MegaLab.it

Devo disabilitare il riconoscimento delle chiavette Usb su un windows xp pro sp2, avevo trovato questa modifica al registro che funziona a patto di utilizzare sempre le stesse chiavette sul pc.
Appena colleghi una chiavetta mai usata sul quel pc il valore "Start"=dword:00000004 ritorna a tre e la chiavetta nuova, poi anche tutte quelle che colleghi, viene aperta senza problemi.
Come faccio a bloccare questa modifica e a non fargli mai riconoscere nessuna chiavetta usb collegata?
Non vorrei disabilitare fisicamente le porte usb.
Qualche idea?
Grazie

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\
00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB Mass Storage Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum]
"Count"=dword:00000000
"NextInstance"=dword:00000000

Questo coso dovrebbe disabilitare le memorie di massa:
http://www.instantfundas.com/2010/04/pe ... ant+Fundas)

ste_95 ha scritto:Questo coso dovrebbe disabilitare le memorie di massa:
http://www.instantfundas.com/2010/04/pe ... ant+Fundas)

direi invece che disabilita le porte usb.

hai fatto un tentativo con Tweak UI? non ricordo se ha una funzione del genere, al limite se non puoi disattivarla puoi provare a nasconderla

Credo e spero che possano fare al caso tuo (diversamente, dovrei averne altri in magazzino ).

• USB Manager;
• USB Blocker.

Ho messo i collegamenti a Softpedia, così puoi vedere il rating degli altri utenti e delle snapshot esplicative.

Se hai difficoltà a reperirli (alcune volte i siti di riferimento spariscono), posso trasferirteli io.

Modifica questa chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies trova la chiave Writeprotect e modificala a 1

MIKI.68 ha scritto:Modifica questa chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies trova la chiave Writeprotect e modificala a 1

Questa dovrebbe bloccare la scrittura delle chiavette, non li riconoscimento.
Io voglio che proprio non vengano viste.
Ho trovato che è possibile bloccare i permessi a due file, devo vedere se funziona.
Non vorrei installare programmi.

se le macchine si trovano in dominio, qui ci sono delle interessanti soluzioni, solo non mi è chiaro cosa intendano con disabilitare le pendrive (la porta o solamente i dispositivi di mass storage)

http://en.kioskea.net/forum/affich-3698 ... g-pendrive
http://diaryproducts.net/about/operatin ... usb_sticks
http://www.mydigitallife.info/2008/06/2 ... n-windows/

crazy.cat ha scritto:

MIKI.68 ha scritto:Modifica questa chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies trova la chiave Writeprotect e modificala a 1

Questa dovrebbe bloccare la scrittura delle chiavette, non li riconoscimento.

Confermo. Ho fatto la modifica indicata sulla chiave di registro del mio S.O. (WinVista, ma credo che su XP sia la stessa cosa) e, dopo aver riavviato, mi veniva impedito di scrivere sulla periferica USB attaccata (comunque regolarmente vista e riconosciuta).

crazy.cat ha scritto:Io voglio che proprio non vengano viste. ... Non vorrei installare programmi.

Ok, capito. Allora fai una prova su una macchina muletto poi, per capire come e dove agiscono a livello di registro i programmi da me indicati (che credo svolgano le funzioni da te richieste), puoi utilizzare RegShot (QUI su Softpedia; consente di fare una foto prima e dopo la cura, evidenziando le differenze, quindi le chiavi dove si è operato).

modifica postuma
C'è anche questo programma per eventuali foto prima e dopo: SpyMe Tools (anche in versione portable).

Lavorare tramite le policy locali potrebbe essere una soluzione? http://www.petri.co.il/disable_usb_disks_with_gpo.htm

In particolare, leggo:

This tip will allow you to block usage of USB removable disks, but will continue to allow usage of USB mice, keyboards or any other USB-based device that is NOT a portable disk.

Zane ha scritto:Lavorare tramite le policy locali

credo sia l'unica soluzione se non si vogliono installare software di terze parti ed infatti i tre link che ho fornito sopra si basano su questo approccio

E' questa che devo provare domani (se mi lasciano in pace)
http://support.microsoft.com/default.as ... -us;823732

Fatemi capire, Microsoft ha preparato un eseguibile per svolgere tutto il lavoro?

Mi dà l'idea di un cambio di politica.
Se trovo un po' di tempo, provo a vedere le eventuali chiavi di registro sulle quali operano i software che ho segnalato. Per curiosità.

http://www.MegaLab.it/3986/microsoft-ri ... gli-utenti

crazy.cat ha scritto:E' questa che devo provare domani (se mi lasciano in pace)
http://support.microsoft.com/default.as ... -us;823732

Alla fine è la stessa soluzione proposta dalla Microsoft, si blocca l'accesso ai file usbstor.inf e usbstor.pnf e quando si collega una chiavetta chiede l'autorizzazione dell'amministratore.

Zane ha scritto:Lavorare tramite le policy locali potrebbe essere una soluzione? http://www.petri.co.il/disable_usb_disks_with_gpo.htm

Il sistema funziona.

Il sistema funziona.

Molto bene. Non mancherò di utilizzare il metodo ai PC dell'ufficio sempre pieni di virus a causa delle famigerate chiavette USB

Oggi mi sono preso un po' di tempo (poco ... ) e svolto le prove come promesso.
Sul mio WinVista Business funziona. Ossia: riesco a disabilitare/abilitare (a caldo, senza riavvio) le periferiche di archiviazione USB (non altri supporti USB!) semplicemente operando sulla seguente chiave di registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR.

• Con il "Start"=dword:00000003 il riconoscimento dei supporti di archiviazione USB è abilitato;
• con "Start"=dword:00000004 il riconoscimento di quanto sopra è disabilitato.

Risalendo di un ramo (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\) si trovano molte altre cose interessanti (possibilità, con la stessa metodica, di abilitare/disabilitare supporti USB di vario tipo).

Vi allego i due reg per fare le prove. Spero che funzioni un po' per tutti.

markinson ha scritto:Oggi mi sono preso un po' di tempo (poco ... ) e svolto le prove come promesso.
Sul mio WinVista Business funziona. Ossia: riesco a disabilitare/abilitare (a caldo, senza riavvio) le periferiche di archiviazione USB (non altri supporti USB!) semplicemente operando sulla seguente chiave di registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR.

• Con il "Start"=dword:00000003 il riconoscimento dei supporti di archiviazione USB è abilitato;
• con "Start"=dword:00000004 il riconoscimento di quanto sopra è disabilitato.

Non basta. Questa modifica disabilita le chiavette già usate su quel pc in passato, se tu attacchi una chiavetta mai usata parte il riconoscimento nuovo hw, rimette il valore di registro a 3 e ti legge la chiavetta senza problemi.
L'unico modo per fare il blocco totale e agire sui permessi di scrittura dei due file
* %SystemRoot%\Inf\Usbstor.pnf
* %SystemRoot%\Inf\Usbstor.inf
Allora il blocco è totale.

crazy.cat ha scritto:... Non basta. Questa modifica disabilita le chiavette già usate su quel pc in passato, se tu attacchi una chiavetta mai usata parte il riconoscimento nuovo hw, rimette il valore di registro a 3 e ti legge la chiavetta senza problemi. ...

Hai ragione.
Ho fatto le prove con una penna USB già vista dal sistema. Vorrà dire che il prossimo fine settima, ripeterò l'esperimento ( ) con una chiavetta nuova.
Grazie delle tue indicazioni.

Siccome sono testardo, eccovi alcune considerazioni, tanto per il gusto di farle, non con l'intento di correggere il tiro sulla soluzione già fornita da crazy.cat.
Preciso e mi scuso: non avevo letto a fondo tutti gli interventi e tutti i link; se l'avessi fatto mi sarei accorto che il mio ultimo intervento era già superato da tempo.

Vado alla sostanza, altrimenti ci faccio notte. S.O.: Windows Vista Business.
Il problema della chiave di registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR e del valore "Start"=dword:00000004 (condizione in cui è disabilitato il riconoscimento delle periferiche di archiviazione USB già viste dalla macchina) ovvero "Start"=dword:00000003 (condizione in cui è abilitato il riconoscimento delle periferiche di archiviazione USB già viste dalla macchina).
Ora, inserendo una periferica di archiviazione USB mai vista dall'elaboratore, il valore "Start"=dword comunque sia viene riportato a 3, per cui ad una condizione di abilitazione.
Queste le premesse.

Ho pensato: come fare per impedire il cambio del valore?
Allora mi è venuto in mente di agire a livello di autorizzazioni della chiave.
Sulla singola voce "Start"=dword non è possibile gestire le autorizzazioni, mentre si può fare sul ramo USBSTOR.

Mi spiego con qualche immagine.
Condizione di partenza il valore "Start"=dword è a 3
Primo passo modifico il valore "Start"=dword e lo porto a 4
A questo punto sarei protetto per le periferiche di archiviazione USB già viste, ma non per quelle nuove.
Ora intervengo sui diritti della chiave, in modo da rendere immodificabile il valore posto a 4.

Faccio clic destro sul ramo USBSTOR, nel menù scelgo la voce "Autorizzazioni"
Nella nuova finestra () clicco il pulsante "Avanzate".
Nella scheda "Autorizzazioni" tolgo il segno di spunta da "Includi le autorizzazioni ereditabili dal padre dell'oggetto"
Alla richiesta, scelgo "Rimuovi", così sulla chiave non c'è più possibilità di interagire.
Ottengo

Premo "Applica", ottengo

Confermo e vado avanti.
Esito finale


Ora provo ad inserire una chiave USB mai vista dalla macchina.
Viene avviato il processo di installazione dei driver, in maniera però leggermente diversa rispetto al solito.
In sequenza ecco ciò che ottengo.


Scelgo "Individuare e installare i driver".



Non trovo la periferica in risorse del computer (ma la rintraccio tra le USB "storicamente" collegate alla macchina USBDeview), quindi non è stata proprio vista.
L'utente ha ricevuto un errore e, magari, non pensa che ci sia stata una manovra a monte, ma solo un errore (uno dei tanti) di Windows. Così, forse pure serenamente, si rassegna, senza maledire i capi che gli hanno impedito di collegare la sua amata pennetta. Social engineering?

Per riprendersi le autorizzazioni sulla chiave basta fare il percorso a ritroso e ri-selezionare "Includi le autorizzazioni ereditabili dal padre dell'oggetto". Tutto tornerà come prima.

Che tipo di soluzione è questa? Mah, direi una soluzione.
Chi ci capisce, può andare a riprendersi i diritti sulla chiave e via.
Ma credo che lo stesso valga per i due file suggeriti da Microsoft: un modo per riprendersi i diritti sui file o per sostituirli si trova (basta partire con un live CD, etc. etc.).

Per assicurarmi di rendere nuova la periferica di archiviazione USB, mi sono appoggiato al programma USBDeview e, con questo, una volta selezionata l'USB da rendere nuovo, è stato sufficiente fare clic destro, quindi "Uninstal Selected Devices". La pulizia del sistema funziona, perché inserita una periferica già vista, che abbia subito il trattamento sopra descritto, viene ritenuta nuova dal calcolatore e si avvia il processo di installazione dei driver.

Ok, non serviva a nulla questo post. La soluzione era già nelle mani di crazy.cat.
Ma valgono le premesse: sono un testardo.