Контроль USB-накопителей¶
USB-накопители в Staffcop можно полностью заблокировать, настроить для них частичный доступ (чёрный и белый списки) или открыть только для чтения. Для настройки доступа USB-накопителей необходим их ID.
ID USB-накопителя можно определить с помощью веб-консоли Staffcop или стандартными средствами операционной системы.
ID USB-накопителя в Windows-агентах¶
В списке ID USB-накопителей возможны ID, начинающиеся с USB\… или с USBSTOR\….
Для блокировки USB-накопителей на Windows-агентах используйте ID, начинающийся на USB\….
Определение ID средствами Staffcop¶
Чтобы получить ID подключенного USB-накопителя через веб-консоль Staffcop:
В Конструкторе выберите ПК, к которому подключен накопитель.
Выберите измерение «Устройства -> Тип диска -> Removable».
В открывшемся окне в разделе «Устройства» выберите пункт «ID-устройства».
В появившемся списке представлены устройства, подключенные к выбранному ПК. Найдите устройство, ID которого начинается с USB\….
Определение ID стандартными средствами Windows¶
Запустите «Диспетчер устройств».
В пункте «Дисковые устройства», найдите подключенную флэшку и откройте её «Свойства».
На вкладке «Сведения» выберите свойство Родитель.
В окне «Значение» будет представлен ID флэшки (HardwareId).
Альтернативный вариант:
Запустите «Диспетчер устройств».
В пункте «Контроллеры USB» найдите «Запоминающее устройство для USB» (название может отличаться).
Откройте окно «Свойства».
На вкладке «Сведения» выберите свойство «Путь к экземпляру устройства»
«Значение» этого пункта - ID USB-устройства (HardwareId).
ID USB-накопителя в Linux-агентах¶
ID USB-накопителя для Linux-агентов передаётся в виде modalias:serial.
Определение ID средствами Staffcop¶
В конструкторе выберите ПК, к которому подключен USB-накопитель.
В измерении «Устройство» выберите «Устройство» и найдите флэшку по названию производителя.
В разделе «Устройства - ID-устройства» будут показаны ID всех устройств, которые подключены к выбранному ПК.
Выберите устройство с ID, начинающимся на usb:.
Определение ID средствами Linux¶
Чтобы получить modalias и serial подключенных устройств, используйте команды:
find /sys -name modalias -print0 | xargs -0 cat | sort -u
sudo lsusb -v
Также modalias и serial можно посмотреть в аналоге «Диспетчера устройств» для Linux. Все зависит от того какую оболочку вы используете.
Примечание
Дополнительную информацию о modalias можно прочитать в статье Modalias strings - a practical way to map «staff» to hardware
Блокировка USB-накопителей¶
Полная блокировка¶
Заблокировать USB-накопители можно как для конкретного компьютера, так и для определёного пользователя. Для этого отредактируйте используемую конфигурацию компьютера («Панель управления - Конфигурация компьютеров») или создайте новую конфигурацию для конкретного пользователя («Панель управления - Конфигурация пользователей - Новая»).
После этого перейдите в настройки «Устройства» и активируйте опцию «Блокировать USB-накопители».
Частичная блокировка. Чёрный и белый списки¶
Чёрный список - список заблокированных устройств. При этом устройства, которых нет в чёрном списке, могут быть подключены к компьютеру.
Белый список - список устройств, которым разрешено подключение. При этом устройства, которых нет в списке, не могут быть подключены.
Чёрный список¶
Чтобы создать чёрный список - заблокировать конкретные USB-накопители или классы USB-устройств:
Отключите опцию «Блокировать USB накопители».
Отредактируйте пункт «Правила: Блокировка - USB» («Правила: Блокировка USB-класс»): укажите ID или класс блокируемых устройств в поле «Блокировать».
При вводе ID (класса), используется поиск по всем устройствам, которые подключались к агентам. Устройства можно найти и добавить из списка.
Внимание
«Правила: Блокировка USB-класс» не используется для Linux-агентов.
Также USB-накопители можно объединять в USB-группы. Для этого в разделе «Панель управления - Устройства» найдите нужные устройства и в поле «Маркер» укажите название группы. Теперь это название можно будет использовать в разделе «Правила: Блокировка - USB группы».
Подробнее о классах и подклассах ОС Windows можно прочитать в статье Defined Class Codes .
Белый список¶
Предупреждение
Все устройства и классы устройств, не внесенные в белый список, будут заблокированы.
Чтобы разрешить подключение к компьютеру конкретных USB-накопителей:
Определите ID-устройств, которые вносите в белый список.
Выберите свою конфигурацию в разделе «Панель управления - Конфигурация компьютеров» или создайте новую в «Панель управления - Конфигурация пользователей» (в зависимости от типа блокировки).
Перейдите в настройки «Устройства».
Введите ID добавляемых устройств в поле «Разрешить».
Важно!
Устройства, не добавленные в правило «Разрешить», будут заблокированы. Обязательно создайте правило с указанием устройств, которые нельзя блокировать. Правило «Белых классов устройств». Добавьте в это правило usb-hub, клавиатуры, мыши и т.д.
ID, которые нужно добавить в правило «Белых классов»:
usb:*ic09isc00* - оставляет открытым usb-hub. Если не добавить этот ID, то заблокируются все устройства, подключенные через usb.
usb:*ic03isc* - оставляет открытыми клавиатуры и мыши. Некоторые клавиатуры и мыши могут иметь другой modalias.
Примечание
У ноутбуков некоторые устройства считаются подключенными через USB: звуковая карта, bluetooth, веб-камера… Эти устройства также нужно добавить в правило «Белых классов устройств». Для этого в строке usb:*ic03isc* вместо «3» укажите значение вашего устройства. «*» в данном случае означает любые символы в зависимости от места постановки.
«Только чтени延
Чтобы подключаемые USB-устройства переводились в режим «Только чтение», отредактируйте используемую конфигурацию компьютера или создайте новую конфигурацию для пользователя.
В настройке «Устройства USB» включите опцию USB накопители только для чтения.
Внимание
Режим «Только чтение» не позволяет составить белый список устройств для полного доступа.