Запрет на подключение USB устройств.

По сабжу сам с трудом понимаю, но попытаюсь обьяснить.
Требуется написать найти готовое, неважно. Главное что бы оно было и работало и могло апдэйтиться и дописываться, то бишь сопровождаться. Язык и способы реализации по барабану.

В общем требуется: написать некий драйвер для ВиНдЫ, в котором можно было бы проставить разрешенные USB устройтсва и только их, (т.е. требуется небольшой бэк офис) . Далее запретить подключение других USB устройств за исключением определенных, но оставить возможность подключения по паролю.
Скажем приходит умный и крутой спец знает пароль, воткнул флешку у него запросили пароль, он его ввел и может юзать эту самую флешку.

Меня интересует обьем работ и сколько это может стоить, ну и по срокам. Не берусь пока выставлять как работу ибо не представляю ни фронта работ, ни их стоимости по данному вопросу.

Оговорюсь только, это не может быть служба или прикладуха в автозагрузке, секъюрность как понимаете требуется.

Вам сюда ссылка

Я просто посоветоваться хотел, ибо я сам исполнитель, если кому то интересно сведу напрямую с заказчиком. Меня написание подобного не греет, и потому решил спросить мнения у народа.

Предполагается что потенциальный злоумышленник(тот, кто захочет отключить этот механизм) может быть только под пользователем - НЕ администратором? Или возможно что и под администратором тоже?
В общем, тематика интересна.

А зачем драйвер? Разве не достаточно обычной утилиты , которая помещается в автозагрузку и отслеживает подключение к USB.
Функция GetVolumeInformation может установить серийный номер и имя USB- флешки. Далее проверка по серийнику.

dervinar, на машине при загрузке энной системы, которая работает поверх винды, не остается других пользователей кроме "администратора", поэтому разграничение прав тут роли не играет.

hans1, автозагрузку подключившийся чел может взять и отрубить, ну и сответственно отрубить процесс отслеживания.

я никогда дравера не писал, моя тематика базы данных, потому и подумал предложить на обсуждение тем кто в этой теме рулит, и если есть интерес выложу как предложение о работе, от оффлайнового работодателя и даже участвовать в обсуждении вопроса не стану, что бы не думали что я что то ищу для себя, мне хватает своего. Нужно "предложить", именно предложить решение, потому что отдавать это дело конторе, которая сорвет "многабабла" неинтересно.

Для наведения на суть могу предложить вот такое сцылко

ссылка

НО! эта софтина не устраивает потому что нет ввода пароля, да и серьезность такая не предполагается.

Суть, отключение всего и вся от USB шины, за исключением 2-х девайсов. Остальное подключается по вводу пароля.

Если пользователь не является администратором, то организовать запрет на подключение устройств достаточно просто(умный и крутой спец для своих дел будет юзать админский акк).
если интересуют только юсб-диски(без принтеров, мышей и прочей периферии), то ещё проще: hklm\system\mounteddivices

Читай выше, пользователь на машине один, и он же админ, запрещать нужно логически, на аппаратно - програмном, что ли, уровне. Вопрос разграничения уже поднимался это я могу сделать сам и было бы можно вопрос бы не поднимал. Нет других пользователей кроме админа, под этой учеткой работает сторонняя система, и она же основная, винда тут просто платформа, в которой используются сетевые службы и прочая лабуда. Нужно запретить любому мега умному спецу доступ к USB девайсам, за исключением спеца с отдельным паролем.

Возможно переписывание непосредственно драйвера USB. Вопрос в другом. Если это сделать, но пользователь имеет права администратора, всеравно он сможет, переустановив драйвера, отключить механизм проверки. Лично я вижу единственный рабочий способ при таких исходных данных - писать что-то, ведущее себя аналогично вирусами для невозможности отключения данного механизма без полной переустановки системы. Но с переустановкой системы удастся отключить любые механизмы защиты, тут уж ничего не поделать...

Сделай 2 проги
адна типа сервиса
2 с именем похожим на системный процесс
например svhost.exe и пусть ана запустит и ждёт када аснавную прогу вырубят, и как тока это произойдёт апять её запустит, а главная в свою очередь пусть так же следит за svhost.exe

Цитата ("mulbergerio"):

Сделай 2 проги
адна типа сервиса
2 с именем похожим на системный процесс
например svhost.exe и пусть ана запустит и ждёт када аснавную прогу вырубят, и как тока это произойдёт апять её запустит, а главная в свою очередь пусть так же следит за svhost.exe

Вирусописатели много чего напридумывали такого рода... Вариантов много, описанный выше - один из них... не самый лучший.

dervinar, согласен с переустановкой системы, но это невозможно, машинка так сказать промышленная и лежит в сейфе.
mulbergerio, мысль по поводу подвеса на svhost имеет право на жизнь. в общем скажите как описать выложу в тэндер. Если кто может взяться отсюда, то можем договориться о встрече в реале с заказчиком для подписания договора. Сам я этого сделать не могу, а тратить недели на изучение кишков не могу. В общем и целом суть наверно все поняли.

Против спеца с админскими правами может помочь только физическое устранение вышеозначенного спеца.
выбор не так уж и большой: можно отслеживать несанкционированное подключение новых устройств и применять к нарушителю административные меры, если возможно; ещё можно отключить юсб в биосе, хотя, если сильно будет надо, пароль сбросят; также можно отключить юсб-порты физически, но, раз уж создана эта тема, значит такие решения не подходят.
из более-менее реального будет только изменение существующего порядка: отобрать права админа, ввести драконовские санкции за левые девайсы и тп. параллельно, если есть постоянное подключение к сети, можно повесить программу, которая будет информировать избранный круг лиц о подключении девайсов. конечно, не запрет, но хотя бы сможете отреагировать.

ZLock, DeviceLock