (Физический) ущерб уже нанесен.
какая-то конкретная операционная система?