политика разрешающая доступ к флешке по ее ID

[ejik 10]

Всем привет!!!

Подскажите, может что то не так делаю, вообщем нужно дать доступ к флешкам по их ID, то есть, что бы с "левыми" флешками не работали.

Делаю так: в SEPM->Политики->Компоненты политики->Устройства. Добавляю новое устройства (имя и ид).

Потом иду в Управления приложеними и устройствами, создаю новую политику, управления приложениями добавляю новое правило. Как показано на снимке.

В закладки Действия ставлю разрешения на чьтение, а на создание, копирования и удаления ставлю запрет.

Обновляю на клиенте политики, проверяю не работает.

Юзер может и создавать и удалять папки и файлы.

[Кирилл Керценбаум 671]

ejik а до этого хоть одна политика Контроля Устройств или Приложений использовалась?

[ejik 10]

Да. Запрет на все внешние носители.

[Shell 301]

В политике на втором скрине добавьте устройство выше на 1 пункт. Или добавьте там "*" .

[ejik 10]

В политике на втором скрине добавьте устройство выше на 1 пункт. Или добавьте там "*" .

Не понял где именно поднять? В самом правиле?

[Shell 301]

На один пункт выше. В самом верхнем правиле.

[ejik 10]

На один пункт выше. В самом верхнем правиле.

Так?

[Shell 301]

Да. Решилось?

[ejik 10]

Да. Решилось?

Нет, может здесь что то не так сделал?

Хотя логически вроде все правильно.

[Shell 301]

Вообще, я блочу Storage Volums, а открываю доступ полный по Device ID. Целиком класс USB не лочу. Попробуйте также. Где то я на форуме здесь уже писал своё решение блокировки. Но повторяю, я открываю полный доступ на корпоративные флешки.

[ejik 10]

Вообще, я блочу Storage Volums, а открываю доступ полный по Device ID. Целиком класс USB не лочу

Хорошо, сейчас попробую.

Но повторяю, я открываю полнуй доступ на корпоративные флешки

Мне именно это и нужно.

[ejik 10]

Все равно не получается, может ид флешки не правельно просматрел?

ид флешки взял здесь:

[Shell 301]

с помощью DevViewer (на втором диске SEPа) взять Device ID при подключенном устройстве именно в тот порт, в котором оно будет использоваться.

из ветки Storage Volums – выбрать Generic Volums.. Device ID должен соответствовать GUID {71a27cdd.......}

прочитайте эту тему http://www.anti-malware.ru/forum/index.php?showtopic=8308. внимательно. многое станет понятно.

[Aarony 0]

с помощью DevViewer (на втором диске SEPа) взять Device ID при подключенном устройстве именно в тот порт, в котором оно будет использоваться.

из ветки Storage Volums – выбрать Generic Volums.. Device ID должен соответствовать GUID {71a27cdd.......}

прочитайте эту тему http://www.anti-malware.ru/forum/index.php?showtopic=8308. внимательно. многое станет понятно.

А если после создания правила девайс в другой порт воткнуть, правило не сработает?

[Shell 301]

Aarony, есть флешки на которых меняется Device ID (при включении в другой порт\комп), есть с постоянным (Kingston, transcend). Все зависит от флешки.... Если ID будет меняться - естественно, она будет заблочена.

[Кирилл Керценбаум 671]

Коллеги, рекомендую вот этот документ - там некоторые моменты по ADC изложены более подробно - SEP_Application_and_Device_Control_Best_Practise.pdf

[ejik 10]

Кирилл Керценбаум

А на русском нет такого документа?