Доступ к usb портам

Содержание

Как подключить к роутеру различные устройства

Доступ к usb портам

Что такое роутер и зачем он нужен — сегодня знают практически все: для того, чтобы«раздавать» беспроводной Интернет.

Однако многие даже не подозревают, что кромесоздания сети Wi-Fi, современные роутеры могут предоставлять еще множествовозможностей: к ним можно подключать принтеры, жесткие диски, флешки,видеокамеры и даже АТС для IP-телефонии. Зачем это все нужно и как это сделать — вэтой статье.

У вас есть внешний жесткий диск, забитый любимыми фильмами, видеоклипами и фотографиями? Если есть, то вы, возможно, задумывались о том, чтобы сделать его сетевым — то есть, подключать к ноутбуку, ПК или телевизору не физически, а по сети.

Конечно, можно присоединить его к какому-нибудь компьютеру и предоставить доступ к нему средствами системы. Но тогда этот компьютер либо должен был работать все время, либо вам придется включать его всякий раз, как потребуется доступ к какому-нибудь файлу с жесткого диска.

Ну а, подключив внешний жесткий диск к роутеру, вы получите полноценный файл-сервер без покупки дополнительного компьютера.

Обычно подключение жесткого диска к USB-порту роутера не вызывает особых проблем — сложности могут возникнуть разве что с дисками, требующими повышенного питания. В этом случае может помочь USB-разветвитель (хаб) с блоком питания.

После подключения к роутеру USB-хаба у многих возникает искушение использовать все «появившиеся» разъемы — увы, получается не у всех. Многие роутеры вообще неспособны поддерживать больше одного USB-устройства, некоторые могут поддерживать несколько, но только однотипных (например, два диска, но не диск и принтер одновременно) и т.п.

Кстати, если роутер и жесткий диск соединяются по интерфейсу USB 3, проблема нехватки питания возникает намного реже — во-первых, у USB 3 больше максимальный ток, а во-вторых, возможности этого интерфейса позволяют диску «договориться» с роутером о повышенном питании.

Так же, как внешний диск, к роутеру можно подключить и любую флешку.

После подключения диска вы можете задать к нему общий доступ — и в сети появится новое устройство, доступное всем «гаджетам», подключенным к Wi-Fi этого роутера.

На многих роутерах можно также организовать DLNA-сервер на основе подключенного жесткого диска.

DLNA (Digital Living Network Alliance) — технология, позволяющая поддерживающим её устройствам в сети получить доступ к фильмам, музыке и фотографиям, хранящимся на жестком диске сервера.

Не все смарт-телевизоры, к примеру, имеют полноценный файловый менеджер, позволяющий просматривать содержимое сетевых папок и дисков. А вот поддержку DLNA имеет большинство из них.

Так что, если вы хотите смотреть фильмы с подключенного к роутеру жесткого диска на своем телевизоре, то DLNA, определенно, следует настроить. Благо, в этом нет ничего сложного — обычно достаточно просто включить «DLNA-сервер» или «Медиа-сервер» в настройках роутера. После этого сервер с заданным именем появится в списке устройств телевизора.

Некоторые роутеры имеют встроенный торрент-клиент. При подключении к роутеру жесткого диска это позволяет возложить на него задачу по скачиванию файлов из торрент-сетей. Это может оказаться особенно полезным, если скорость скачивания по тем или иным причинам невысока: вряд ли вы будете неделями держать включенным компьютер с запущенным торрент-клиентом.

Зачем подключать к роутеру принтер? Можно же подсоединить его к компьютеру и открыть общий доступ к нему? Можно, но здесь возникают те же неудобства, что и для жесткого диска — ведь компьютер придется включать каждый раз, как потребуется распечатать документ с ноутбука или планшета. Этого недостатка лишены сетевые принтеры, которые могут подключаться к сети напрямую, но они стоят дороже.

Поэтому смысл в использовании роутера в качестве принт-сервера, несомненно, есть. Другое дело, что это не всегда возможно и может быть сопряжено с некоторыми трудностями. Для начала следует убедиться, что в вашем роутере есть принт-сервер — наличие порта USB на нем еще не говорит о том, что к нему можно подключить принтер.

Проще всего сделать это, найдя информацию о роутере на сайте производителя.

Возможно, вам потребуется обновить прошивку или установить дополнительный программный модуль.

И даже, убедившись, что поддержка принтеров на вашем устройстве есть, не спешите радоваться — надо найти еще список поддерживаемых принтеров (также на сайте производителя) и поискать в нем свой принтер. Имейте в виду, что многие МФУ, подключенные к роутеру, не смогут быть использованы в качестве сканера.

Итак, принтер в списке есть, прошивка с принт-сервером на роутер установлена, что дальше? В первую очередь, надо подключить принтер к роутеру и, открыв в браузере интерфейс роутера, убедиться, что принтер им корректно распознан. Теперь следует задать сетевое имя для принтера и открыть к нему общий доступ.

И после этого уже можно приступать к настройке подключения к принтеру на клиентах сети.

У некоторых производителей существуют специализированные утилиты для настройки подключения к принтерам — для подключения принтеров HP можно воспользоваться утилитой Smart Install с установочного диска или сайта HP, у роутеров TP-Link есть утилита USB Printer Controller (надо выбрать свою модель роутера перед скачиванием), у ASUS — Printer Setup Utility и т.п. Настройка с помощью этих утилит, как правило, сложностей не вызывает. Если же для вашего роутера нет соответствующей утилиты, можно попробовать подключить принтер самостоятельно, воспользовавшись стандартными средствами системы для подключения сетевых принтеров.

В качестве IP-адреса сетевого принтера следует указать порт самого роутера (обычно это 192.168.1.1 или 192.168.0.1), протокол лучше использовать LPR, а не Raw.

В веб-интерфейсе роутера отключите двунаправленный обмен данными для принтера. Даже при подключении МФУ, сканер которого поддерживается роутером, на период первоначальной настройки лучше отключить двунаправленный обмен и включить его уже после того, как вы проверите работу принтера.

Тут все понятно — если нет кабельного подключения к провайдеру, раздача Wi-Fi с USB-модема — наиболее распространенный (хоть и не единственный) способ обеспечить себя беспроводным подключением к Интернету.

Поддержку USB-модемов имеет большинство современных роутеров с USB-портами, для запуска модема в работу обычно потребуется только подключить его к роутеру и ввести в интерфейсе выданные провайдером параметры подключения к Интернету.

Это уже зависит от производителя. Zyxel, например, выпускает мини-АТС Keenetic Plus DECT IP-телефонии для роутеров Keenetic, подключающиеся к USB-порту и поддерживающие до 6 DECT-трубок. Отличный способ обеспечить недорогой телефонной связью небольшой офис.

Некоторые производители заявляют поддержку медиаплееров и USB-вебкамер (правда, далеко не всех подряд, а из довольно небольшого списка).

Если же вы не нашли нужного устройства в списке поддерживаемых, или хотите подключить к порту USB-роутера что-то необычное, то можно сменить стандартную прошивку роутера на OpenWRT — открытую операционную систему для маршрутизаторов.

OpenWRT снимает многие ограничения (например, на количество USB-устройств) и дает роутеру огромный диапазон возможностей.

Однако для установки и настройки этой системы вам потребуются определенные навыки и компетенции. Не пытайтесь прошивать OpenWRT, не будучи полностью уверены в том, что делаете — это может привести к поломке роутера.

Кроме USB-устройств, к роутеру (при наличии у него портов RJ-45) можно подключать различные сетевые устройства.

Разница между подключением устройства по USB и по RJ-45 состоит в том, что в первом случае роутер обеспечивает общение устройства с остальными клиентами сети, а во втором он просто транслирует на устройство сетевой трафик, «не задумываясь» о том, что оно с ним делает и делает ли вообще.

При подключении сетевых устройств никаких проблем совместимости возникнуть не может — если у него есть разъем «Ethernet», его можно подключить к роутеру и оно будет работать. Вопросы могут возникнуть, когда вы попытаетесь подключиться к устройству, и первый из них — «какой у него адрес?» Узнать это можно в интерфейсе роутера.

Скорее всего, этот адрес выдан DHCP-сервером роутера и совершенно не факт, что в следующий раз он будет тем же. Поэтому его следует сделать статическим в рамках вашей сети. Для этого определите физический MAC-адрес устройства и установите для него постоянный адрес.

И еще — если вы хотите иметь доступ к сетевым устройствам «извне», через Интернет, вам, скорее всего, потребуется «пробросить» через роутер порты до этих устройств. Как это сделать, описано здесь. Для доступа к IP-камере по протоколу RTSP вам потребуется пробросить TCP порт 554, для доступа к принтеру — порты TCP 9100 и UDP 161.

Источник: https://club.dns-shop.ru/blog/t-280-marshrutizatoryi/28728-kak-podkluchit-k-routeru-razlichnyie-ustroistva/

7 способов отключить или включить USB порты в Windows 7,8,XP

Доступ к usb портам

Иногда возникает необходимость отключить USB порты на компьютере или ноутбуке, чтобы ограничить доступ по подключению флешек, жестких дисков и других USB-устройств.

Отключение портов USB поможет предотвратить подключение каких-либо накопителей, которые могут быть использованы для кражи важной информации или стать причиной заражения компьютера вирусом и распространения вредоносного программного обеспечения по локальной сети.

Ограничение доступа к USB портам

Рассмотрим 7 способов, с помощью которых можно заблокировать USB порты:

  1. Отключение USB через настройки БИОС
  2. Изменение параметров реестра для USB-устройств
  3. Отключение USB портов в диспетчере устройств
  4. Деинсталляция драйверов контроллера USB
  5. Использование Microsoft Fix It 50061
  6. Использование дополнительных программ
  7. Физическое отключение USB портов

1. Отключение USB портов через настройки BIOS

  1. Войдите в настройки BIOS.
  2. Отключите все пункты, связанные с контроллером USB (например, USB Controller или Legacy USB Support).
  3. После того как вы сделали эти изменения, нужно сохранить настройки и выйти из БИОС. Обычно это делается с помощью клавиши F10.
  4. Перезагрузите компьютер и убедитесь, что USB порты отключены.

2. Включение и отключение USB-накопителей с помощью редактора реестра

Если отключение через БИОС вам не подходит, можете закрыть доступ непосредственно в самой ОС Windows с помощью реестра.

Приведенная ниже инструкция позволяет закрыть доступ для различных USB-накопителей (например флешек), но при этом другие устройства, такие как клавиатуры, мыши, принтеры, сканеры все равно будут работать.

  1. Откройте меню Пуск -> Выполнить, введите команду «regedit» и нажмите ОК, чтобы открыть редактор реестра.
  2. Перейдите к следующему разделу

    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ USBSTOR

  3. В правой части окна найдите пункт «Start» и два раза щелкните по нему, чтобы отредактировать. Введите значение «4» для блокировки доступа к USB-накопителям. Соответственно если вы введете опять значение «3», доступ будет вновь открыт.

Нажмите кнопку «ОК», закройте редактор реестра и перезагрузите компьютер.

! Вышеописанный способ работает только при установленном драйвере USB контроллера. Если по соображениям безопасности драйвер не был установлен, значение параметра «Start» может быть автоматически сброшено на значение «3», когда пользователь подключит накопитель USB и Windows установит драйвер.

3. Отключение USB портов в диспетчере устройств

  1. Нажмите правой кнопкой мыши на значке «Компьютер» и выберете в контекстном меню пункт «Свойства». Откроется окно в левой части которого нужно нажать на ссылку «Диспетчер устройств».
  2. В дереве диспетчера устройств найдите пункт «Контроллеры USB» и откройте его.

  3. Отключите контроллеры путем нажатия правой кнопки мыши и выбора пункта меню «Отключить».

Этот способ не всегда работает. В примере, приведенном на рисунке выше отключение контроллеров (2 первых пункта) не привело к желаемому результату.

Отключение 3-го пункта (Запоминающее устройство для USB) сработало, но это дает возможность отключить лишь отдельный экземпляр USB-накопителя.

4. Удаление драйверов контроллера USB

Как вариант для отключения портов можно просто деинсталлировать драйвер USB контроллера. Но недостатком этого способа является то, что при подключении пользователем USB-накопителя, Windows будет проверять наличие драйверов и при их отсутствии предложит установить драйвер. Это в свою очередь откроет доступ к USB-устройству.

5. Запрет пользователям подключение USB-устройств хранения данных с помощью приложения от Microsoft

Еще один способ запрета доступа к USB-накопителям – это использование Microsoft Fix It 50061 (http://support.microsoft.com/kb/823732/ru — ссылка может открываться около митуты). Суть это способа заключается в том, что рассматриваются 2 условия решения задачи:

  • USB-накопитель еще не был установлен на компьютер
  • USB-устройство уже подключено к компьютеру

В рамках данной статьи не будем детально рассматривать этот метод, тем более, что вы можете подробно его изучить на сайте Microsoft, используя ссылку приведенную выше.

Еще следует учесть, что данный способ подходит не для всех версий ОС Windows.

6. Использование программ для отключения/включения доступа к USB-устройствам хранения данных

Существует много программ для установки запрета доступа к USB портам. Рассмотрим одну из них — программу USB Drive Disabler.

Программа обладает простым набором настроек, которые позволяют запрещать/разрешать доступ к определенным накопителям. Также USB Drive Disabler позволяет настраивать оповещения и уровни доступа.

7. Отключение USB от материнской платы

Хотя физическое отключение USB портов на материнской плате является практически невыполнимой задачей, можно отключить порты, находящиеся на передней или верхней части корпуса компьютера, отсоединив кабель, идущий к материнской плате. Этот способ полностью не закроет доступ к USB портам, но уменьшит вероятность использования накопителей неопытными пользователями и теми, кто просто поленится подключать устройства к задней части системного блока.

!Дополнение

Запрет доступа к съемным носителям через редактор групповой политики

В современных версиях Windows существует возможность ограничить доступ к съемным запоминающим устройствам (USB-накопителям в том числе) с помощью редактора локальной групповой политики.

  1. Запустите gpedit.msc через окно «Выполнить»(Win + R).
  2. Перейдите к следующей ветви «Конфигурация компьютера -> Административные шаблоны -> Система -> Доступ к съемным запоминающим устройствам»
  3. В правой части экрана найдите пункт «Съемные диски: Запретить чтение».
  4. Активируйте этот параметр (положение «Включить»).

Данный раздел локальной групповой политики позволяет настраивать доступ на чтение, запись и выполнение для разных классов съемных носителей.

Источник: https://CompConfig.ru/winset/kak-otklyuchit-ili-vklyuchit-usb-portyi-v-windows.html

Проброс USB-портов из Windows 10 для удалённой работы

Доступ к usb портам

Когда человек много лет рыл бункер и запасал там продукты, он должен испытывать глубокое моральное удовлетворение, если бункер понадобился. Он будет довольный заявлять: «А я говори-и-и-ил!» То же касается и того, кто делал запасы продуктов в кладовой, когда все закупались в магазинах только на сегодня.

А вот с нашим комплексом для удалённой работы Redd как-то и не хочется злорадствовать. Он проектировался для удалёнки в мирное время. И использовался задолго до первых новостей из Китая. Давно я про него ничего не писал. Другие проекты отвлекают, да и интерес, судя по рейтингу последней из опубликованных статей, уже упал.

Сил на подготовку статьи отнимают много, и это имеет смысл делать только если оно нужно достаточному числу читателей. Но так как сейчас удалёнка у всех на устах, возникло желание поделиться одной наработкой, которая может кому-то помочь.

Это не наша разработка, я проводил исследования в рамках работы над сервисом удаленной работы с отладочными платами All-Hardware. Вот их результаты сейчас и опишу. Проект USB/IP известен многим. Но он давно свёрнут авторами. Самые свежие драйверы были под WIN7. Сегодня я опишу, где скачать вариант для WIN10, и покажу, как я его проверял.

Кроме того, разработчики современного аналога уверяют, что у них сделан не только Windows-клиент, но и Windows-сервер (правда, в этом режиме я тестирование не вёл: задача того не требовала). Но кому-то это тоже может оказаться полезным.

Введение

Сначала краткий рассказ, что такое USB/IP. Это комплекс программ, которые позволяют пробросить USB-устройство через сеть. Само устройство подключено к серверу. Клиент располагается на другой машине. При этом на клиентской машине имеется приложение, совершенно не рассчитанное на работу с сетью. Оно хочет настоящее USB-устройство.

И оно получает информацию, что это устройство подключено. На это устройство встаёт штатный драйвер. В общем, клиент считает, что он работает с локальным USB-устройством. Кто-то так пробрасывает ключи защиты. Мы же проверяли возможность удалённого доступа к JTAG-адаптеру.

Проект USB/IP активно развивался до 2013 года.

Затем Windows-ветка остановилась. В целом, был выпущен даже двоичный подписанный драйвер. Но он был под Windows 7. Linux-ветка же продолжила развитие, и этот сервис оказался встроенным в саму операционную систему. По крайней мере, в сборку Debian он точно встроен.

Причём для Linux имеется и клиент, и сервер, а для Windows исходно был сделан только клиент. Сервер под Windows сделан не был.

Существует очень хорошая статья на Хабре, которую можно использовать и как справочник по работе с данным сервисом, и как отзыв о работе с ним.

Вариант под актуальную версию Windows

Но как бы ни была хороша Windows 7, а она уже мертва. В рамках работ над All-Hardware мы рассматривали разные варианты решения одной из проблем, и надо было просто проверить ряд альтернатив по принципу «подойдёт — не подойдёт». Тратить много человеко-часов на проверку было невозможно.

А переделка драйвера под Windows 10 могла затянуть в себя. Поэтому был проведён поиск в сети, который вывел на проект usbip-win. На момент его обнаружения свежий вариант был датирован 23 февраля 2020 года, то есть проект живой. Он может быть собран и под WIN7, и под WIN10.

К тому же, в отличие от оригинального проекта, может быть собран не только Windows-клиент, но и Windows-сервер.

Я проверил, проект прекрасно собирается и устанавливается, поэтому дальнейшая работа велась с ним.

В файле readme есть ссылка на готовый двоичный код для тех, кто не хочет самостоятельно производить сборку.

Грустная часть проверки: серверная часть

Сначала я расскажу, как проводилась проверка в рамках нашего проекта. Там всё кончилось не очень хорошо. Проверяли адаптер ST-LINK, установленный в корпус комплекса Redd, благо я уже отмечал, что в комплексе используется ОС Linux сборки Debian, а эта сборка содержит встроенный сервис USB/IP.

Согласно статье, устанавливаем сервис: sudo apt-get update sudo apt-get upgrade sudo apt-get install usbip
Дальше в статье подробно рассказано, как автоматизировать процесс загрузки сервиса. Как я разбираюсь в Линуксе, я уже многократно писал. Плохо разбираюсь. У меня нет привычки с умным лицом цитировать чужие тексты, слабо понимая суть.

Поэтому я ещё раз напомню ссылку на замечательную статью, где всё рассказано, а сам покажу, что делал я при каждом старте ОС (благо всё было нужно только для проверки): sudo modprobe usbip-coresudo modprobe usbip-hostsudo usbipd -D Назначение первых двух из вышеприведённых заклинаний мне неизвестно, но без них не создаются какие-то каталоги, а без этих каталогов потом не будет экспорта USB-порта. Каталоги создаются только до перезапуска системы. Так что создавать их надо каждый раз. Третья строка — с нею всё понятней, она запускает сервис. Теперь смотрим, как зовут устройство: user@redd:~$ sudo usbip list -l- busid 1-3 (046d:082d) Logitech, Inc. : HD Pro Webcam C920 (046d:082d) – busid 1-4 (1366:0101) SEGGER : J-Link PLUS (1366:0101) – busid 1-5.1 (067b:2303) Prolific Technology, Inc. : PL2303 Serial Port (067b:2303) – busid 1-5.4.1.1 (0483:5740) STMicroelectronics : STM32F407 (0483:5740) – busid 1-5.4.1.3 (0483:3748) STMicroelectronics : ST-LINK/V2 (0483:3748) Получается, что нам нужно устройство и busid, равным 1-5.4.1.3. Даём команду: sudo usbip bind –busid=1-5.4.1.3 Всё, сервер готов к работе.

Грустная часть проверки: клиентская часть

В Windows устанавливаем драйвер (делаем это только один раз, дальше он будет всегда установлен). Для этого запускаем от имени администратора файл usbip.exe с аргументом install:

usbip.exe install

Теперь смотрим, доступно ли нам устройство: usbip.exe list –remote=192.168.10.123 Убеждаемся, что оно присутствует в списке. Ну, и подключаем его: usbip.exe attach –remote=192.168.10.123 –busid=1-5.4.1.3 В менеджере устройств появляется новое USB-устройство, Keil его прекрасно видит… Но на этом всё приятное кончается. Небольшая программа заливается во флэшку около минуты. Попытки шагать по строкам идут от 5 до 20 секунд на каждую строку. Это неприемлемо. Во время паузы в обе стороны идёт трафик примерно 50 килобит в секунду. Долго и вдумчиво идёт. Честно говоря, ограничение по времени привело к тому, что я только предполагаю, почему всё было так плохо. Подозреваю, что там по сети бегает JTAG-трафик. А он бегает небольшими пакетами в обе стороны, отсюда и проблемы. Так было завершено исследование с результатом: «Для проекта не подходит».

Более весёлая часть: подготовка

Ещё тогда мне запало в голову, что я краем глаза видел, что в JTAG-адаптере CMSIS DAP по USB ходит не чистый JTAG-трафик, а команды. Сам JTAG-трафик формируется уже внутри адаптера. Давно хотел проверить это, да всё руки не доходили. Массовый перевод на удалёнку заставил это сделать (возникла задачка).

Что такое CMSIS DAP? Это JTAG-адаптер, рекомендованный самой компанией ARM для контроллеров Cortex-M. Исходные коды для разных контроллеров выложены на GitHub, можно спаять адаптер на базе любого из них. Я сейчас дам ссылку на клон проекта, адаптированный под макетную плату «Голубая пилюля»: https://github.

com/x893/CMSIS-DAP, но поисковые системы могут вывести и на официальный аккаунт ARM. Чтобы не тратить на сервер целую PC, для проверки, я сделал этакий комплекс Yelloww (чисто по цвету пластика, из которого сделан корпус): Роль сервера выполняет Raspberry Pi с установленной ОС Raspbian (это тот же Debian, а значит, там имеется требуемый сервер).

Одна из «голубых пилюль» выступает в роли адаптера CMSIS DAP, вторая — в роли отлаживаемого устройства. Точно так же ставим и настраиваем сервис. Разве что здесь список устройств, допустимых к экспорту, намного скромнее: pi@raspberrypi:~ $ sudo usbip list -l – busid 1-1.1 (0424:ec00) Standard Microsystems Corp.

: SMSC9512/9514 Fast Ethernet Adapter (0424:ec00) – busid 1-1.4 (c251:f001) Keil Software, Inc. : unknown product (c251:f001) Понятно, что здесь экспортируем и импортируем устройство busid=1-1.4. И вот тут конкретно с CMSIS DAP у меня периодически возникает небольшая проблемка.

В менеджере устройств я вижу такую неприятность: Напомню, что статья пишется по принципу «Лучше неплохая, но сегодня, чем идеальная, но завтра». Проблемы удалённой работы возникают прямо сейчас. Надеюсь, в обозримом будущем они уже будут не актуальны. А пока актуальны — показываю, как я обхожу данную проблему вручную.

Сначала я отключаю устройство: Затем сразу же включаю: И оно начинает работать без проблем. В Keil меняем отладчик на CMSIS DAP: И вот он: При работе по локальной сети всё просто летает. Но понятно, что локальная сеть никому не интересна.

Я попробовал пробросить порт устройства у себя дома, а затем удалённо зайти на машину на работе и потрассировать «прошивку» оттуда. Связь у моего домашнего провайдера весьма и весьма тормозная, особенно — от меня наружу. Прошивается контроллер примерно втрое медленнее, чем при прямом подключении к USB. Трассировка… Ну около секунды на строку, точно не больше. В общем, терпимо. С хорошими провайдерами, надеюсь, будет лучше.

Заключение

Проект usbip-win является современной заменой для проекта USB/IP. Он живёт и развивается. При этом он предоставляет для ОС Windows не только функцию клиента, но и функцию сервера. Совместимость с Linux-версией сохранена. Устойчивость работы удалённого USB-устройства неожиданно поразила.

Я был уверен, что возникнут таймауты. Возможно, где-то они и возникнут, но для JTAG-адаптеров не было замечено ни одного сбоя. К сожалению, не все USB-устройства могут быть проброшены через сеть по причине низкого быстродействия получившейся системы.

Но в случае с JTAG-адаптерами можно рассмотреть альтернативные вещи. В частности, CMSIS-DAP вместо ST-LINK. Оба рассмотренных проекта (usbip-win и CMSIS-DAP) могут быть скачаны с GitHub в виде исходных кодов.

Если это поможет кому-то организовать удалённый доступ к оборудованию, я буду рад.

Использование Raspberry Pi позволит бросить оборудование в произвольных местах.

Хабы:

Источник: https://habr.com/ru/post/493630/

Запрет использования USB накопителей с помощью групповых политик (GPO) Windows

Доступ к usb портам

При подключении нового USB устройства к компьютеру, Windows автоматически определяет устройство и устанавливает подходящий драйвер. В результате пользователь практически сразу может использовать подключенное USB устройство или накопитель.

В некоторых организациях для предотвращения утечки конфиденциальных данных и заражения компьютеров вирусами, возможность использования переносных USB накопителей (флешки, USB HDD, SD-карты и т.п) блокируют из соображений безопасности.

В этой статье мы покажем, как с помощью групповых политик (GPO) заблокировать возможность использования внешних USB накопителей в Windows, запретить запись данных на подключенные флешки и запуск исполняемых файлов.

Настройка групповых политик управления доступом к внешним USB носителям в Windows

Во всех версиях Windows, начиная с Windows 7, вы можете гибко управлять доступом к внешним накопителям (USB, CD / DVD и др.

) с помощью групповых политик (мы не рассматриваем радикальный способ отключения USB портов через настройки BIOS). Возможно программное запретить использование только USB накопителей.

При этом вы можете использовать другие USB устройства такие как мышь, клавиатура, принтер и т.д, которые не определяются как съемный диск.

Групповые политики блокировки USB устройств будут работать, если инфраструктура вашего домена Active Directory соответствует следующим требованиям:

  • Версия схемы Active Directory — Windows Server 2008 или выше . Набор политик, позволяющий полноценно управлять установкой и использованием съемных носителей в Windows, появился только в этой версии AD (версия схемы 44).
  • Клиентские ОС – Windows 7 и выше
  • Итак, мы планируем запретить использование USB накопителей на всех компьютерах в определенном контейнере (OU) домена (можно применить политику запрета использования USB ко всему домену, но это затронет в том числе сервера и другие технологические устройства). Предположим, мы хотим распространить действие политики на OU с именем Workstations.

    Для этого, откройте консоль управления доменными GPO (gpmc.

    msc) и, щелкнув ПКМ по OU Workstations, создайте новую политику (Create a GPO in this domain and Link it here).

    Задайте имя политики —  Disable USB Access.

    Перейдите в режим редактирования GPO (Edit).

    Настройки блокировки внешних запоминающих устройства есть как в пользовательском, так и в компьютерных разделах GPO:

    • User Configuration-> Policies-> Administrative Templates-> System->Removable Storage Access (Конфигурация  пользователя -> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам);
    • Computer Configuration-> Policies-> Administrative Templates-> System-> Removable Storage Access (Конфигурация компьютера-> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам).

    Если нужно заблокировать USB накопители для всех пользователей компьютера, нужно настроить параметры в разделе “Конфигурация компьютера”.

    В разделе “Доступ к съемным запоминающим устройствам” (Removable Storage Access) есть несколько политик, позволяющих отключить возможность использования различных классов устройств хранения: CD/DVD дисков, флоппи дисков (FDD), USB устройств, ленты и т.д.

    • Компакт-диски и DVD-диски: Запретить выполнение (CD and DVD: Deny execute access).
    • Компакт-диски и DVD-диски: Запретить чтение (CD and DVD: Deny read access).
    • Компакт-диски и DVD-диски: Запретить запись (CD and DVD: Deny write access).
    • Специальные классы: Запретить чтение (Custom Classes: Deny read access).
    • Специальные классы: Запретить запись (Custom Classes: Deny write access).
    • Накопители на гибких дисках: Запретить выполнение (Floppy Drives: Deny execute access).
    • Накопители на гибких дисках: Запретить чтение (Floppy Drives: Deny read access).
    • Накопители на гибких дисках: Запретить запись (Floppy Drives: Deny write access).
    • Съемные диски: Запретить выполнение (Removable Disks: Deny execute access).
    • Съемные диски: Запретить чтение (Removable Disks: Deny read access).
    • Съемные диски: Запретить запись (Removable Disks: Deny write access).
    • Съемные запоминающие устройства всех классов: Запретить любой доступ (All Removable Storage classes: Deny all access).
    • Все съемные запоминающие устройства: разрешение прямого доступа в удаленных сеансах (All Removable Storage: Allow direct access in remote sessions).
    • Ленточные накопители: Запретить выполнение (Tape Drives: Deny execute access).
    • Ленточные накопители: Запретить чтение (Tape Drives: Deny read access).
    • Ленточные накопители: Запретить запись (Tape Drives: Deny write access).
    • WPD-устройства: Запретить чтение (WPD Devices: Deny read access) – это класс портативных устройств (Windows Portable Device). Включает в себя смартфоны, планшеты, плееры и т.д.
    • WPD-устройства: Запретить запись (WPD Devices: Deny write access).

    Как вы видите, для каждого класса устройств вы можете запретить запуск исполняемых файлов (защита от вирусов), запретить чтение данных и запись/редактирование информации на внешнем носителе.

    Максимальная ограничительная политика — All Removable Storage Classes: Deny All Access (Съемные запоминающие устройства всех классов: Запретить любой доступ) – позволяет полностью заблокировать доступ с компьютера к любым типам внешних устройств хранения. Чтобы включить эту политику, откройте ее и переведите в состояние Enable.

    После активации политики и обновления ее на клиентах (gpupdate /force) внешние подключаемые устройства (не только USB устройства, но и любые внешние накопители) будут определять ОС, но при попытке их открыть появится ошибка доступа:

    Location is not available
    Drive is not accessible. Access is denied

    В этом же разделе политик можно настроить более гибкие ограничения на использование внешних USB накопителей.

    К примеру, чтобы запретить запись данных на USB флешки, и другие типы USB накопителей, достаточно включить политику Removable Disk: Deny write access (Съемные диски: Запретить запись).

    В этом случае пользователи смогут читать данные с флешки, но при попытке записать на нее информацию, получат ошибку доступа:

    Destination Folder Access Denied
    You need permission to perform this action

    С помощью политики Removable Disks: Deny execute access (Съемные диски: Запретить выполнение) можно запретить запуск с USB дисков исполняемых файлов и файлов сценариев.

    Как заблокировать USB накопители только определенным пользователям?

    Довольно часто необходимо запретить использовать USB диски всем пользователям компьютера, кроме администраторов (или другие исключения в политики блокировки USB накопителей).

    Проще всего это реализуется с помощью использования Security Filtering в GPO. Например, запретить применять политику блокировки USB к группе администраторов домена.

    1. Выберите в консоли Group Policy Management вашу политику Disable USB Access;
    2. В разделе Security Filtering добавьте группуDomain Admins;
    3. Перейдите на вкладку Delegation, нажмите на кнопкуAdvanced. В редакторе настроек безопасности, укажите что, группе Domain Admins запрещено применять данную GPO (Apply group policy – Deny).

    Может быть другая задача — нужно разрешить использование внешних USB накопителей всем, кроме определённой группы пользователей.

    Создайте группу безопасности “Deny USB” и в настройках безопасности политики добавить эту группу.

    Для этой группы выставите разрешения на чтение и применение GPO, а у группы Authenticated Users или Domain Computers оставить только разрешение на чтение (сняв галку у пункта Apply group policy).

    Гибкое управление доступом к USB накопителям через реестр и GPO

    Более гибко управлять доступом к внешним устройствам можно с помощью настройки параметров реестра, которые задаются рассмотренными выше политиками через механизм Group Policy Preferences (GPP).

    Всем указанным выше политикам соответствуют определенные ключи реестра в ветке HKLM (или HKCU) \SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices (по умолчанию этого раздела в реестре нет).

    Чтобы включить ту или иную политику нужно создать в указанном ключе новую ветку с именем класса устройств, доступ к которым нужно заблокировать (столбец 2) и параметром REG_DWORD с типом ограничения Deny_Read (запрет чтения), Deny_Write (запрет записи) или Deny_Execute (запрет выполнения).

    Если значение параметра равно 1—  ограничение активно, если 0 – запрет использования данного класса устройств не действует.
    Имя политикиПодветка с именем Device Class GUIDИмя параметра реестра
    Floppy Drives:
    Deny read access
    {53f56311-b6bf-11d0-94f2-00a0c91e8b}Deny_Read
    Floppy Drives:
    Deny write access
    {53f56311-b6bf-11d0-94f2-00a0c91e8b}Deny_Write
    CD and DVD:
    Deny read access
    {53f56308-b6bf-11d0-94f2-00a0c91e8b}Deny_Read
    CD and DVD:
    Deny write access
    {53f56308-b6bf-11d0-94f2-00a0c91e8b}Deny_Write
    Removable Disks:
    Deny read access
    {53f5630d-b6bf-11d0-94f2-00a0c91e8b}Deny_Read
    Removable Disks:
    Deny write access
    {53f5630d-b6bf-11d0-94f2-00a0c91e8b}Deny_Write
    Tape Drives:
    Deny read access
    {53f5630b-b6bf-11d0-94f2-00a0c91e8b}Deny_Read
    Tape Drives:
    Deny write access
    {53f5630b-b6bf-11d0-94f2-00a0c91e8b}Deny_Write
    WPD Devices:
    Deny read access
    {6AC27878-A6FA-4155-BA85-F98F491D4F33}
    {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE}
    Deny_Read
    WPD Devices:
    Deny write access
    {6AC27878-A6FA-4155-BA85-F98F491D4F33}
    {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE}
    Deny_Write

    Указанные ключи реестра и параметры можно создать вручную. На скриншоте ниже я создал ключ RemovableStorageDevices, а в нем подраздел с именем {53f5630d-b6bf-11d0-94f2-00a0c91e8b}. С помощью REG_DWORD параметров я запретил запись и запуск исполняемых файлов с USB накопителей.

    С помощью данных ключей реестра и возможностями нацеливания политик GPP с помощью Item-level targeting вы сможете гибко применять политики, ограничивающие использование внешних устройств хранения. Вы можете применять политики к определённым группам безопасности AD, сайтам, версиям ОС, OU и другим характеристикам компьютеров (вплоть до возможности выборки компьютеров через WMI фильтры).

    Например, можно создать доменную группу Storage-Devices-Restrict и добавьте в нее учетные записи компьютеров, на которых нужно ограничить исопльзование USB накопителей. Эта группа указывается в вашей политике GPP в секции Item Level Targeting -> Security Group с опцией Computer in Group. В результате политика блокировки USB будет применяться к компьютерам, добавленным в эту группу AD.

    Полное отключение USB Storage Driver через реестр

    Вы можете полностью отключить драйвер USBSTOR (USB Mass Storage Driver), который необходим для корректного определения и монтирования USB устройств хранения.

    На отдельно стоящем компьютере вы можете отключить этот драйвер, изменив значение параметра Start (тип запуска) с 3 на 4. Можно это сделать через PowerShell командой:

    Set-ItemProperty “HKLM:\SYSTEM\CurrentControlSet\services\USBSTOR” -name Start -Value 4

    Перезагрузите компьютер и попробуйте подключить USB накопитель. Теперь он не должен появиться в проводнике или консоли управления дисками, а в диспетчере устройств вы увидите ошибку установки драйвера устройства.

    С помощью Group Policy Preferences вы можете отключить запуск драйвера USBSTOR на компьютерах домена. Для этого нужно внести изменения в реестр через GPO.

    Эти настройки можно распространить на все компьютеры. Создайте новую групповую политику, назначьте ее на OU с компьютерами и в разделе Computer Configuration ->Preferences ->Windows Settings ->Registry создайте новый параметр со значениями:

    • Action: Update
    • Hive: HKEY_LOCAK_MACHINE
    • Key path: SYSTEM\CurrentControlSet\Services\USBSTOR
    • Value name: Start
    • Value type: REG_DWORD
    • Value data: 00000004

    Разрешить подключение только определенной USB флешки

    С помощью определённой настройки реестра можно разрешить подключение только определённой (одобренной) USB флешки к компьютеру. Вкратце рассмотрим, как это можно настроить.

    При подключении любого USB накопителя к компьютеру, драйвер USBSTOR устанавливает устройство и создает в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR отдельную ветку. в которой содержится информация о накопителе (например,  Disk&Ven_Kingstom&Prod_DT_1010_G2&Rev_1.00).

    Вы можете удалить все разделы реестра для подключенных ранее USB флешек, кроме тех, которые вам нужны.

    Затем нужно изменить разрешения на ветку реестра USBSTOR так, чтобы у всех (в том числе (SYSTEM и администраторов) были только права на чтение. В результате при подключении любой USB накопителя, кроме разрешенного, Windows не сможет установить устройство.

    Источник: https://winitpro.ru/index.php/2015/09/22/otklyuchenie-usb-nakopitelej-cherez-gruppovye-politiki-gpo/

    Поделиться:
    Нет комментариев

      Добавить комментарий

      Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.