Запрет и разрешение установки драйверов

Запрет и разрешение установки драйверов

Последний набор параметров, влияющих на установку драйверов оборудования, имеет тип REG_DWORD и расположен в ветви реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsDriverInstallRestrictions и ее подразделах. Эти параметры позволяют указать оборудование, установка которого на данный компьютер запрещена.

Общие настройки

Проще всего изменить значения следующих параметров данной ветви реестра:

• DenyRemovableDevices – если значение данного параметра равно 1, то будет запрещена возможность установки и обновления драйверов съемных устройств;

• DenyUnspecified – при установке значения этого параметра равным 1 будет запрещена возможность установки и обновления всех драйверов устройств, установка которых явно не разрешена с помощью параметров ветви HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsDriverInstallRestrictions;

• AllowAdminInstall – если значение данного параметра равно 1, то пользователи с административными правами смогут устанавливать драйверы любого оборудования.

По умолчанию параметры ветви реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsDriverInstallRestrictions также влияют и на пользователей с административными правами.

Запрет установки оборудования на основе класса оборудования

Чтобы запретить либо разрешить установку драйверов оборудования, необходимо знать GUID-номер класса этого оборудования. Узнать его довольно просто – необходимо воспользоваться оснасткой Диспетчер устройств (консоль devmgmt.msc). На рис. 3.3 приведен пример окна, содержащего GUID-номер класса модема.

Рис. 3.3. Отображение GUID-номера класса устройства

После того как вы узнали GUID-номер класса устройств, нужно воспользоваться одним из трех параметров REG_DWORD-типа.

• Если вы хотите создать список устройств, установка которых будет разрешена для обычных пользователей, то необходимо присвоить параметру AllowUserDeviceClasses значение 1. После этого нужно создать ветвь HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsDriverInstallRestrictionsAllowUserDeviceClasses, а уже в ней – параметр REG_DWORD-типа, названный в честь GUID-номера класса оборудования, после чего присвоить этому параметру значение 1.

• Если вы хотите создать список устройств, установка которых будет разрешена, даже если описанному выше параметру DenyUnspecified присвоено значение 1, то необходимо задать параметру AllowDeviceClasses значение 1. После этого нужно создать ветвь реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsDriverInstallRestrictionsAllowDeviceClasses, а уже в ней – параметр REG_DWORD-типа, названный в честь GUID-номера класса оборудования, после чего присвоить этому параметру значение 1.

• Если же вы хотите создать список устройств, установка которых будет запрещена, то необходимо присвоить параметру DenyDeviceClasses значение 1. После этого нужно создать ветвь реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsDriverInstallRestrictionsDenyDeviceClasses, а уже в ней – параметр REG_DWORD-типа, названный в честь GUID-номера класса оборудования, после чего присвоить этому параметру значение 1.

Запрет установки оборудования на основе идентификатора оборудования

Вместо GUID-номера класса оборудования при определении разрешенного или запрещенного для установки оборудования можно использовать идентификатор устройств. Узнать его так же просто, как и GUID-номер класса оборудования, – необходимо воспользоваться оснасткой Диспетчер устройств (консоль devmgmt.msc). На рис. 3.4 приведен пример окна, содержащего идентификатор модема. Обратите внимание, что одному устройству может быть сопоставлено сразу несколько идентификаторов (как правило, это идентификаторы от более общего, например идентифицирующего только производителя устройства, к более конкретному, например также идентифицирующему само устройство).

Рис. 3.4. Отображение идентификатора устройства

• Если вы хотите создать список устройств, установка которых будет разрешена, то необходимо присвоить параметру AllowDeviceIDs значение 1. После этого нужно создать ветвь реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsDriverInstallRestrictionsAllowDeviceIDs, а уже в ней – параметр REG_DWORD-типа, названный в честь идентификатора оборудования, после чего присвоить этому параметру значение 1.

• Если же вы хотите создать список устройств, установка которых будет запрещена, то необходимо присвоить параметру DenyDeviceIDs значение 1. После этого нужно создать ветвь реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsDriverInstallRestrictionsDenyDeviceIDs, а уже в ней – параметр REG_DWORD-типа, названный в честь идентификатора оборудования, после чего присвоить этому параметру значение 1.

Сообщение при установке запрещенного оборудования

Некоторые параметры находятся и в ветви реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsDriverInstallRestrictionsDeniedPolicy. Например, здесь можно найти параметры строкового типа SimpleText и DetailText. Значение первого из этих параметров определяет заголовок сообщения, отображаемого перед пользователем при попытке установки запрещенного оборудования. Второй же параметр определяет текст этого сообщения.

Ниже представлен REG-файл (расположение на компакт-диске – Файлы реестраРежимыInstDriverNoMessage.reg), изменяющий сообщение.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsDriverInstallRestrictionsDeniedPolicy]

"SimpleText"="Запрет установки"

"DetailText"="Данный тип оборудования запрещено устанавливать пользователям, не имеющим прав администратора"

Доступ к съемным устройствам

Кроме запрета на установку драйверов оборудования операционная система Windows Vista поддерживает запрет на подключение съемных устройств, для которых драйверы уже установлены.

Например, запретить доступ пользователей к любому типу съемных устройств можно с помощью параметров REG_DWORD-типа Deny_All и AllowRemoteDASD, расположенных в ветви реестра HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsRemovableStorageDevices. Для этого параметру Deny_All достаточно присвоить значение 1, а параметру AllowRemoteDASD – значение 0. Первый параметр запрещает доступ к съемным устройствам для локальных пользователей, а второй – для удаленных.

Если же необходимо запретить доступ к определенному типу съемных устройств, то следует воспользоваться одним из следующих подразделов ветви реестра HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsRemovableStorageDevices:

• {53f56308-b6bf-11d0-94f2-00a0c91efb8b} – определяет съемные оптические приводы;

• {53f56311-b6bf-11d0-94f2-00a0c91efb8b} – задает дисководы гибких дисков;

• {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} – определяет съемные запоминающие устройства;

• {53f5630b-b6bf-11d0-94f2-00a0c91efb8b} – задает ленточные накопители;

• {6AC27878-A6FA-4155-BA85-F98F491D4F33} – определяет WPD-устройства;

• {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE} – задает WPD-устройства.

В этих подразделах могут присутствовать два параметра REG_DWORD-типа: Deny_Read и Deny_Write. Если значение параметра Deny_Read равно 1, то чтение с соответствующего типа съемного носителя будет запрещено. Если же значение параметра Deny_Write равно 1, то будет запрещена запись на соответствующий тип съемного носителя.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг

Ошибки драйверов

Из книги Сбои и ошибки ПК. Лечим компьютер сами. Начали! автора Ташков Петр

Ошибки драйверов Пожалуй, одной из главных причин, приводящих к нестабильности работы операционной системы, является недостаточно продуманное и небезопасное использование драйверов установленных и подключенных устройств. Чаще всего это касается драйверов принтера,


Запрет на null-сессию

Из книги Реестр Windows автора Климов Александр

Запрет на null-сессию Для запрета null-сессии, которая позволяет другому пользователю, получить информацию о зашаренных (доступных для общего пользования) директориях и об имеющихся на компьютере локальных пользователях, установите параметр типа DWORD °RestrictAnonymous° равным 1 в


Запрет на загрузку файлов

Из книги Тонкости реестра Windows Vista. Трюки и эффекты автора Клименко Роман Александрович

Запрет на загрузку файлов Чтобы запретить пользователю загружать файлы из интернета, создайте параметр типа DWORD ·NoSelectDownloadDir· со значением 1 в разделе HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictionsПри попытке нажать кнопку Сохранить в диалоговом окне загрузки файлов будет выводиться


Процесс установки драйверов

Из книги Язык программирования С# 2005 и платформа .NET 2.0. [3-е издание] автора Троелсен Эндрю

Процесс установки драйверов Еще одна часть параметров также имеет тип REG_DWORD, но расположена в ветви HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsDeviceInstallSettings. Эти параметры влияют на процесс установки драйверов устройств.• InstallTimeout – определяет максимально возможное время установки


Запрет наследования: изолированные классы

Из книги Delphi. Учимся на примерах автора Парижский Сергей Михайлович

Запрет наследования: изолированные классы Создавая отношения базовых классов и подклассов, вы получаете возможность использовать поведение существующих типов. Но что делать, когда нужно определить класс, не позволяющий получение подклассов? Например, предположим, что


Запрет на редактирование реестра

Из книги Linux-сервер своими руками автора Колисниченко Денис Николаевич

Запрет на редактирование реестра Ключ:[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem] Значение:


3.6.2. Запрет квоты для пользователя или группы

Из книги Основы объектно-ориентированного программирования автора Мейер Бертран

3.6.2. Запрет квоты для пользователя или группы Иногда не нужно ограничивать какого-то отдельного пользователя — и в самом деле, не будете же вы ограничивать самого себя? Тогда для этого вам нужно использовать программу edquota и установить значения soft и hard равными 0. После


Запрет повторного объявления

Из книги Серверные технологии хранения данных в среде Windows® 2000 Windows® Server 2003 автора Дайлип Наик

Запрет повторного объявления Обсуждение утверждений в начале лекции дало нам теоретическое понимание сути переопределений. Часть "Открыт" принципа Открыт-Закрыт дает возможность изменять компоненты потомков, но под контролем утверждений. Разрешены лишь те повторные


1.7 Иерархия драйверов систем хранения и типы драйверов

Из книги Справочник по PHP автора

1.7 Иерархия драйверов систем хранения и типы драйверов Как описывалось в предыдущем разделе, Windows NT основана на архитектуре, в которой драйверы формируют многоуровневую иерархию. Преимущество такой архитектуры состоит в расширяемости архитектуры и возможности


Запрет кэширования посредством PHP

Из книги Как пользоваться Интернетом после принятия закона «Об Интернете» автора Халявин Василий

Запрет кэширования посредством PHP Запрет кэширования посредством PHPБольшинство сценариев формируют документы, которые при каждом запуске программы изменяются. Очевидно, если браузер пользователя начнет кэшировать такие документы, ничего хорошего не


10.5.1. Запрет доступа реальным пользователям

Из книги автора

10.5.1. Запрет доступа реальным пользователям Так как сервер wu-ftp работает с учетными записями ОС, которые расположены в файле /etc/passwd, то любой пользователь автоматически сможет работать с FTP-сервером, используя свой аккаунт и права доступа. Но далеко не всем это