Утвердить USB-устройство после установки

Question

В Windows, есть ли способ программно одобрить устройство USB после вставки, если оно определенного типа (скажем, съемный диск) разрешает его использование, в противном случае нет? Также не разрешать запуск драйверов, разрешать использование устройства только разрешенным способом?

т.е. Мы хотим разрешить вставку USB-накопителей, но не должны беспокоиться об установке вируса.

РЕДАКТИРОВАТЬ Извините, я не очень ясно о публикации этого вопроса. Да, это Windows, но я не беспокоюсь об автозапуске программ, которые, конечно, отключены. Пользователи не смогут получить доступ к каким-либо исполняемым файлам, только данные будут считаны с диска. У них не будет доступа ни к какому пользовательскому интерфейсу, кроме того, что мы разрешаем (это киоск). Что меня беспокоит, так это драйверы устройств, запускающие и устанавливающие программное обеспечение (например, U3, и другое программное обеспечение USB, которое устанавливается самостоятельно при подключении USB-накопителя). В дикой природе существует множество вирусов, которые можно запустить, просто вставив USB-диск в систему. Мы ограничили вещи с групповой политикой до уровня, который мы можем, но я не могу найти способ запретить установку драйверов без создания базового белого списка USB-накопителей, которые поставляются предварительно установленными, и больше ничего не будет работать (т.е. Не разрешать установку драйверов).

Answer 1

(Поскольку вы беспокоитесь о вирусах, я предполагаю, что мы говорим о Windows.)

Нет смысла ограничивать пользователя таким образом. Убедитесь, что у пользователя нет прав администратора. И установите современный антивирусный сканер.

Обоснование: если вы не собираетесь разрешать даже чтение файлов, то использование USB-накопителя в любом случае бесполезно. Итак, вы собираетесь разрешить чтение файлов с USB-накопителя. Но тогда кто-то уже мог установить вирус, скопировав его на локальный жесткий диск и запустив оттуда.

Answer 2

Если это ваше собственное приложение для киоска, убедитесь, что в вашем киоске назначены буквы дисков A-Z. Для доступа к USB-накопителю вам понадобится путь в формате \ ?? \ Volume {GUID} \ Filename. Но, сохраняя его вне нормальной файловой системы, вы защищены от большинства атак.

Ты никогда не будешь в полной безопасности. Как заметил бы Раймонд Чен, это не очень поможет, если вы не одобряете вилки. (Физический) урон уже нанесен.

Answer 3

Также в Windows отключите автозапуск / автозапуск на USB-накопителях.

С групповой политикой: http://www.howtogeek.com/howto/windows/disable-autoplay-of-audio-cds-and-usb-drives/

В утилите TweakUI также есть опции: http://www.microsoft.com/windowsxp/Downloads/powertoys/Xppowertoys.mspx

Answer 4

Нет. Вы можете ограничить доступ к съемным носителям с помощью объекта групповой политики, но не можете указать, какие типы файлов разрешены на съемном носителе или могут ли они выполняться или нет.

РЕДАКТИРОВАТЬ: голосование против Томаса. лучший ответ, чем мой.