Подтвердить USB-устройство после вставки
https://stackoverflow.com/questions/89663
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
В Windows есть ли способ программно одобрить USB-устройство после вставки, если оно определенного типа (скажем, съемный диск), разрешить его использование, в противном случае — нет?Также не разрешать запуск драйверов, а разрешать использовать устройство только разрешенным способом?
И.Е.Мы хотим разрешить вставку USB-накопителей, но не беспокоиться об установке вируса.
РЕДАКТИРОВАТЬ Извините, я не очень ясно выразился при публикации этого вопроса.Да, это Windows, но меня не беспокоит автозапуск программ, он конечно отключен.Пользователи не смогут получить доступ ни к каким исполняемым файлам, с диска будут считываться только данные.У них не будет доступа ни к какому пользовательскому интерфейсу, кроме разрешенного нами (это киоск).Меня беспокоят драйверы устройств, запускающие и устанавливающие программное обеспечение (например, U3 и другое программное обеспечение USB, которое устанавливается автоматически при вставке USB-накопителя).В дикой природе существует множество вирусов, которые можно запустить, просто вставив USB-накопитель в систему.Мы ограничили возможности групповой политики до возможного уровня, но я не могу найти способ запретить установку драйверов без создания базового белого списка USB-накопителей, которые поставляются предустановленными, и ничего больше не будет работать (т. е. .Запретить установку драйверов).
Решение
Если это ваше собственное киоск-приложение, убедитесь, что вашему киоску назначены буквы дисков от A до Z.Для доступа к USB-накопителю вам понадобится путь в виде \??\Volume{GUID}\Filename.Но, не допуская его попадания в обычную файловую систему, вы защищены от большинства атак.
Вы никогда не находитесь в полной безопасности.Как заметил Рэймонд Чен, если вы не одобряете форки, это не сильно поможет.(Физический) ущерб уже нанесен.
Другие советы
(Поскольку вас беспокоят вирусы, я предполагаю, что мы говорим о Windows.)
Нет смысла так ограничивать пользователя.Убедитесь, что у пользователя нет прав администратора.И установите актуальный антивирусный сканер.
Обоснование:Если вы не собираетесь разрешать даже чтение файлов, то разрешение USB-накопителя в любом случае будет бесполезным.Итак, вы собираетесь разрешить чтение файлов с USB-накопителя.Но тогда кто-то уже мог установить вирус, скопировав его на локальный жесткий диск и запустив оттуда.
Кроме того, в Windows отключите автозапуск/автозапуск на USB-накопителях.
С групповой политикой:http://www.howtogeek.com/howto/windows/disable-autoplay-of-audio-cds-and-usb-drives/
В утилите TweakUI также есть опции:http://www.microsoft.com/windowsxp/Downloads/powertoys/Xppowertoys.mspx
Нет.Вы можете ограничить доступ к съемному носителю с помощью объекта групповой политики, но не можете указать, какие файлы разрешены на съемном носителе и могут ли они выполняться или нет.
РЕДАКТИРОВАТЬ:голосую за Томаса.лучший ответ, чем мой.
