在我工作的地方,我们的计算机上有敏感数据需要留在那里,但我们会定期更新数据,因此我们需要一种方法来禁止复制到闪存驱动器,但允许从闪存驱动器复制到计算机。目前我们正在使用Windows注册表项StorageDevicePolicies - > writeprotect(1),但由于任何具有一些计算机知识的人都可以撤消它,因此它不够安全。我搜索但在网上找不到任何东西所以我决定自己开发它。问题是我没有任何使用硬件的经验我主要是在c sharp中开发数据库应用程序。所以我很感激c sharp的解决方案,但任何可以帮助的东西都非常受欢迎。
答案 0 :(得分:2)
如果他们拥有管理员权限,那么您编写的任何C#程序都可以像更改注册表项一样轻松关闭。真正的解决方案是修改用户权限,并可能在需要将数据复制到计算机时删除闪存驱动器功能并使用网络共享。
如果有的话,我可能只是使用一个不起眼的名称进行服务,定期轮询注册表项以查看它是否被翻转,然后是否有通知IT人员,然后他们将占用计算机,闪存驱动器和事件日志(显示该用户更改了注册表项),然后将它们和日志引用到管理。这假设员工已被彻底和频繁地警告,从机器上复制数据严格违反规则。有时,当IT路障只是管理不善的IT或公司政策时,用户不清楚。
或者,如果更改了服务,可以使服务强制返回,但是然后试用和错误将允许具有管理员权限的用户发现需要关闭哪些服务以防止这种情况发生。
答案 1 :(得分:0)
我怀疑您是否有网络访问权限,因为您使用闪存驱动器来复制数据。但即使您没有网络,您仍然可以使用此方法(但管理员仍然可以绕过它)。
组策略具有您正在寻找的确切设置。只需打开Group Policy Snap-in,然后在Computer Configuration
或User Configuration
下(如果您希望分别以计算机或用户为基础)(如果您想在一台计算机上使用它,但仅适用于您需要设置的某些用户loopback processing)然后转到\Administrative Templates\System\Removable Storage Access\
在该文件夹中,您可以启用以下设置:
如果您在域中,即使用户是计算机的本地管理员,他们也可以这样做,除非他们也是域管理员,否则他们无法禁用该设置。如果您不在域中,则任何管理员用户都可以将其禁用。