Как снять запрет доступа к USB flash в Windows 7?
 

может знает кто

защита на уровне винды, или групповая политика, или еще как-то. никакого специального софта не стоит.

избирательно запрещены только USB диски (усб мышь или клава - работают)
при перезагрузке с Ubuntu live cd - все флешки работают.
при загрузке в винде в Safe mode запрет тоже действует

Проверь, что [URL="http://dontreg.ru/kak-zapretit-zapis-dannykh-na-fleshku-sredstvami-windows"]в реестре[/URL] выставлено.

Вот [URL="http://www.simpletutorials.ru/sistema/kak-ogranichit-dostup-k-semnym-ustrojstvam-v-windows-7.php"]ещё.[/URL]

не реестр. смотрел - изменение этих параметров ни на что не влияет
похоже на групповую политику, вопрос как ее отрубить
"рассылка" групповой политики происходит через службу gpclient (или gpolclient)
вырубить или задизаблить ее у меня нет прав (хотя я являюсь локальным админом на машине)


админ как-то в разговоре сказал что, чтобы отрубить запрет, нужно загрузиться с rescue диска, и стереть какие-то два файла. какие именно - не сказал :-) . по видимому они обычному пользователю не видны.
загрузиться я могу с Ubuntu Live CD - именно так я пользуюсь флешками в обход этой политики, но это ужасно неудобно

[QUOTE]вырубить или задизаблить ее у меня нет прав (хотя я являюсь локальным админом на машине)...[/QUOTE][QUOTE]Редактор групповой политики доступен в Windows 7 Professional, Windows 7 Ultimate и Windows 7 Enterprise. При использовании других версий, таких как Windows 7 Home Premium, вам может понадобиться другой софт.[/QUOTE]Они там в майкрософте белизны объелись? Совсем уже - на своей собственной машине прав нет, у Билла наверное надо разрешение купить =)).

Да реально объелись! Купил недавно ноут с семеркой, плююсь отчаянно. Оказывается, юзер с правами админа в реальности сильно ограничен в правах. Чтобы изменять файлы, надо постоянно давать подтверждение или запускать программу "от имени администратора" (что не всегда помогает). Учетка [I]настоящего[/I] более-менее полноправного администратора вообще была не доступна без танцев. Сетевой принтер подключенный к компу с ХР установить, похоже, нельзя в принципе. Файлы по диску раскидываются без моего участия; один и тот же относительный путь, типа train\rouses\usa1\Activities\Myact.act может вести к [I]нескольким[/I] файлам в совершенно разных папках с разными правами доступа, чтобы я случайно не порушил исходную версию (а поди разберись какой где), и т. д. и т. п. Короче разочаровался я в окнах совсем.

В поисках решений наткнулся на пост одного американца, два месяца общавшегося по телефону с официальным мелкомягким саппортом безо всякого результата и сделавшего очень точный вывод: "Microsoft believes that the only people using computers at home are just shopping and downloading pictures and porn! They must be protected from themselves (hmmm...sounds like the government)" :D

А чё вы возмущаетесь? Вообще не дело под админскими правами в системе сидеть. в мире *nix вообще адский моветон под root'ом в системе работать
Откуда по вашему столько вирья в виндах? А оттуда что у пользователя по умолчанию права на всё есть, и запуская вирус он собственными руками систему рушит т.к. права есть.
Вот и урезали, и уведомлений понавешали.

awaken, а машина домашняя или рабочая в сети AD?

Ну дык юзер юзеру рознь, никто же не запрещает создать пользователю урезанную в правах запись, пусть даже по умолчанию, но для нормальных то людей зачем административную учетку напрочь отключать?

А что до вирья так и распространенность систем ни в какое сравнение не лезет и наверняка получится как обычно - проблем юзерам, причем каждый день добавят, а вирусы как лезли, так и лезть будут.

[QUOTE=E69;306403]Да реально объелись! Купил недавно ноут с семеркой, плююсь отчаянно. Оказывается, юзер с правами админа в реальности сильно ограничен в правах. Чтобы изменять файлы, надо постоянно давать подтверждение или запускать программу "от имени администратора" (что не всегда помогает). Учетка [I]настоящего[/I] [/QUOTE]

вообще это правильно с точки зрения безопасности, чтобы какой-нить вирус (запускающийся с правами текущего пользователя) не навредил системе. но в винде это сделано криво и неудобно.
в линуксе потенциально "опасные" действия с системой делаются через sudo

[size="1"][color="Silver"]Добавлено через 2 минуты[/color][/size]
[QUOTE=Garikk;306407]
Вот и урезали, и уведомлений понавешали.

awaken, а машина домашняя или рабочая в сети AD?[/QUOTE]

машина рабочая в сети AD. Windows 7 Enterprise

политика как я понимаю, засылается на комп в момент логина. можно ли это как-то обрубить, временно отцепив сетевой шнурок ? (правда потом опять зацепится) .

пробовал в Safe mode без сети - все то же самое, запрет действует

Я, как бывший админ сети одного банка, после того как нас поимели безопастники со стандартом pci-dss категорически против того чтобы у пользователей были админские права на компе, а уж темболее против того чтобы эти пользователи ломали инфраструктуру сети.

Вопросы исключений политики должны обсуждаться с руководством путём служебных записок, а не ломанием системы.

у нас начальник по секьюрити неадекватный, к сожалению.
даже разрешение моего непосредственного руководителя о том что мне нужен доступ к USB ему не указ. как будто при наличии неограниченного интернета, и пишущих сд приводов, нельзя информацию с компа слить по другому

[QUOTE=Garikk;306407]в мире *nix вообще адский моветон под root'ом в системе работать[/QUOTE]Но никто не запрещает работать под root'ом. ;)

[QUOTE=alexcat;306481]Но никто не запрещает работать под root'ом. ;)[/QUOTE]

Естественно, но вопрос не про это.

[QUOTE=Zabor;306398]Они там в майкрософте белизны объелись? Совсем уже - на своей собственной машине прав нет, у Билла наверное надо разрешение купить =)).[/QUOTE]Может, белены? Ибо белизну есть не получится, она жидкая. :D Кроме того, Windows XP Home также не содержит редактора групповых политик, ибо в домашней системе она не нужна.

определил что там стоит DeviceLock ( процесс DLService_x64.exe )
прибить процесс не получается. где запускается он , тоже непонятно

[size="1"][color="Silver"]Добавлено через 40 минут[/color][/size]
короче, удалил я нах эту защиту.
поковырялся в реестре, удалил все ссылки на этот сервис, и на клиент групповой политики , потом загрузился с убунты и переименовал запускающиеся файлы сервиса. в результате все чисто, его нет ни в списке сервисов, ни в евент логе, ни в логе анинсталлера, как будто он вообще не существовал.

там еще какая-то фигня была, которая мониторит сервис, был ли он остановлен неавторизованным пользователем, и запоминает в реестре SID пользователя и время остановки. я просто снес эту ветку реестра куда он это пишет, и все

при наличии загрузочного СД и локальных админских прав эта защита бессмысленна.

для этого надо сидиромы снимать и дырки флешек опломбировать...

P.S. неправильные у вас админы...:D

[QUOTE=Garikk;306799]для этого надо сидиромы снимать и дырки флешек опломбировать...

P.S. неправильные у вас админы...:D[/QUOTE]

видишь ли наша контора занимается программированием мобильных устройств (и заливка софта на девайсы происходит через USB), поэтому дырки флешек опломбировать нельзя - тогда нах вообще этот комп нужен
сидиром я бы и сам снял, ибо при наличии внешнего сиди-усб он становится ненужным

DeviceLock делает "избирательную" блокировку, блокируя только usb-диски но не блокируя остальное.
так же в нем можно выборочно "разблокировать" определенное устройство , нужное для работы (привязка к DeviceID видимо )

[QUOTE=E69;306403]Да реально объелись! Купил недавно ноут с семеркой, плююсь отчаянно. Оказывается, юзер с правами админа в реальности сильно ограничен в правах. Чтобы изменять файлы, надо постоянно давать подтверждение или запускать программу "от имени администратора" (что не всегда помогает). Учетка [I]настоящего[/I] более-менее полноправного администратора вообще была не доступна без танцев. [/QUOTE]
Создать нового пользователя админа, отключить UAC, вот и всё. Тоже мне танцы.
[QUOTE=E69;306403]
Сетевой принтер подключенный к компу с ХР установить, похоже, нельзя в принципе. [/QUOTE]
Принтер случаем не hp? если да, то это вы им привет передавайте. А вообще не пишите ерунды, всё ставится, даже если хрюша х86 а семёрка или 2008 х64, правда тут уже с танцами.

[QUOTE=E69;306403]
Файлы по диску раскидываются без моего участия; один и тот же относительный путь, типа train\rouses\usa1\Activities\Myact.act может вести к [I]нескольким[/I] файлам в совершенно разных папках с разными правами доступа, чтобы я случайно не порушил исходную версию (а поди разберись какой где), и т. д. и т. п. Короче разочаровался я в окнах совсем.[/QUOTE]
Что то не понял о чем речь вообще, файлы сами ползают по винде?

[QUOTE=Shney;306812]Создать нового пользователя админа, отключить UAC, вот и всё. Тоже мне танцы.
[/QUOTE]

от UAC вообще толку никакого, ибо он вынуждает пользователя тупо давить "yes" (Да, запустить) в ответ на любой запрос запуска любой программы, даже не читая

"умная" защита должна определять, запускает ли пользователь программу САМ , или она запускается без его ведома (троян-даунлоадер)

[QUOTE=awaken;306816]от UAC вообще толку никакого, ибо он вынуждает пользователя тупо давить "yes" (Да, запустить) в ответ на любой запрос запуска любой программы, даже не читая[/QUOTE]
Ну тех кто ничего ни читает уже ничего не спасёт. UAC предупреждает и указывает уровень угрозы один из трёх, пользователь сам решает что и как. У меня на работе, для тех кто бездумно тыкает в такие вопросы, и заразит систему или чего ещё, есть хорошее наказание. Пользователь получает систему в которой он может открыть только офис, и удалённый рабочий стол.
[QUOTE=awaken;306816]
"умная" защита должна определять, запускает ли пользователь программу САМ , или она запускается без его ведома (троян-даунлоадер)[/QUOTE]
Вы себе интересно как это представляете? К тому же пользователь может с сайта какого нить что то не то САМ запустить. По моему мнению UAC штука умная, только если пользователь дурак, то тут его ничего не спасёт.

[QUOTE=Shney;306830]По моему мнению UAC штука умная, только если пользователь дурак, то тут его ничего не спасёт.[/QUOTE]Вспомнилось:

"Друг-айтишник жалуется на своих юзверей:

— Как можно быть такими тупыми?! Нужна программа с большущей кнопкой «Сделать Всю Работу» и крестиком закрытия. Но они всё равно будут плакать, что устают на работе, какие айтишники раздолбаи и до чего всё тормозит. А потом будут искать эту Самую Большую Кнопку и ныть в трубку, @#$!"
[URL="http://ithappens.ru/story/5049"]http://ithappens.ru/story/5049[/URL]

[QUOTE=Shney;306830]
Вы себе интересно как это представляете? К тому же пользователь может с сайта какого нить что то не то САМ запустить. По моему мнению UAC штука умная, только если пользователь дурак, то тут его ничего не спасёт.[/QUOTE]

можно определить родительский процесс который пытается запустить программу. пользователь обычно запускает из explorer.exe (или из cmd.exe, если через консоль ) . если же родительским процессом является что-то другое, вот тогда это подозрительно

[QUOTE=awaken;306859]можно определить родительский процесс который пытается запустить программу. пользователь обычно запускает из explorer.exe (или из cmd.exe, если через консоль ) . если же родительским процессом является что-то другое, вот тогда это подозрительно[/QUOTE]

Это логично, только в майкрософте тоже об этом знают =)

[QUOTE=awaken;306859]пользователь обычно запускает из explorer.exe (или из cmd.exe, если через консоль ) . если же родительским процессом является что-то другое, вот тогда это подозрительно[/QUOTE]Вот как? Пожалуйста, процесс A.tmp (подчеркнуто красным), самый настоящий вирус, является дочерним процессом проводника, и [B]я его не запускал[/B]:

[url=http://radikal.ru/F/s001.radikal.ru/i193/1112/6b/fc784cb9b3c9.png.html][img]http://s001.radikal.ru/i193/1112/6b/fc784cb9b3c9t.jpg[/img][/url]

Понравилось название "производителя" - BrainDamage software. :D