在我工作的地方,我们的计算机上有敏感数据需要留在那里,但我们定期更新数据,所以我们需要一种方法来禁止复制到闪存驱动器,但允许从闪存驱动器复制到计算机。目前我们正在使用Windows注册表项StorageDevicePolicies - > writeprotect(1)来做到这一点,但由于任何具有一定计算机知识的人都可以撤消此操作,因此它不够安全。我搜索了但在网上找不到任何东西,所以我决定自己开发它。问题是我没有使用硬件的经验,我主要在c sharp中开发数据库应用程序。所以我会很感激在c sharp的解决方案,但任何可以帮助的是高度赞赏。开发一个程序密码保护USB写访问
如果他们有管理员权限,那么您编写的任何C#程序都可以像关闭注册表键一样轻松关闭。真正的解决方案是修改用户权限,并可能在需要将数据复制到计算机时删除闪存驱动器功能并使用网络共享。
如果有的话,我可能只是提供一个服务,使用一个不起眼的名字,定期轮询注册表项,看看它是否被翻转过来,如果它已经通知IT员工,然后谁将征用计算机,闪存驱动器和事件日志(显示该用户更改了注册表项),然后将它们和日志引用到管理中。这假设员工已经彻底而频繁地被警告说,从机器复制数据严格违反规则。有时,当IT路障管理不善的IT或公司政策时,用户不清楚。
或者,如果服务器发生更改,可以使服务强制返回,但随后的试验和错误将允许具有管理权限的用户发现哪些服务需要关闭以防止此问题。
您应该确认服务仍在运行。微软的Desired Configuration Management工具提供了这项功能(可能只适用于连接到域的计算机)。 http://ccmexec.com/2010/03/using-dcm-in-configuration-manager-2007-to-report-if-service-is-running/ – 2012-08-16 21:12:52
我怀疑你有网络访问,因为你正在使用闪存驱动器来复制数据。但即使你没有网络,你仍然可以使用这种方法(但管理员仍然可以解决它)。
组策略具有您正在寻找的确切设置。只要打开Group Policy Snap-in,然后在Computer Configuration或User Configuration(如果您希望它分别应用于计算机或用户基础上(如果您希望它在一台计算机上,但仅适用于某些用户,则需要设置loopback processing),然后转至\Administrative Templates\System\Removable Storage Access\
在该文件夹,您可以启用以下设置:
如果你在一个领域,你可以把它这样即使用户是本地管理员的计算机,他们不能禁用该设置,除非他们也是域管理员。如果您不在域中,则任何作为Adminstrator的用户都可以禁用它。
注册表项可以使用与文件相同的方式对它们设置权限。您可以配置权限以允许读取该值,但不能更改。这将确保没有人能够改变写保护标志。 – AaronLS 2012-08-16 18:55:56
阅读是允许的?我的组织不允许任何(R或W),但我仍然复制一切.......你知道怎么做?...............我在我的PD上拥有Linux的实时映像:P – perilbrain 2012-08-16 18:57:21
我不知道你是否可以控制闪存驱动器,但是IronKey使很多银行使用它非常安全。 – 2012-08-16 19:00:51