ЕВРОПЕЙСКИЕ ВЕРСИИ VISTA НЕ ПОДДЕРЖИВАЮТ ПО УМОЛЧАНИЮ БЛОКИРОВКУ USB
Создавая Vista, Microsoft внесла коррективы в возможности ОС Windows собственными средствами блокировать использование несанкционированных устройств USB-памяти. Ее инструмент управления групповой политикой (Group Policy) пополнился новыми функциями. Однако функция такой блокировки для пользователей некоторых локальных версий новой ОС не установлена по умолчанию. Этот досадный недостаток связан с тем, что Microsoft вынуждена выполнять антимонопольные постановления Европейского Союза.
Хотя пользователей США это, скорее всего, не тревожит, сам факт, что разные версии Vista ведут себя неодинаково, не позволяет особо полагаться на входящие в комплект ОС функции USB-безопасности в корпоративной среде.
Результаты наших тестов функций контроля устройств средствами ОС в целом неоднозначны. Если начинать с положительных аспектов, то следует сказать, что мы успешно смогли запретить пользователю с ограниченными правами подключать к ПК новые устройства USB-памяти.
Нам удалось создать правила, исключающие блокировку USB-устройств конкретного изготовителя или модели при одновременном блокировании любых других типов устройств. Например, мы сформировали политику, разрешающую пользователям подключать только память DataTraveler Elite производства Kingston Technology с запретом на все остальное. Аналогичные эксперименты были проведены нами и с другими группами устройств. Но когда мы попытались запретить доступ к чтению и записи для уже установленных USB-устройств или даже пишущих CD/DVD-приводов, политика не сработала, так как у нас был установлен не тот вариант Vista, а европейские версии Vista Business N данной функции не поддерживают.
Возможность блокировать доступ к чтению и записи на съемных устройствах памяти через Group Policy зависит от наличия Portable Device Enumerator Service, а эта служба в версии Vista Business N по умолчанию не инсталлируется. Мы столкнулись с этим фактом случайно, поскольку на наших тестовых ПК была установлена именно версия Vista Business N.
Данная версия согласована с требованием Евросоюза об отделении Windows Media Player от ОС и поэтому предназначена только для стран Европы. По стечению обстоятельств Portable Device Enumerator Service поставляется вместе с Windows Media Player, а не с основной ОС Vista, и чтобы подключить эту службу к N-версии Vista, надо либо установить Windows Media Player, либо придумать какой-то обходной прием.
После инсталляции Windows Media Player 11 в нашей тестовой системе тут же появилась необходимая служба и немедленно заработали заданные установки Group Policy. Мы проверили их работоспособность и в стандартной версии Vista Business.
Тот факт, что одна из важных функций безопасности Vista зависит от присутствия мультимедийного приложения, еще раз свидетельствует о сложности и неупорядоченности ОС Windows.
