Wyobraźmy sobie, że zostawiamy komputer w domu podczas wyjazdu na wakacje, „pod opieką” najmłodszego syna. Nie koniecznie byśmy chcieli, aby jego najlepsi koledzy przynosili na swoich pendrajwach rewelacje ściągnięte z Internetu, a już na pewno nie, by wynieśli niechcący ważne dokumenty firmowe. To oczywiście hipotetyczna sytuacja, lecz z pewnością wystarczającym powodem jest stosowanie tego rozwiązania (ograniczenia) w firmach, gdzie szefowie nie życzą sobie w większości przypadków, aby pracownicy ich firmy lub firm zewnętrznych współpracujących, wynosili dane typu topsecret. Administratorom ds. bezpieczeństwa też nie podoba się fakt, iż ich podopieczni przynoszą swoje niezbędne narzędzia z dodatkowym kodem w środku na nośnikach zewnętrznych (pendrive) – ta właśnie droga jest jedną z najobszerniejszych źródeł przenoszenia wirusów, trojanów, robaków, malwaru, spyware itp. do firmowych sieci informatycznych.

 

Możliwość wyniesienia danych poprzez zapis na przenośnych pamięciach USB jest dużym problemem w środowiskach, które wymagają zachowania wysokiego stopnia bezpieczeństwa danych. Dotychczas nie było w systemach Windows możliwości kontrolowania tego typu pamięci z poziomu zasobów systemu. Windows XP SP2 wprowadza możliwość zablokowania zapisu na pamięci masowe USB poprzez prostą zmianę w rejestrze.

 

Aby zablokować możliwość zapisu na pamięciach USB należy odnaleźć ten ciąg znaków w rejestrze systemu. Uruchamiamy go poprzez wpisanie regedit.exe w start/uruchom

Zanim jednak zaczniemy modyfikacje rejestru, exportujmy sobie jego zawartość, w celu archiwizacji i możliwości przywrócenia sobie poprzednich ustawień w razie kłopotów.

 

HKEY_LOCAL_MACHINESystemCurrentControlSetControlStorageDevicePolicies

  

 

  

HKEY_LOCAL_MACHINESystemCurrentControlSetControlStorageDevicePolicies

 

i wprowadamy następującą modyfikację wartości w kluczu:

Typ: DWORD

Nazwa: WriteProtect

Dane Wartości: 1

 

 

 

Od tej chwili możliwy będzie odczyt zawartości dysku USB, lecz nie będzie możliwości zapisu na nim danych ani ich modyfikacji. Oczywiście należy jeszcze zadbać o odpowiednią konfigurację zabezpieczeń na samej wartości rejestru, aby użytkownik nie mógł w prosty sposób obejść wprowadzonego zabezpieczenia.

 

Dokonujemy tego wskazując „Edycja/Uprawnienia”

 

 

 

I modyfikując odpowiednio uprawnienia użytkownikom lub grupom użytkowników

 

  

 

Oczywiście gdy zechcemy częściej zmieniać to ustawienie nie ma potrzeby za każdym razem wchodzić do rejestru, szukać odpowiednich kluczy i modyfikować ich wartości.

Wystarczy wyeksportować odpowiedni klucz, z odpowiednią modyfikacją.

 

A potem go scalić. Poprzez kliknięcie prawym przyciskiem myszki i wskazanie na „scal” , lub dwukrotne kliknięcie na plik rejestru.

 

Na koniec, powinniśmy wyeksportować sobie całą gałąź rejestru, w celu jego archiwizacji i możliwości ewentualnego przywrócenia w razie konieczności. zwłaszacza gdy chcemy experymentować i modyfikować kolejne gałęzie rejestru.