Привет всем ! Господа у меня такой вопрос. Как в Active Directory осуществляется ограничение доступа пользователей к USB и сьёмным носителям ? Где это можно настроить ? И ещё можно ли логи по подключениям будь то USB или вход -выход пользователя в домен как то в нести в одну базу или чтоб логи писались на выделенный сервер ? Как мне это автоматизировать чтоб я каждый раз не мотался в AD и не смотрел кто из 200 пользователей входил кто выходил кто флешку вставлял ? Как это сделать HELP!!!
1)Для Windows Xp http://support.microsoft.com/?kbid=555324 http://support.microsoft.com/kb/823732/ru 2)Начиная с Windows Vista,то там все гораздо мощнее и проще. Computer Configuration | Administrative Templates | System | Device Installation | Device Installation Restriction 3)Как вариант установить специальный софт GFI Endpoint security Device lock 4)Для логирования USB пишите свои скрипты,которые будет скидывать на сервер.Так же возможно ПО http://www.devicelock.com/devicelock_plug_and_play_auditor.html http://www.pcausa.com/Utilities/UsbSnoop/default.htm 5)Для логированиея пользователей на вход-выход,можно через групповые политики назначить скрипты log on log off. echo %date% %username% %computername% и уже можно писать на сервер. Как вариант просмотра через AD: http://forum.sysfaq.ru/index.php?showtopic=18378
Для накопителей только через сторонее ПО или скриптами. Для пользователя,для начало включите в Group Policy Аудит входа в систему и уже через Event Log ,будете парсить данные и отправлять на сервер.
слушай а как мне из AD 2003 там 200 пользователей оперативно узнать кому предоставлен доступ на USB на чтение и на запись а кому нет ? есть ли какая нить прога которая выдёргивает настройки или может просканить и выделить в список у этих пользователей чтение у этих запись !
В этом то и дело что у нас на сервере есть ограничения на чтение и запись и чтоб не копать 200 юзеров кому что мы хотим это автоматизировать ! Как это можно сделать ?
На каком сервере?Что ограничено?У кого ограничено?На что ограниченно?Как ограниченно? Читай приведенные выше материалы,там четко написано как ограничить. PS пока не единого шага от вас про автоматизацию я не увидал.
По пользователям - будут отметки в журнале безопансости. (Пуск - Панель управления - Просмотр событий - Просмотр событий - Безопасность). Физически все журналы хранятся в папке C:\WINDOWS\system32\config с расширением .evt. Можно сразу Пуск-Выполнить-eventvwr Я не знаю политики для подключение/отключения внешнего накопителя. Скорее всего здесь _только_ внешний софт. Запись в один журнал (лог) - это тоже из серии нетривиально, особенно для системных програм/функций. А вот если пишешь свой софт, то тут проще. Существует программа eventcreate.exe, лежит в %WINDIR%/system32, вообще в этом каталоге погляди все программы по маске ev*, там же есть и пример скрипта eventquery.vbs. Вообще в плане сделать по своему в Windows, на мой взгляд, очень не просто.
Позволь я обьясню ибо правильно поставленый вопрос половина ответа ... Короче у нас сервак 2003 там AD ... сервисами самого сервера там ограничили доступ к юзеров на чтение и запись usb (до нас было)... таперь мы хотим провести аудит 200 юзеров кому какие права были даны и в последующем понимать когда кому был открыт доступ на запись-чтение когда кому закрыт ... чтоб не покупать лишние проги .. ибо бюджет нам срезали ...
Если вы скажете как это сделано, тогда и будут варианты. Просто это может быть локальная политика компьютера и из AD вы ничего не увидите. Или вообще простое приложение в памяти OS, которое блокирует обращение. Надо знать подробнее. Подозреваю что создавалась собственная политика (*.adm), тогда нужно знать что она делает и какого уровня.
Вы понимаете что пишете.У вас уже ограниченно на запись и чтение,но вы не знаете какие права выданы - это как понимать? Для начала определитесь наконец,кому нужен доступ на чтение - запись,кому нет.С помощью GP ограничиваете доступ кому надо. С помощью приведенных программ выше,логируйте что происходит с usb,у тех пользователей кому разрешено чтение-запись.
Короче прикинул тут немного, можно вешать скрипт блокировки на логон пользователя. Это будет видно в результирующей политике. Это первый этап. На втром этапе - написать скрипт, который будет агрегировать результирующие политики и делать выборку из них, либо агрегировать только те политики, где имеется соответсвующий logon скрипт. Или более эффективно, можно сам скрипт заставать писать куда-то, что я Вася Пупкин и мне нельзя трогать USB. Касаемо самого запрещающего скрипта, видел примеры блокировки USB на Delphi, значит наверняка можно переписать под vbs/wsh. Всё упирается в то, что нет стандартной групповой политики по запрету использования USB, поэтому штатными средствами для аудита наличия/отсутвия запрета вы в данной ситуации не обойдетесь (во всяком случае, без знания того, как это реализовано).
луди если памить мне не изменаит то dsquery и ldap могут искать в AD узеров по опредилним параметратм
Совершенно верно, но какие параметры у него определены для пользователя которому нельзя использовать USB - он не знает. Значит и искать нечего =) И должен ли быть этот параметр в AD он тоже не знает. Он вообще не знает как ЭТО у него работает. Мы не телепаты, к сожалению. Просто у кого-то получается использовать USB, а у кого-то нет. Теперь ему надо составить список и аудировать, кому можно, а кому нельзя. ИМХО, надо подробнее разбираться как это работает.
в таком случие пуст бирот листик , ручку, usb флешку и вперод по 200 копмутерам. думаю за один рабочий день закончит =)
Ржунимагу ..... Запрет сделан в AD а групповой политике безопасности ...там есть политика на чтение и на запись usb ..так вот можно ли мне какой нить прогой или скриптом вывести листинг кому какие права разрешены на чтение и на запись ?
