Проблема такая: У нас в организации имеется учёт флеш-носителей. В компьютеры (под управлением Windows, начиная с XP) не допускается вставлять неразрешённые устройства.
Собственно, вопрос: как запретить использовать их?
Ситуация затрудняется тем, что в организации нет общей сети, то есть групповые политики/DeviceLock и прочие работают ровно до того момента, как нужно будет добавить ещё одно устройство на все компьютеры (А их, на минуточку, несколько тысяч).
Может, есть какие-нибудь решения, например, файл с указанием серийного номера, подписанный нашим ключом на скрытом разделе флешки, по которому ПО понимает, монтировать или нет?
Можно сделать чисто средствами Windows, но по опыту могу сказать, что иногда вызывает рандомные проблемы в системе.
В реестре есть ветка HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR, которая хранит сведения об установленных USB-дисках, чистим ветку, втыкаем нужные флэшки, даем установить их, а потом отбираем у пользователя права на эту ветку, Windows после этого просто не сможет установить новый диск.
Так же в системной папке есть файлик, отвечающий за что-то подобное, к нему тоже надо обрезать права после установки %\WINDOWS\Inf, файлы usbstor.inf и usbstor.pnf.
Нет, прозрачный опечатанный конверт с носителями сдаётся при выходе, проверяется наличие каждого из них по реестру. Параноидальная безопасность, итить.
У вас политика: «разрешено все, кроме… »?
Кстати, монитор фотографировать — запрещено или распечатать на принтере то, что необходимо (бинарники — в почтовом mime-формате)?
1. По условиям задачи нет общей сети. Это же не значит, что ее нет вообще? Или так и есть?
2. О том и речь. И без унифицированного хранилища данных Вам все равно не обойтись.
1. Сетей между компьютерами нет совсем. Каждая машина сама по себе.
2. Ну… можно как-то зашивать либо в скрытый раздел либо в MBR вместо загрузочной записи какой-нибудь идентификатор, привязанный к «железу» флешки. Желательно, подписанный ключом. Если он есть и совпадает, то разрешить доступ. Если нет, отключать.
Какой POST запрос если сети нет?
Ну создавайте свой шифрованный файл на флэшке открывая который сервис проверяет его валидность и ключ, причем в ключ входит размер флэшки и её серийник ну и соль какая то (можно ещё что то придумать.
Кстати, есть флэшки где серийник не переписывается утилитами.
Я бы на Вашем месте накупил флэшек с встроенным аппаратным шифрованием и внешним API, для каждого пользователя бы завел свою флэшку с паролем, написал бы сервис для винды который, при подключении, тупо пытается войти на эту флэшку по ключу и если происходит исключение, флэшка не шифрованная или ключ не тот то сразу отключать устройство. Причем пароль бы сделал из 2 х частей, специфичной для пользователя (напр ID Учетной записи в системе) и вторая часть специфичная для организации (соль)), что усложнило бы возможность несанкционированного доступа.
Но абсолютной защиты добиться трудно (и дорого), можно только максимально усложнить процедуру доступа. Если у пользователя будет стоять отладчик то поломать такую защиту не сложно.
Короче если готовы тратиться ищите аппаратное решение, их великое множество. А если не готовы ничего серьёзного у Вас не получится. Незнаю по какому стандарту строится безопасность в Вашей конторе но само наличие usb порта в компе уже говорит о том что она не высока. В нормальных конторах компы стоят в сейфах с сигналкой и доступа к портам и аппаратной части нет. Всякое копирование данных осуществляется централизованно ответственным человеком и под подпись.
Средний
