Групповые политики/Политики доступа к съемным носителям

Материал из ALT Linux Wiki

Эта групповая политика позволяет централизованно для компьютеров или пользователей настраивать доступ к съемным запоминающим устройствам (CD, DVD, USB и др.).

Настройка политики

Шаг 1. На машине с установленным RSAT откройте «Управление групповыми политиками».

Шаг 2. Создайте новый объект групповой политики (GPO) и свяжите его с OU, в который входят машины или учетные записи пользователей, для которых настраивается доступ к съемным запоминающим устройствам.

Шаг 3. В контекстном меню GPO, выберите пункт «Изменить». Откроется редактор GPO.

Шаг 4. Перейдите в «Конфигурация компьютера» или «Конфигурация пользователя» -> «Политики» -> «Административные шаблоны» -> «Система» -> «Доступ к съемным запоминающим устройствам»:

Политика «Доступ к съемным запоминающим устройствам»

В правом окне редактора отобразится список политик. На данный момент реализована только политика «Съемные запоминающие устройства всех классов: Запретить любой доступ» (машинная и пользовательская).

Шаг 5. Дважды щелкните на политике «Съемные запоминающие устройства всех классов: Запретить любой доступ», откроется диалоговое окно настройки политики:

Диалоговое окно «Съемные запоминающие устройства всех классов: Запретить любой доступ»

Для включения запрета на доступ выберите параметр «Включить», для отключения — «Отключить» или «Не задано». Нажмите кнопку «ОК» или «Применить».

Все настройки политики хранятся в {GUID GPT}/Machine/Registry.pol или {GUID GPT}/User/Registry.pol

Пример Registry.pol: 

PReg[Software\Policies\Microsoft\Windows\RemovableStorageDevices;Deny_All;;;]

Реализация

Политика полного запрета на доступ к съемным носителям реализована через правила в Polkit (/etc/polkit-1/rules.d/).

Для машинной политики создается файл правил 49-gpoa_disk_permissions.rules, для пользовательской политики — 48-gpoa_disk_permissions_user.<USERNAME>.rules. Правила для пользовательской политики обрабатываются до правил для машинной политики.