Использование групповых политик для запрета записи на USB диски в Windows XP.
Одной из новых функций в Windows 7 является функция «Bitlocker to Go», которая позволяет администраторам гарантировать что все данные записываемые на USB диски будут зашифрованы. В дополнение к этой функции в групповых политиках существует опция под названием “Deny write access to removable drives not protected by BitLocker”, которая позволяет пользователям иметь доступ на чтение к незашифрованным USB дискам.
Проблема этой настройки политик заключается в том, что она поддерживается только на компьютерах с Windows 7, поэтому пользователь может легко зайти в XP или Windows Vista и обойти данное ограничение.
К счастью Microsoft ещё с Windows XP Service Pack 2 добавила новую возможность, которая позволяет администраторам запретить доступ на запись к USB устройствам. Данную функция активируется специальным ключом реестра, который может быть распространен через предпочтения групповых политик.
Раздел: HKLM\System\CurrentControlSet\Control\StorageDevicePolicies
Ключ: WriteProtect (REG_DWORD)
Значения: 0 = Отключен и 1 = Включен
Для применения данного ограничения зайдите в групповую политику, прилинкованную на OU с всеми рабочими станциями вашей организации и перейдите в раздел Computer Configuration > Preferences >Windows Settings > Registry. Затем нажмите Action > New > Registry Item. Введите System\CurrentControlSet\Control\StorageDevicePolicies в поле Key Path, затем введите WriteProtect в поле Value и 1 в поле Value Data и нажмите OK.
После применения данной политики пользователь при попытке записи на USB диск получит следующее уведомление:
Внимание: Данный ключ реестра также работает и в Windows Vista