Ограничить доступ к дискам a b c и d
Итак. Потребовалось ограничить терминальным пользователям доступ к дискам средствами групповой политики AD.
С одним условием. Один диск необходимо оставить.
И все бы ничего. Но в GPO Windows Server 2012 R2 нет такого пункта
- Ограничить доступ к дискам A, B, C и D
- Ограничить доступ к дискам A, B и C
- Ограничить доступ к дискам A и B
- Ограничить доступ ко всем дискам
Будем добавлять строчку:
Часто задаваемые вопросы
Почему для ОС Windows существуют различные политики безопасности для различных типов носителей данных?
ОС Windows поддерживает большинство устройств хранения данных: от традиционных несъемных дисков дисков, таких как жесткие диски и твердотельные накопители, до съемных диском, таких как SD-карты и USB-устройства флэш-памяти. Поддержка большинства устройств хранения данных позволяет клиентам использовать ОС Windows в различных сценариях, а также с обширной экосистемой устройств, которые совместимы с ОС Windows. Например, такие устройства пользователей, как камеры, мобильные телефоны и т. д. Windows обеспечивает прекрасные условия работы для всех этих сценариев и устройств в различных средах, в рамках которых осуществляется развертывание ОС Windows: в домашних условиях, на малых предприятиях или на крупных производствах.
Чтобы обеспечить для ОС Windows возможность поддержки различных сценариев, необходимо знать ряд требований и приоритетов, которые связаны с каждым отдельным сценарием. К ним относится ряд предположений, касающихся таких характеристик, как возможность удобной работы, безопасность, возможности управления и другие функции. Поэтому возникают различия в плане управления различными категориями устройств хранения данных с точки зрения безопасности. Учитывается множество факторов. К ним относятся такие факторы, как среда, в которой будет использоваться устройство (преимущественно это касается противопоставляемых сред: использование в домашних условиях или на предприятии), а также устройства, вместе с которыми будет использоваться данное устройство. К ним относятся устройства под управлением операционных систем, отличных от Windows.
Что явилось причиной проблемы?
Основное различие политики безопасности обусловлено типом устройства: традиционные несъемные диски или съемные устройства.
По умолчанию доступ к данным, которые хранятся на традиционном жестком диске, ограничен системными списками управления доступом (ACL), которые требуют повышенных разрешений администратора. Это обеспечивает соответствующий уровень безопасности для различных сред. Эти списки доступны для однопользовательских и многопользовательских систем. В большинстве компьютеров жесткий диск используется для размещения важных данных, например таких, как операционная система, и для получения доступа к этим данным в соответствии со списками управления доступом (ACL) требуются учетные записи администратора с повышенными правами. Windows предоставляет различные средства управления, чтобы гарантировать четкое соблюдение этой политики при необходимости. такие средства включают Bitlocker, политику группы и дополнительные списки управления доступом (ACL). Пользователи, не являющиеся администраторами не могут запускать средства на уровне системного тома, например, форматирование, а также получить прямой доступ с возможностью блокирования к содержимому файловой системы.
Как определить, является ли моя конфигурация уязвимой?
Пользователи могут определить, используются ли съемные устройства в их среде, с помощью значка быстрого доступа "Безопасное извлечение устройства" в области уведомлений рабочего стола. Если устройство указано в этом меню, это означает, что оно отмечено в качестве съемного.
Пользователи также могут получить доступ к списку съемных устройств на панели управления. Например, откройте Все компоненты панели управления, откройте Устройства и принтеры, затем щелкните вкладку Устройства.
Дополнительные сведения об использовании Windows PowerShell для определения уязвимости конфигурации см. в разделе "Как узнать, затрагивает ли эта проблема вашу систему".
Какие операционные системы Windows будут затронуты в рамках основной конфигурации?
Windows Vista, Windows 7 и Windows 8, использующие параметры по умолчанию, являются уязвимыми.
Какой потенциальный риск может возникнуть при применении разрешения доступа на чтение и запись для съемного диска с помощью политики группы?
Ограничение доступа к съемным устройствам хранения данных с помощью групповой политики может вызвать сбой некоторых приложений или потребовать повышенных разрешений. Например, ПО для архивации может не осуществлять архивацию данных на съемных диск или с него. Точно так же выполнение любой команды для форматирования диска или его проверки (chkdsk) потребует разрешений администратора. Это может привести к сбоям в управлении программным обеспечением в режиме ограниченного запуска.
Какой потенциальные риск существует при использовании Bitlocker?
Bitlocker является рекомендованным решением для обеспечения безопасности данных на съемных устройствах. Использование Bitlocker может вызвать незначительное снижение производительности в том случае, когда производится шифрования и восстановление данных.
Каким образом злоумышленник может использовать данную уязвимость?
Злоумышленник, не обладающий правами администратора, может производить чтение или запись на съемное устройства вне зависимости от того, является ли администратором. злоумышленник получит доступ на чтение и запись данных на устройстве или в файловой системе. Это может привести к раскрытию сведений.
Как узнать, затрагивает ли эта проблема вашу систему
Откройте окно командной строки с повышенными привилегиями. Для этого нажмите кнопку Пуск, введите CMD, щелкните правой кнопкой мыши Cmd.exe, а затем выберите команду Запуск от имени администратора.
Введите следующую команду в командной строке с повышенными привилегиями и нажмите клавишу ВВОД:
Введите следующую команду в командной строке Powershell:
Get-WmiObject -Class Win32_DiskDrive | Format-Table Name,Model, MediaType
Этот скрипт вернет выходные данные следующего вида:
Fixed hard disk media
WD Ext HDD 1021 USB Device
External hard disk media
Corsair Voyager 3.0 USB Device
Если поле MediaType имеет значение "Removable Media" или "External hard disk media," тогда проблема, описанная в статье, будет затрагивать данную конфигурацию.
Как скрыть диски из проводника Windows (реестр, GPO)
Задача: убрать из проводника некоторые диски, чтобы простые пользователи не видели их в окне Мой компьютер, желательно через групповые политики.
Здесь я выложу инструкцию как убрать диски из explorer через реестр и через GPO.
Принцип работы параметров доступа к файловой системе
Чтобы разрешить или запретить доступ к файловой системе для конкретного приложения или службы
Выполните одно из следующих действий:
В Windows 10 пуск перейдите в пуск > Параметры > Файловая система конфиденциальности > и убедитесь, что включено разрешение приложениям на доступ к файловой системе .
В Windows 11 перейдите в пуск > Параметры > Конфиденциальность & безопасность > Файловая система и убедитесь, что для приложений включено приложение "Доступ к файловой системе".
Выберите приложения и службы, которые могут получать доступ к файловой системе, включив или выключив параметры отдельных приложений и служб.
Чтобы запретить доступ к файловой системе для большинства приложений
Выполните одно из следующих действий:
В Windows 10 пуск перейдите в пуск > Параметры > Файловая система конфиденциальности > и убедитесь, что отключено разрешение приложениям на доступ к файловой системе .
В Windows 11 перейдите в пуск > Параметры > Конфиденциальность & безопасность > Файловая система и убедитесь, что отключено приложение "Доступ приложений к файловой системе".
Это запретит приложениям доступ к файловой системе на устройстве, на котором выполнен вход. Если другие пользователи работают на этом устройстве, они по-прежнему могут включить доступ к файловой системе под своими учетными записями.
Способ №1. Прячем локальные диски на компьютере через реестр
Открываем реестр, идём в ветку HREY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer, надо создать параметр REG_DWORD с именем NoDrives. Установите следующие значения для скрытия дисков (значения в шестнадцатеричной системе):
Скрыть все значки = 0x03ffffff
Скрытие значков дисков в окне Мой компьютер и Проводник
Если вы хотите скрыть значки дисков в окне Мой компьютер и Проводник, то откройте раздел
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer
и создайте параметр NoDrives типа DWORD с требуемым значением. Также будут скрыты эти значки и в стандартных окнах Открытия и Сохранения файлов. Тем не менее, пользователь по-прежнему имеет доступ к этим дискам (через команду Выполнить или печатая вручную адрес в адресной строке Проводника)
Данный параметр является набором битовых флагов. Каждый бит соответствует одному из 26 возможных имен дисков. Каждому диску присваиваются значения (hex): A -1; B — 2; C — 4 и т.д. Чтобы скрыть нужные вам диски, нужно сложить эти биты. Сложность состоит в переводе двоичного значения в шестнадцатеричное. Здесь приводится небольшой список возможных значений:
- 0x03FFFFFF Скрывает все значки
- 0x3 Скрывает только диски A и B
- 0x4 Скрывает только диск C
- 0x8 Скрывает только диск D
- 0x7 Скрывает только диски A, B и C
- 0xF Скрывает только диски A, B, C и D
- 0x0 Видны все диски
Можно использовать и десятичную систему. Смотри совет ниже.
Запрет на доступ к содержимому выбранных дисков
Можно не скрывать сами значки дисков, но запретить пользователю доступ к файлам заданных дисков через Проводник, Мой компьютер, Выполнить или команду Dir. Откройте реестр и создайте параметр NoViewOnDrive типа DWORD в разделе
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
содержащий битовую маску для дисков. Например, диск A имеет бит 1, диск С — 4, диск D — 8. Таким образом, чтобы скрыть диски A и D, нужно сложить их значения 1 (A) + 8 (D) и установить значение 9.
Список всех дисков: A: 1, B: 2, C: 4, D: 8, E: 16, F: 32, G: 64, H: 128, I: 256, J: 512, K: 1024, L: 2048, M: 4096, N: 8192, O: 16384, P: 32768, Q: 65536, R: 131072, S: 262144, T: 524288, U: 1048576, V: 2097152, W: 4194304, X: 8388608, Y: 16777216, Z: 33554432, Все диски: 67108863
Монтирование диска V
Для монтирования диска добавлен LOGON скрипт для пользователя
Редактируем файл скрипта:
Две последние строки cacls, представляют из себя костыль блокирования записи на рабочий стол пользователем и здесь не обязательны. Оставил чтобы потом не искать.
Windows RT Windows 8 Windows 8 Enterprise Windows 8 Pro Windows 7 Enterprise Windows 7 Professional Windows 7 Ultimate Windows 7 Home Premium Windows 7 Home Basic Windows 7 Service Pack 1 Windows 7 Enterprise Windows 7 Professional Windows 7 Ultimate Windows 7 Home Premium Windows 7 Home Basic Windows Vista Service Pack 2 Windows Vista Business Windows Vista Enterprise Windows Vista Home Basic Windows Vista Home Premium Windows Vista Starter Windows Vista Ultimate Windows Vista Enterprise 64-bit Edition Windows Vista Home Basic 64-bit Edition Windows Vista Home Premium 64-bit Edition Windows Vista Ultimate 64-bit Edition Windows Vista Business 64-bit Edition Еще. Меньше
Первым делом разберемся с административными шаблонами.
Чтобы знать что где находится, нам необходимо настроить Централизованное хранилище административных шаблонов (Group Policy Central Store)
Идем на сайт Microsoft и качаем готовые шаблоны для Windows 8 и Windows Server 2012
Administrative Templates (.admx) for Windows 8.1 and Windows Server 2012 R2
Ставим по умолчанию методом «далее далее»
Идем по пути C:\Program Files (x86)\Microsoft Group Policy\Windows 8.1-Windows Server 2012 R2\ и копируем папку PolicyDefinitions в папку C:\Windows\SYSVOL\sysvol\ИМЯ_ДОМЕНА\Policies\
После этого открываем групповую политику и смотрим что у нас получилось
Если видим слова «центральное хранилище» значит операция прошла удачно и можно продолжать.
Помощь в решении проблемы
Включите элементы управления для доступа на чтение и запись для съемных устройств и носителей
Чтобы включить элементы управления для доступа на чтение и запись для съемных устройств и носителей, выполните следующие шаги.
Нажмите клавиши Windows и R, чтобы открыть меню Выполнить.
Введите команду MMC.exe и нажмите клавишу ВВОД.
В области навигации последовательно откройте следующие узлы: Политика для локального компьютера и пользователей, не являющихся администраторами, Конфигурация пользователя, Административные шаблоны, Система, а затем щелкните элемент Доступ к съемным запоминающим устройствам.
Дважды щелкните Съемные запоминающие устройства всех классов: запретить любой доступ, затем щелкните, чтобы выбрать параметр Включено.
Если вам не удалось выполнить следующие шаги для усиления защиты, рекомендуется не хранить важные сведения на дисках и устройствах, которые затрагивает эта проблема. К примеру, не храните личные данные или сведения для проверки подлинности там, где обеспечен общий доступ к рабочей станции или архивам файловой системы для других пользователей. За дополнительными сведениями обращайтесь к производителю оборудования контроллеров диска.
Автоматизированные решения Microsoft Fix It доступны для автоматической конфигурации систем, чтобы запретить доступ на чтение и запись съемных устройств.
Если для решения проблемы требуется помощь, перейдите к разделу Помощь в решении проблемы.
Способ №2. Скрываем диски через групповые политики
Но вот засада: стандартная политика умеет скрывать только стандартные диски или все сразу. Если оно вам и было надо, отлично. Мне же требовалось скрыть диск Z, а для этого надо пойти другим путём, а поэтому…
Дополнительная информация
ВВЕДЕНИЕ
У нас имеются подробные сведения о средствах, которые можно использовать для получения доступа к файлам или съемным устройствам. С помощью этих средств можно отключить разрешения для файла NTFS в сетевых ресурсах Microsoft Windows, которые не являются серверами. Нам известно, что эта проблема может затронуть внутренние диски, несъемные диски, которые помечены как съемные, а также внешние носители, такие как устройство USB, Firewire, E-SATA, SD-карта и другие съемные носители. Мы знаем о ситуациях, когда диски определенных контроллеров запоминающих устройств могут быть отмечены как "съемные" вне зависимости от их физического расположения внутри или снаружи ПК или от типа подключения, которое используется диском.
Эта проблема не затрагивает основной системный том (т. е. то устройство, на котором запущена ОС Windows).
В первую очередь угрозе подвержены системы, которые используют конфигурацию по умолчанию. Например, несколько системных дисков, на которых запущены ОС Windows Vista, Windows 7 и Windows 8.
Решения Fix it для Windows 7 или Windows 8
Чтобы включить или отключить это решение Fix it, нажмите кнопку Fix it или щелкните ссылку под заголовком Включить или Отключить. В диалоговом окне Загрузка файла нажмите кнопку Выполнить и следуйте инструкциям мастера устранения проблем.
Благодарность
Корпорация Майкрософт благодарит следующих людей за помощь в защите клиентов:
Георгия Георгиевича Валькова (George Georgiev Valkov) за совместную работу по этому вопросу.
В этой статье приводится ряд сведений об использовании объектов групповой политики для сокрытия указанных дисков.
Применяется к: Windows 10 — все выпуски
Исходный номер КБ: 231289
Решения Fix it для Windows Vista
Чтобы включить или отключить это решение Fix it, нажмите кнопку Fix it или щелкните ссылку под заголовком Включить или Отключить. В диалоговом окне Загрузка файла нажмите кнопку Выполнить и следуйте инструкциям мастера устранения проблем.
Эти мастеры могут быть доступны только на английском языке, однако автоматические исправления можно применять в версиях Windows на любых языках.
Если файл загружается не с того компьютера, на котором обнаружена проблема, сохраните автоматическое исправление на устройстве флэш-памяти или компакт-диске, а затем запустите его на нужном компьютере.
Первым делом разберемся с административными шаблонами.
Чтобы знать что где находится, нам необходимо настроить Централизованное хранилище административных шаблонов (Group Policy Central Store)
Идем на сайт Microsoft и качаем готовые шаблоны для Windows 8 и Windows Server 2012
Administrative Templates (.admx) for Windows 8.1 and Windows Server 2012 R2
Ставим по умолчанию методом «далее далее»
Идем по пути C:\Program Files (x86)\Microsoft Group Policy\Windows 8.1-Windows Server 2012 R2\ и копируем папку PolicyDefinitions в папку C:\Windows\SYSVOL\sysvol\ИМЯ_ДОМЕНА\Policies\
После этого открываем групповую политику и смотрим что у нас получилось
Если видим слова «центральное хранилище» значит операция прошла удачно и можно продолжать.
Теперь будем добавлять пункт меню.
Нас интересует раздел:
Конфигурация пользователя -> Административные шаблоны -> Компоненты Windows -> Проводник
- Запретить доступ к дискам через «Мой компьютер»
- Скрыть выбранные диски из окна «Мой компьютер»
Именно в параметры этих двух разделов будет добавлен выбор «Ограничить доступ к дискам кроме V»
Открываем папку с нашим центральным хранилищем
Для начала создадим переменную с описанием строки.
Откроем для редактирования файл:
И добавим строку
Должно выйти вида
Фактически мы добавили «переменную» Vonly.
Теперь необходимо задать ей действие.
Откроем для редактирования файл:
Поиском ищем где расположено само меню. Можно искать по ABConly
И добавим строку
Должно выйти вида
Добавить необходимо в два места.
Эти разделы повторяются в файле дважды .
65011711
Откуда взялась эта цифра ? Цифра взялась из расчета
Основная суть:
Буквы дисков представляют собой обратную последовательность, переведенную в двоичный код %)
Что надо запретить, там 1. Что оставить, там 0. Берем двоичный ряд, и переводим его любым доступным нам способом в десятичную систему. На выходе получаем нужное нам число.
После проделанных манипуляций с редактированием файлов. Открываем GPO. И смотрим появилось ли необходимое меню.
Способ №3. Комбинированный способ: GPO + реестр
И тут прописываем следующие параметры. Продублирую текстом: Куст HKEY_CURRENT_USER, Путь раздела Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, Имя параметра NoDrives, Тип параметра REG_DWORD, значение для скрытия диска Z 33554432. Для других дисков считаем значение по правилу из способа №1
Этот способ оказался идеальным, я скрыл только требуемые диски у группы пользователей. Применяем политику через gpupdate /force и проверяем!
Сводка
С помощью объектов групповой политики в Windows существует параметр "Скрыть указанные диски в моем компьютере", который позволяет скрыть определенные диски. Однако может потребоваться скрыть только определенный диск, но сохранить доступ к другим.
Существует семь вариантов ограничения доступа к дискам по умолчанию. Вы можете добавить другие ограничения, изменяя файл System.adm для политики домена по умолчанию или любого настраиваемого объекта групповой политики (GPO). Семь выборов по умолчанию:
- Ограничение только дисков A, B, C и D
- Ограничение только дисков A, B и C
- Ограничение только дисков A и B
- Ограничение всех дисков
- Ограничение только диска C
- Ограничение только диска D
- Не ограничивая диски
Корпорация Майкрософт не рекомендует изменять файл System.adm, а вместо этого создавать новый файл .adm и импортировать этот .adm в GPO. Причина в том, что при применении изменений к файлу system.adm эти изменения могут перезаписываться, если Корпорация Майкрософт выпустит новую версию файла system.adm в Пакет обновления.
Исключения из параметров конфиденциальности доступа к файловой системе
В списке отображаются не все приложения, в которых можно выбрать приложения, которые могут получить доступ к файловой системе. Некоторые программы Windows, например программы, скачаемые из Интернета или установленные с определенным типом мультимедиа (например, компакт-диск, DVD- или USB-накопитель), не будут отображаться в этом списке, и на них не влияет параметр, позволяющий приложениям получать доступ к файловой системе. Чтобы разрешить или запретить доступ к файловой системе для одной из этих программ, проверьте параметры самой программы.
Дополнительная информация
Расположение файла System.adm по умолчанию для политики домена по умолчанию:
Содержимое этих папок реплицируется в домене службой репликации файлов (FRS).
Папка Adm и ее содержимое не заполняются до тех пор, пока по умолчанию политика домена не будет загружена впервые.
Внесение изменений в эту политику для одного из семи значений по умолчанию:
Эти параметры удаляют значки, представляющие выбранные жесткие диски из my Computer, Windows Explorer и My Network Places. Кроме того, эти диски не отображаются в диалоговом окне Open любых программ.
Эта политика предназначена для защиты определенных дисков, в том числе дискетного диска, от неправильного использования. Его также можно использовать для того, чтобы направлять пользователей на сохранение работы на определенных дисках.
Чтобы использовать эту политику, выберите диск или комбинацию дисков в выпадаемом поле. Чтобы отобразить все диски (скрыть их нет), отключите эту политику или нажмите кнопку Не ограничивать диски.
Эта политика не мешает пользователям использовать другие программы для получения доступа к локальным и сетевым дискам или не позволяет им просматривать и изменять характеристики дисков с помощью оснастки Disk Management.
Значения по умолчанию не являются единственными значениями, которые можно использовать. При редактировании файла System.adm можно добавить собственные настраиваемые значения. Это часть system.adm, которая должна быть изменена:
В разделе [строки] представлены замены фактических значений в выпадаемом поле.
Эта политика отображает только указанные диски на клиентский компьютер. Ключ реестра, на который влияет эта политика, использует десятичный номер, соответствующий 26-битной двоичной строке, при этом каждый бит представляет букву диска:
Эта конфигурация соответствует 67108863 десятичной и скрывает все диски. Если вы хотите скрыть диск C, сделайте третий-самый низкий бит 1, а затем преобразуем двоичную строку в десятичную.
Нет необходимости создавать параметр, чтобы показать все диски, так как очистка окна удаляет запись "NoDrives" полностью, и все диски автоматически показаны.
Если вы хотите настроить эту политику, чтобы показать другую комбинацию дисков, создайте соответствующую двоичную строку, преобразуйте десятичную и добавьте новую запись в раздел ITEMLIST с соответствующей записью [строки]. Например, чтобы скрыть диски L, M, N и O, создайте следующую строку
и преобразовать в десятичной. Эта двоичная строка преобразуется в 30720 в десятичном. Добавьте эту строку в раздел [строки] в файле System.adm:
LMNO_Only="Ограничение только дисков L, M, N и O"
Добавьте эту запись в разделе ITEMLIST выше и сохраните файл System.adm.
ИМЯ !! LMNO_Only ЗНАЧЕНИЕ NUMERIC 30720
Это создает восьмую запись в выпадаемом поле, чтобы скрыть диски L, M, N и O только. Используйте этот метод, чтобы включить больше значений в поле drop-down. Измененный раздел файла System.adm выглядит следующим образом:
В этом разделе [строки] представлены замены фактических значений в выпадаемом поле.
Некоторым приложениям требуется доступ к файловой системе, чтобы предоставлять пользователям все возможности. Предоставление приложению разрешения на доступ к файловой системе позволяет ему обращаться к тем же файлам и папкам, к которым есть доступ у вас. Приложение должно запросить такой доступа, а вы можете разрешить или отклонить запрос.
Предоставление доступа к файловой системе может дать приложению доступ к личному содержимому, которое требуется настроить. Именно поэтому мы позволяем вам контролировать файлы, к которым предоставляется доступ, давая возможность выбрать, каким приложениям разрешен доступ к файловой системе. Если вы даете разрешение на использование приложения, но потом передумаете, вы можете отключить для него доступ к файловой системе. Для этого выполните следующие действия.
В Windows 10 начните > Параметры > конфиденциальности >файловой системе.
В Windows 11 перейдите в начните > Параметры > конфиденциальности & безопасности > файловой системе.
Решение
Клиентам, которые хотят сохранить разрешения для дисков на уровне операционной системы для дополнительных дисков, помеченных в качестве съемных, рекомендуется выполнить один из следующих шагов для усиления защиты:
Читайте также: