может знает кто

защита на уровне винды, или групповая политика, или еще как-то. никакого специального софта не стоит.

избирательно запрещены только USB диски (усб мышь или клава - работают)
при перезагрузке с Ubuntu live cd - все флешки работают.
при загрузке в винде в Safe mode запрет тоже действует

Проверь, что в реестре (http://dontreg.ru/kak-zapretit-zapis-dannykh-na-fleshku-sredstvami-windows) выставлено.

Вот ещё. (http://www.simpletutorials.ru/sistema/kak-ogranichit-dostup-k-semnym-ustrojstvam-v-windows-7.php)

не реестр. смотрел - изменение этих параметров ни на что не влияет
похоже на групповую политику, вопрос как ее отрубить
"рассылка" групповой политики происходит через службу gpclient (или gpolclient)
вырубить или задизаблить ее у меня нет прав (хотя я являюсь локальным админом на машине)


админ как-то в разговоре сказал что, чтобы отрубить запрет, нужно загрузиться с rescue диска, и стереть какие-то два файла. какие именно - не сказал :-) . по видимому они обычному пользователю не видны.
загрузиться я могу с Ubuntu Live CD - именно так я пользуюсь флешками в обход этой политики, но это ужасно неудобно

вырубить или задизаблить ее у меня нет прав (хотя я являюсь локальным админом на машине)...Редактор групповой политики доступен в Windows 7 Professional, Windows 7 Ultimate и Windows 7 Enterprise. При использовании других версий, таких как Windows 7 Home Premium, вам может понадобиться другой софт.Они там в майкрософте белизны объелись? Совсем уже - на своей собственной машине прав нет, у Билла наверное надо разрешение купить =)).

Да реально объелись! Купил недавно ноут с семеркой, плююсь отчаянно. Оказывается, юзер с правами админа в реальности сильно ограничен в правах. Чтобы изменять файлы, надо постоянно давать подтверждение или запускать программу "от имени администратора" (что не всегда помогает). Учетка настоящего более-менее полноправного администратора вообще была не доступна без танцев. Сетевой принтер подключенный к компу с ХР установить, похоже, нельзя в принципе. Файлы по диску раскидываются без моего участия; один и тот же относительный путь, типа train\rouses\usa1\Activities\Myact.act может вести к нескольким файлам в совершенно разных папках с разными правами доступа, чтобы я случайно не порушил исходную версию (а поди разберись какой где), и т. д. и т. п. Короче разочаровался я в окнах совсем.

В поисках решений наткнулся на пост одного американца, два месяца общавшегося по телефону с официальным мелкомягким саппортом безо всякого результата и сделавшего очень точный вывод: "Microsoft believes that the only people using computers at home are just shopping and downloading pictures and porn! They must be protected from themselves (hmmm...sounds like the government)" :D

А чё вы возмущаетесь? Вообще не дело под админскими правами в системе сидеть. в мире *nix вообще адский моветон под root'ом в системе работать
Откуда по вашему столько вирья в виндах? А оттуда что у пользователя по умолчанию права на всё есть, и запуская вирус он собственными руками систему рушит т.к. права есть.
Вот и урезали, и уведомлений понавешали.

awaken, а машина домашняя или рабочая в сети AD?

Ну дык юзер юзеру рознь, никто же не запрещает создать пользователю урезанную в правах запись, пусть даже по умолчанию, но для нормальных то людей зачем административную учетку напрочь отключать?

А что до вирья так и распространенность систем ни в какое сравнение не лезет и наверняка получится как обычно - проблем юзерам, причем каждый день добавят, а вирусы как лезли, так и лезть будут.

Да реально объелись! Купил недавно ноут с семеркой, плююсь отчаянно. Оказывается, юзер с правами админа в реальности сильно ограничен в правах. Чтобы изменять файлы, надо постоянно давать подтверждение или запускать программу "от имени администратора" (что не всегда помогает). Учетка настоящего

вообще это правильно с точки зрения безопасности, чтобы какой-нить вирус (запускающийся с правами текущего пользователя) не навредил системе. но в винде это сделано криво и неудобно.
в линуксе потенциально "опасные" действия с системой делаются через sudo

Добавлено через 2 минуты

Вот и урезали, и уведомлений понавешали.

awaken, а машина домашняя или рабочая в сети AD?

машина рабочая в сети AD. Windows 7 Enterprise

политика как я понимаю, засылается на комп в момент логина. можно ли это как-то обрубить, временно отцепив сетевой шнурок ? (правда потом опять зацепится) .

пробовал в Safe mode без сети - все то же самое, запрет действует

Я, как бывший админ сети одного банка, после того как нас поимели безопастники со стандартом pci-dss категорически против того чтобы у пользователей были админские права на компе, а уж темболее против того чтобы эти пользователи ломали инфраструктуру сети.

Вопросы исключений политики должны обсуждаться с руководством путём служебных записок, а не ломанием системы.

у нас начальник по секьюрити неадекватный, к сожалению.
даже разрешение моего непосредственного руководителя о том что мне нужен доступ к USB ему не указ. как будто при наличии неограниченного интернета, и пишущих сд приводов, нельзя информацию с компа слить по другому

в мире *nix вообще адский моветон под root'ом в системе работатьНо никто не запрещает работать под root'ом. ;)

Но никто не запрещает работать под root'ом. ;)

Естественно, но вопрос не про это.

Они там в майкрософте белизны объелись? Совсем уже - на своей собственной машине прав нет, у Билла наверное надо разрешение купить =)).Может, белены? Ибо белизну есть не получится, она жидкая. :D Кроме того, Windows XP Home также не содержит редактора групповых политик, ибо в домашней системе она не нужна.

определил что там стоит DeviceLock ( процесс DLService_x64.exe )
прибить процесс не получается. где запускается он , тоже непонятно

Добавлено через 40 минут
короче, удалил я нах эту защиту.
поковырялся в реестре, удалил все ссылки на этот сервис, и на клиент групповой политики , потом загрузился с убунты и переименовал запускающиеся файлы сервиса. в результате все чисто, его нет ни в списке сервисов, ни в евент логе, ни в логе анинсталлера, как будто он вообще не существовал.

там еще какая-то фигня была, которая мониторит сервис, был ли он остановлен неавторизованным пользователем, и запоминает в реестре SID пользователя и время остановки. я просто снес эту ветку реестра куда он это пишет, и все

при наличии загрузочного СД и локальных админских прав эта защита бессмысленна.

для этого надо сидиромы снимать и дырки флешек опломбировать...

P.S. неправильные у вас админы...:D

для этого надо сидиромы снимать и дырки флешек опломбировать...

P.S. неправильные у вас админы...:D

видишь ли наша контора занимается программированием мобильных устройств (и заливка софта на девайсы происходит через USB), поэтому дырки флешек опломбировать нельзя - тогда нах вообще этот комп нужен
сидиром я бы и сам снял, ибо при наличии внешнего сиди-усб он становится ненужным

DeviceLock делает "избирательную" блокировку, блокируя только usb-диски но не блокируя остальное.
так же в нем можно выборочно "разблокировать" определенное устройство , нужное для работы (привязка к DeviceID видимо )

Да реально объелись! Купил недавно ноут с семеркой, плююсь отчаянно. Оказывается, юзер с правами админа в реальности сильно ограничен в правах. Чтобы изменять файлы, надо постоянно давать подтверждение или запускать программу "от имени администратора" (что не всегда помогает). Учетка настоящего более-менее полноправного администратора вообще была не доступна без танцев.
Создать нового пользователя админа, отключить UAC, вот и всё. Тоже мне танцы.

Сетевой принтер подключенный к компу с ХР установить, похоже, нельзя в принципе.
Принтер случаем не hp? если да, то это вы им привет передавайте. А вообще не пишите ерунды, всё ставится, даже если хрюша х86 а семёрка или 2008 х64, правда тут уже с танцами.


Файлы по диску раскидываются без моего участия; один и тот же относительный путь, типа train\rouses\usa1\Activities\Myact.act может вести к нескольким файлам в совершенно разных папках с разными правами доступа, чтобы я случайно не порушил исходную версию (а поди разберись какой где), и т. д. и т. п. Короче разочаровался я в окнах совсем.
Что то не понял о чем речь вообще, файлы сами ползают по винде?

Создать нового пользователя админа, отключить UAC, вот и всё. Тоже мне танцы.


от UAC вообще толку никакого, ибо он вынуждает пользователя тупо давить "yes" (Да, запустить) в ответ на любой запрос запуска любой программы, даже не читая

"умная" защита должна определять, запускает ли пользователь программу САМ , или она запускается без его ведома (троян-даунлоадер)

от UAC вообще толку никакого, ибо он вынуждает пользователя тупо давить "yes" (Да, запустить) в ответ на любой запрос запуска любой программы, даже не читая
Ну тех кто ничего ни читает уже ничего не спасёт. UAC предупреждает и указывает уровень угрозы один из трёх, пользователь сам решает что и как. У меня на работе, для тех кто бездумно тыкает в такие вопросы, и заразит систему или чего ещё, есть хорошее наказание. Пользователь получает систему в которой он может открыть только офис, и удалённый рабочий стол.

"умная" защита должна определять, запускает ли пользователь программу САМ , или она запускается без его ведома (троян-даунлоадер)
Вы себе интересно как это представляете? К тому же пользователь может с сайта какого нить что то не то САМ запустить. По моему мнению UAC штука умная, только если пользователь дурак, то тут его ничего не спасёт.

По моему мнению UAC штука умная, только если пользователь дурак, то тут его ничего не спасёт.Вспомнилось:

"Друг-айтишник жалуется на своих юзверей:

— Как можно быть такими тупыми?! Нужна программа с большущей кнопкой «Сделать Всю Работу» и крестиком закрытия. Но они всё равно будут плакать, что устают на работе, какие айтишники раздолбаи и до чего всё тормозит. А потом будут искать эту Самую Большую Кнопку и ныть в трубку, @#$!"
http://ithappens.ru/story/5049

Вы себе интересно как это представляете? К тому же пользователь может с сайта какого нить что то не то САМ запустить. По моему мнению UAC штука умная, только если пользователь дурак, то тут его ничего не спасёт.

можно определить родительский процесс который пытается запустить программу. пользователь обычно запускает из explorer.exe (или из cmd.exe, если через консоль ) . если же родительским процессом является что-то другое, вот тогда это подозрительно

можно определить родительский процесс который пытается запустить программу. пользователь обычно запускает из explorer.exe (или из cmd.exe, если через консоль ) . если же родительским процессом является что-то другое, вот тогда это подозрительно

Это логично, только в майкрософте тоже об этом знают =)

пользователь обычно запускает из explorer.exe (или из cmd.exe, если через консоль ) . если же родительским процессом является что-то другое, вот тогда это подозрительноВот как? Пожалуйста, процесс A.tmp (подчеркнуто красным), самый настоящий вирус, является дочерним процессом проводника, и я его не запускал:

http://s001.radikal.ru/i193/1112/6b/fc784cb9b3c9t.jpg (http://radikal.ru/F/s001.radikal.ru/i193/1112/6b/fc784cb9b3c9.png.html)

Понравилось название "производителя" - BrainDamage software. :D