Eu quero que todos os usuários do grupo de usuários 'Restrito' (Windows XP Professional SP3) possam ler os CDs / DVDs inseridos. Não quero que esses usuários consigam gravar CDs / DVDs usando a unidade de CDRW / DVDRW disponível.
Aparentemente, não é suficiente desativar a opção de gravação nas políticas do sistema. Os usuários ainda podem obter uma versão portátil de algum software de gravação de CD / DVD e contornar essa proteção.
Consegui encontrar as seguintes configurações no Windows XP Pro SP3 relacionadas à gravação de CD:
Clique com o botão direito na unidade de CD / DVD - > Propriedades - > Gravação - > Opção "Ativar gravação de CD".
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Gravação de CDs \ Drives
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Diretivas \ Explorer \ NoCDBurning
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Políticas \ Explorer \ NoCDBurning
Eu não acho que nenhuma dessas opções seria suficiente.
Quaisquer sugestões serão bem apreciadas.
Editar:
Máquinas para as quais preciso aplicar essas restrições não devem permitir que nenhum dado seja movido para fora da instituição. Todas as máquinas já têm suas portas USB desativadas, elas são conectadas de um mundo externo (sem acesso à Internet, apenas intranet protegida). Todas as impressoras são monitoradas separadamente e nenhum dispositivo de gravação é permitido na área.
A única falha de segurança na política descrita é a gravação de CD / DVD, já que qualquer usuário pode simplesmente gravar qualquer dado sensível usando um aplicativo de gravação de CD portátil e é para isso que estou tentando encontrar uma solução.
Note que não é como se eu pudesse desativar a unidade de CDROM completamente usando as configurações da BIOS ou simplesmente remover o hardware de todas essas máquinas, porque há outros usuários com privilégios mais altos que devem poder usar todos os recursos de CD / DVD drives.