Контроль USB-накопителей

USB-накопители в Staffcop можно полностью заблокировать, настроить для них частичный доступ (чёрный и белый списки) или открыть только для чтения. Для настройки доступа USB-накопителей необходим их ID.

ID USB-накопителя можно определить с помощью веб-консоли Staffcop или стандартными средствами операционной системы.

ID USB-накопителя в Windows-агентах

В списке ID USB-накопителей возможны ID, начинающиеся с USB\… или с USBSTOR\….

Для блокировки USB-накопителей на Windows-агентах используйте ID, начинающийся на USB\….

Определение ID средствами Staffcop

Чтобы получить ID подключенного USB-накопителя через веб-консоль Staffcop:

  1. В Конструкторе выберите ПК, к которому подключен накопитель.

  2. Выберите измерение УстройстваТип дискаRemovable.

  3. В открывшемся окне в разделе Устройства выберите пункт ID-устройства.

  4. В появившемся списке представлены устройства, подключенные к выбранному ПК. Найдите устройство, ID которого начинается с USB\….

../_images/USB_control_6.png

Определение ID стандартными средствами Windows

  1. Запустите Диспетчер устройств.

  2. В пункте Дисковые устройства, найдите подключенную флэшку и откройте Свойства.

  3. На вкладке «Сведения» выберите свойство Родитель.

  4. В окне Значение будет представлен ID флэшки (HardwareId).

../_images/USB_control_8.png

Альтернативный вариант:

  1. Запустите Диспетчер устройств.

  2. В пункте Контроллеры USB найдите Запоминающее устройство для USB (название может отличаться).

  3. Откройте окно Свойства.

  4. На вкладке Сведения выберите свойство «Путь к экземпляру устройства»

  5. Значение этого пункта → ID USB-устройства (HardwareId).

../_images/USB_control_9.png

ID USB-накопителя в Linux-агентах

ID USB-накопителя для Linux-агентов передаётся в виде modalias:serial.

Определение ID средствами Staffcop

  1. В конструкторе выберите ПК, к которому подключен USB-накопитель.

  2. В измерении Устройство выберите Устройство и найдите флэшку по названию производителя.

  3. В разделе УстройстваID-устройства будут показаны ID всех устройств, которые подключены к выбранному ПК.

  4. Выберите устройство с ID, начинающимся на usb:.

../_images/USB_control_11.png

Определение ID средствами Linux

Чтобы получить modalias и serial подключенных устройств, используйте команды:

find /sys -name modalias -print0 | xargs -0 cat | sort -u

sudo lsusb -v

Также modalias и serial можно посмотреть в аналоге «Диспетчера устройств» для Linux. Все зависит от того какую оболочку вы используете.

Примечание

Дополнительную информацию о modalias можно прочитать в статье Modalias strings — a practical way to map «staff» to hardware

Блокировка USB-накопителей

Полная блокировка

Заблокировать USB-накопители можно как для конкретного компьютера, так и для определёного пользователя. Для этого отредактируйте используемую конфигурацию компьютера (Панель управленияКонфигурация компьютеров) или создайте новую конфигурацию для конкретного пользователя (Панель управленияКонфигурация пользователейНовая).

После этого перейдите в настройки Устройства и активируйте опцию Блокировать USB-накопители.

Частичная блокировка. Чёрный и белый списки

Чёрный список — список заблокированных устройств. При этом устройства, которых нет в чёрном списке, могут быть подключены к компьютеру.

Белый список — список устройств, которым разрешено подключение. При этом устройства, которых нет в списке, не могут быть подключены.

Чёрный список

Чтобы создать чёрный список, то есть заблокировать конкретные USB-накопители или классы USB-устройств:

  1. Отключите опцию Блокировать USB накопители.

  2. Отредактируйте пункт Правила: БлокировкаUSB (Правила: Блокировка USB-класс): укажите ID или класс блокируемых устройств в поле Блокировать.

При вводе ID (класса) используется поиск по всем устройствам, которые подключались к агентам. Устройства можно найти и добавить из списка.

Внимание

«Правила: Блокировка USB-класс» не используется для Linux-агентов.

Также USB-накопители можно объединять в USB-группы. Для этого в разделе Панель управленияУстройства найдите нужные устройства и в поле Маркер укажите название группы. Теперь это название можно будет использовать в разделе Правила: БлокировкаUSB группы.

Подробнее о классах и подклассах ОС Windows можно прочитать в статье Defined Class Codes .

Белый список

Предупреждение

Все устройства и классы устройств, не внесенные в белый список, будут заблокированы.

Чтобы разрешить подключение к компьютеру конкретных USB-накопителей:

  1. Определите ID-устройств, которые вносите в белый список.

  2. Выберите свою конфигурацию в разделе Панель управленияКонфигурация компьютеров или создайте новую в Панель управленияКонфигурация пользователей в зависимости от типа блокировки.

  3. Перейдите в настройки Устройства.

  4. Введите ID добавляемых устройств в поле Разрешить.

Важно!

Устройства, не добавленные в правило Разрешить, будут заблокированы. Обязательно создайте правило с указанием устройств, которые нельзя блокировать. Правило Белых классов устройств. Добавьте в это правило usb-hub, клавиатуры, мыши и т. д.

ID, которые нужно добавить в правило Белых классов:

  • usb:*ic09isc00* — оставляет открытым usb-hub. Если не добавить этот ID, то заблокируются все устройства, подключенные через usb.

  • usb:*ic03isc* — оставляет открытыми клавиатуры и мыши. Некоторые клавиатуры и мыши могут иметь другой modalias.

Примечание

У ноутбуков некоторые устройства считаются подключенными через USB: звуковая карта, bluetooth, веб-камера… Эти устройства также нужно добавить в правило Белых классов устройств. Для этого в строке usb:*ic03isc* вместо «3» укажите значение вашего устройства. Символ «*» в данном случае означает любые символы в зависимости от места постановки.

Только чтение

Чтобы подключаемые USB-устройства переводились в режим Только чтение, отредактируйте используемую конфигурацию компьютера или создайте новую конфигурацию для пользователя.

В настройке Устройства USB включите опцию USB накопители только для чтения.

Внимание

Режим Только чтение не позволяет составить белый список устройств для полного доступа.