[XP - 2K] Disable USB storage

Aangezien de USB-sticks serieus beginnen op te komen, voelt men hier de noodzaak stappen te ondernemen om te voorkomen dat werknemers hun usb-sticks kunnen aansluiten op de workstations.

Afgaande deze schitterende Guide geraak ik al een stuk verder:
http://www.jsifaq.com/SUBO/tip7000/rh7093.htm
MAAR
Dit werkt alleen als er al ooit zo een apparaat aangesloten is geweest.
De eerste mogelijkheid kan ik niet gebruiken. Toegang tot USBstor.pnf verbieden gaat op de meeste workstations niet omdat op de meeste harde schijven de systeem schijf FAT32 is, en zowat alle gebruikers lokale admin zijn.

Een omwegje dan maar. Ik creër zelf de key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
en zet de start waarde op 4
Mooi geimporteerd via een reg-file in het login-script
Vergeet het maar, hij maakt inderdaad alles juist aan, maar vanaf het moment dat ik een device voor de eerste keer aansluit overschrijft hij gewoonweg alles op deze lokatie in het register.
Als ik dan DAARNA de waarde terug verander is alles wel in orde, en kunnen ze niet meer gebruik maken van memory-sticks.
Dit houdt dus als beperking in dat mijn huidige oplossing alleen werkt als ze oftewel ooit al eens zo een apparaat hebben proberen aan te sluiten, of ze doen het nu en dan kunnen ze dus eenmalig er gebruik van maken tot de volgende reboot. Daarna zal hij dit niet meer toelaten.
Het domein zelf is nog NT4, dus dmv active dir restricties gaan opleggen behoort tot aan de migratie naar 2003 niet tot de mogelijkheden.
Kent er nog iemand anders een mogelijke oplossing of suggestie?
USB volledig disablen is geen optie aangezien andere apparaten op USB wel noodzakelijk zijn

Ehrm raar.
Zowel op 2K als XP zet ik de service op disabled.
Toch herkent hij onmiddelijk de USB-stick en heb ik volledige toegang. Dit zowel op een systeem waar de stick al ooit gebruikt op is, als eentje waar deze nog nooit op is aangesloten.
Suggesties?

Momenteel tot aan de migratie naar 2003 zal dit niet veranderen, voor deze workstations blijven de systeemschijven fat32 en de gebruikers locale admin omwille van enkele gebruikte software-pakketten redenen. Tot dan kan dit dus ook niet veranderd worden.


Edit: nogmaals, zelfs als deze gebruikers niet lokaal admin-rechten hebben, en de removable storage service disabled is, gaat dit nog steeds.

[ Voor 23% gewijzigd door Verwijderd op 18-09-2003 15:33 ]

Inderdaad, en daar zit ik dus ook vast momenteel.
Maar dat ze lokale admin zijn maakt niet uit, elke pc wordt genoeg in de gaten gehouden of ze zelf prutsen. Tot de migratie, die normaal begin volgend jaar zou moeten beginnen, vind ik het dan ook te gek om dit nu nog allemaal aan te gaan passen. En geloof mij, als het niet aan twee software-pakketten lag, die hun fout zelf toegeven hebben en er druk aan het werk zijn, zouden de mensen hier echt geen lokale admin-rechten hebben.

Het gaat vooral omwille van de vraag van hogerhand naar het verstrengen van security naar buiten af. Firewall is beetje feller dichtgeknepen, alleen bepaalde personen hebben nog inet-access, floppy is gedisabled, cd-rom is zo goed als nergens aanwezig, en nu wilt men dus ook het potentiële gevaar van de usb-sticks en harde schijven vermijden.

En inderdaad, de USB-poorten moeten dus wel nog werken aangezien er een berg aan card-readers, scanners, etc... gebruikt worden.
Een oplossing waarbij ik manueel elke WS moet afgaan is trouwens zoiezo niet ter sprake omwille van het aantal :-)

Elke WS wordt script-matig na elke reboot volledig gechecked, volledige inventaris en de grootste settings worden terug aangepast. Ze mogen tot dan dus nog gerust lokaal prutsen, na elke reboot is dat toch terug ongedaan, en ik krijg genoeg waarschuwingen als er iemand aan het spelen is.