Контроль USB-накопителей

USB-накопители в Staffcop можно полностью заблокировать, настроить для них частичный доступ (чёрный и белый списки) или открыть только для чтения. Для настройки доступа USB-накопителей необходим их ID.

ID USB-накопителя можно определить с помощью веб-консоли Staffcop или стандартными средствами операционной системы.

ID USB-накопителя в Windows-агентах

В списке ID USB-накопителей возможны ID, начинающиеся с USB\… или с USBSTOR\….

Для блокировки USB-накопителей на Windows-агентах используйте ID, начинающийся на USB\….

Определение ID средствами Staffcop

Чтобы получить ID подключенного USB-накопителя через веб-консоль Staffcop:

  1. В Конструкторе выберите ПК, к которому подключен накопитель.

  2. Выберите измерение «Устройства -> Тип диска -> Removable».

  3. В открывшемся окне в разделе «Устройства» выберите пункт «ID-устройства».

  4. В появившемся списке представлены устройства, подключенные к выбранному ПК. Найдите устройство, ID которого начинается с USB\….

../_images/USB_control_6.png

Определение ID стандартными средствами Windows

  1. Запустите «Диспетчер устройств».

  2. В пункте «Дисковые устройства», найдите подключенную флэшку и откройте её «Свойства».

  3. На вкладке «Сведения» выберите свойство Родитель.

  4. В окне «Значение» будет представлен ID флэшки (HardwareId).

../_images/USB_control_8.png

Альтернативный вариант:

  1. Запустите «Диспетчер устройств».

  2. В пункте «Контроллеры USB» найдите «Запоминающее устройство для USB» (название может отличаться).

  3. Откройте окно «Свойства».

  4. На вкладке «Сведения» выберите свойство «Путь к экземпляру устройства»

  5. «Значение» этого пункта - ID USB-устройства (HardwareId).

../_images/USB_control_9.png

ID USB-накопителя в Linux-агентах

ID USB-накопителя для Linux-агентов передаётся в виде modalias:serial.

Определение ID средствами Staffcop

  1. В конструкторе выберите ПК, к которому подключен USB-накопитель.

  2. В измерении «Устройство» выберите «Устройство» и найдите флэшку по названию производителя.

  3. В разделе «Устройства - ID-устройства» будут показаны ID всех устройств, которые подключены к выбранному ПК.

  4. Выберите устройство с ID, начинающимся на usb:.

../_images/USB_control_11.png

Определение ID средствами Linux

Чтобы получить modalias и serial подключенных устройств, используйте команды:

find /sys -name modalias -print0 | xargs -0 cat | sort -u

sudo lsusb -v

Также modalias и serial можно посмотреть в аналоге «Диспетчера устройств» для Linux. Все зависит от того какую оболочку вы используете.

Примечание

Дополнительную информацию о modalias можно прочитать в статье Modalias strings - a practical way to map «staff» to hardware

Блокировка USB-накопителей

Полная блокировка

Заблокировать USB-накопители можно как для конкретного компьютера, так и для определёного пользователя. Для этого отредактируйте используемую конфигурацию компьютера («Панель управления - Конфигурация компьютеров») или создайте новую конфигурацию для конкретного пользователя («Панель управления - Конфигурация пользователей - Новая»).

После этого перейдите в настройки «Устройства» и активируйте опцию «Блокировать USB-накопители».

Частичная блокировка. Чёрный и белый списки

Чёрный список - список заблокированных устройств. При этом устройства, которых нет в чёрном списке, могут быть подключены к компьютеру.

Белый список - список устройств, которым разрешено подключение. При этом устройства, которых нет в списке, не могут быть подключены.

Чёрный список

Чтобы создать чёрный список - заблокировать конкретные USB-накопители или классы USB-устройств:

  1. Отключите опцию «Блокировать USB накопители».

  2. Отредактируйте пункт «Правила: Блокировка - USB» («Правила: Блокировка USB-класс»): укажите ID или класс блокируемых устройств в поле «Блокировать».

При вводе ID (класса), используется поиск по всем устройствам, которые подключались к агентам. Устройства можно найти и добавить из списка.

Внимание

«Правила: Блокировка USB-класс» не используется для Linux-агентов.

Также USB-накопители можно объединять в USB-группы. Для этого в разделе «Панель управления - Устройства» найдите нужные устройства и в поле «Маркер» укажите название группы. Теперь это название можно будет использовать в разделе «Правила: Блокировка - USB группы».

Подробнее о классах и подклассах ОС Windows можно прочитать в статье Defined Class Codes .

Белый список

Предупреждение

Все устройства и классы устройств, не внесенные в белый список, будут заблокированы.

Чтобы разрешить подключение к компьютеру конкретных USB-накопителей:

  1. Определите ID-устройств, которые вносите в белый список.

  2. Выберите свою конфигурацию в разделе «Панель управления - Конфигурация компьютеров» или создайте новую в «Панель управления - Конфигурация пользователей» (в зависимости от типа блокировки).

  3. Перейдите в настройки «Устройства».

  4. Введите ID добавляемых устройств в поле «Разрешить».

Важно!

Устройства, не добавленные в правило «Разрешить», будут заблокированы. Обязательно создайте правило с указанием устройств, которые нельзя блокировать. Правило «Белых классов устройств». Добавьте в это правило usb-hub, клавиатуры, мыши и т.д.

ID, которые нужно добавить в правило «Белых классов»:

  • usb:*ic09isc00* - оставляет открытым usb-hub. Если не добавить этот ID, то заблокируются все устройства, подключенные через usb.

  • usb:*ic03isc* - оставляет открытыми клавиатуры и мыши. Некоторые клавиатуры и мыши могут иметь другой modalias.

Примечание

У ноутбуков некоторые устройства считаются подключенными через USB: звуковая карта, bluetooth, веб-камера… Эти устройства также нужно добавить в правило «Белых классов устройств». Для этого в строке usb:*ic03isc* вместо «3» укажите значение вашего устройства. «*» в данном случае означает любые символы в зависимости от места постановки.

«Только чтение»

Чтобы подключаемые USB-устройства переводились в режим «Только чтение», отредактируйте используемую конфигурацию компьютера или создайте новую конфигурацию для пользователя.

В настройке «Устройства USB» включите опцию USB накопители только для чтения.

Внимание

Режим «Только чтение» не позволяет составить белый список устройств для полного доступа.