управление доступом к usb windows

[kpect]

вопрос спецам - как управлять доступом к usb-устройствам в windows?

описываю ситуацию:

есть терминал с тачскрином и запущенной shell-программой (вместо explorer.exe). Все управление осуществляется с тачскрина, исключительно функциями shell-программы. У терминала есть usb-устройства (тачскрин, принтер и т.д.), которые должны работать, и публичный usb-порт.

если ли способ:

1) программно включать/выключать порт (или функцию определения устройства на порту)?
2) работать на этом порту только с определенным классом устройств (usb-flash drive), игнорируя подключение клавиатуры-мыши-принтера-мп3плеера и т.д.?

вроде в vista есть что-то подобное:

Посредством Групповой Политики Windows Vista позволяет системным администраторам блокировать установку неавторизованных USB-устройств в компьютер. Данная политика может применяться как к отдельному компьютеру, так и к множеству компьютеров по всей сети. У администраторов в руках находятся весьма гибкий инструмент по настройке политики запрета USB-устройств. Например, можно разрешить установку только определенного класса устройств, таких как принтеры, запретить установку любых типов USB-накопителей или запретить установку любых неавторизованных устройств. Данные политики можно перекрывать путем ввода пароля администратора для установки того или иного устройства. И, наконец, можно открывать доступ по чтению/записи к устройствам для определенных пользователей или компьютеров.

но переносить систему на vista нежелательно из-за высоких требований у нее к железу.

 

[TroyaNetz]

kpect, А под какую ось это все ставится? Какой shell конкретно? Скриншоты хоть бы прикрепил.
В Windows XP вызов груповой политики осуществляется командой "gpedit.msc" из меню "выполнить". Опиши, что уже сам пытался сделать.

 

[gavron]

Есть такая штука как Групповая политика
терминал как я понимаю находиться в локальной сети ? или он стоит отдельно ?
если в сети и имеется домен через групповые политики домена - http://www.petri.co.il/disable_usb_disks_with_gpo.htm
ну а если стоит отдельно то так же через груповые политики

 

[kpect]

kpect, А под какую ось это все ставится? Какой shell конкретно? Скриншоты хоть бы прикрепил.
В Windows XP вызов груповой политики осуществляется командой "gpedit.msc" из меню "выполнить". Опиши, что уже сам пытался сделать.

шеллом служит самописная программа, название и скриншоты вам ничего не скажут.
про gpedit.msc я в курсе, но таких политик, как в мануале по отрубанию usb в виста, в xp я не нашел.

в итоге остановился на промежуточном варианте с использованием стороннего софта (DeviceLock от ДиалогНауки)

Есть такая штука как Групповая политика
терминал как я понимаю находиться в локальной сети ? или он стоит отдельно ?
если в сети и имеется домен через групповые политики домена - http://www.petri.co.il/disable_usb_disks_with_gpo.htm
ну а если стоит отдельно то так же через груповые политики

терминал отдельно, не в домене.
По ссылке инфа интересная, но не совсем то. Хотелось бы именно adm-файл с настройками, как в висте.

Кто-нибудь в курсе, можно ли из висты экспортнуть ГП в adm-сценарий?
И заработает ли это потом на ХР?

 

[gavron]

Дак вот по ссылке там и есть адм файл там все расписано читайте внимательно

 

[kpect]

цитата по сцылке:

This tip will allow you to block usage of USB removable disks, but will continue to allow usage of USB mice, keyboards or any other USB-based device that is NOT a portable disk.

мне же надо диаметрально противоположное: оставить флешку, но запретить "usage of USB mice, keyboards or any other USB-based device that is NOT a portable disk"

вот так это делается в висте:

http://comp-lik.biz/modules/myarticles/article.php?storyid=82

 

[bizonchik]

А если без использования групповых политик?

 

[polisoft]

шеллом служит самописная программа, название и скриншоты вам ничего не скажут.
про gpedit.msc я в курсе, но таких политик, как в мануале по отрубанию usb в виста, в xp я не нашел.

в итоге остановился на промежуточном варианте с использованием стороннего софта (DeviceLock от ДиалогНауки)



терминал отдельно, не в домене.
По ссылке инфа интересная, но не совсем то. Хотелось бы именно adm-файл с настройками, как в висте.

Кто-нибудь в курсе, можно ли из висты экспортнуть ГП в adm-сценарий?
И заработает ли это потом на ХР?

Если шелл не эксплорер, про групповые политики забудь, либо не будут работать, либо будут проблемы.

DeviceLock классная программа, и для ХР нет альтернативы.

А не важно, терминал или нет. Маппинг портов по большей части зависит от
РДП-клиента. Хотя при самопальном шелле всего можно ждать.

Сравни gpedit.msc в ХР и Висте, поймешь что политики перенести невозможно.
Как в анекдоте: "Ну нет у меня холодильника ..."