0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как запретить использование USB флешки и других съемных накопителей в Windows

Содержание

Запрет флешек системными средствами Windows

Как осуществить запрет флешек в ОС Windows?

На самом деле способов довольно много. Каждый из них имеет свои преимущества, а некоторые и вовсе не заменимы.

В первую очередь администраторам. А также в случае если компьютер используется несколькими пользователями.

Зачем это нужно?

Для безопасности, для конфиденциальности, для ограничения возможностей других пользователей.

Мой материал, как обычно, делится на две части: системные средства и сторонние программы (плюс небольшие вкрапления моего личного мнения).

Также рекомендую почитать предыдущую мою статью, близкую по теме: «Как запретить запуск программы в Windows»

Запрет флешек

Как запретить использование флешек?

Непосредственно в ОС Windows эту задачу можно выполнить с помощью Редактора групповых политик (GPO) и реестра. Кроме этого, можно выключить сами порты в BIOS. К этому всему еще в плюс внешнее программное обеспечение, о котором я расскажу в конце.

Неэффективные способы запрета флешек

Дабы потом не останавливаться на этом, сразу укажу несколько способов, которые явно неэффективны, хотя информации в сети о них полно.

  • Физическое отключение портов. Это, конечно, классно, но есть же и другие порты, и переходники к ним. К тому же, почему-то все забывают о мышке, клавиатуре, колонках и т.п.
  • Удаление драйверов на USB – от этого эффекта ноль. Система сама предложит их установить, или из сети, или с самого накопителя.
  • Запрет флешек в редакторе групповых политик (просто запрещать каждое новое устройство по ID). Лучше запретить все, а нужные разрешить, как именно я покажу ниже.

Я, пожалуй, начну с Редактора групповых политик, так как считаю этот способ наиболее удобным и эффективным среди остальных системных.

Кстати, я также рекомендую отключить автозапуск флешки и других USB-носителей. Это частично решит проблему автоустановки вирусов.

Запрет флешек в Редакторе групповых политик

Нам нужно перейти в GPO. Открываете командную строку (вводите в поиске «cmd», кликаете правой кнопкой мыши, запускаете от имени администратора).

В командной строке вводите gpedit.msc и нажимаете Enter.

Откроется окно GPO. Теперь перейдем в раздел, где настраиваются нужные нам политики – «Доступ к съемным запоминающим устройствам». Нажмите на него – справа появятся существующие политики.

В данном случае нас интересуют политики касающееся съемных носителей. Однако здесь можно настроить работу с дисками (компакт, DVD, гибкими), ленточными накопителями и другими устройствами.

Также, очень удобно, это возможность выбрать, что именно необходимо запретить. Например, в целях сохранения информации, можно запретить запись.

Для этого нажмите на соответствующую политику правой кнопкой мыши и выберите «Изменить».

Теперь выберите команду «Включить» и нажмите «Применить».

При попытке скопировать любой файл на съемный диск, пользователь не сможет этого сделать (если он не состоит в группе «Администраторы»). Он увидит это сообщение.

По такому же принципу применяются и другие функции (чтение, запуск).

Здесь же есть и политика отключающая все классы устройств. Она так и называется.

Доступ только определенных устройств

Способ выше – наиболее простой. Однако, если у Вас есть лишь несколько носителей, которые используются в работе с ПК, то можно создать и белый список.

Для этого нужно:

  • знать GUID устройства
  • применить две политики в GPO

Находим GUID USB-накопителя

Сначала установите устройство в USB-порт, затем по команде показанной ниже, перейдите в «Диспетчер устройств» (ну, или как обычно – через «Панель управления»).

Найдите Ваше устройство в пункте «Переносные устройства» и откройте его свойства.

Перейдите на вкладку «Свойства», выберите из списка свойство «GUID» класса и скопируйте его значение.

Настраиваем нужные политики. Теперь перейдем к GPO. Откройте тот же каталог, что и выше – «Система». Но теперь перейдите к пункту «Установка устройств – Ограничение на установку устройств».

В списке политик нам нужны две выделенные. Вторую просто включаете.

В первой, еще и задаете значения GUID устройств, которые разрешены.

Сюда скопируйте значение GUID (для появления курсора, кликните в поле 2 раза).

Теперь только эти устройства смогут запускаться. В случае, если Вы вставите другие устройства – их попросту не будет видно.

Запрет флешек в Реестре Windows

Запрет использования флешек также можно осуществить с помощью Реестра Windows. Хотелось бы сразу отметить, что данный способ работает только при установленном драйвере на USB. В случае, если вы проделаете все, описанное ниже, когда он еще не установлен, то при подключении любого накопителя, Вам будет предложено установить этот драйвер. И значение, измененное ранее, изменится обратно, к стандартным настройкам.

Этот способ работает на всех ОС Windows. Однако наиболее актуальным он является для ОС Windows XP, так как там нет Редактора групповых политик. Поэтому пример будет показан в среде данной системы. Итак, продолжим.

Для начала откройте реестр. В командной строке введите «regedit» и нажмите «Enter».

Теперь перейдите в эту ветку реестра:

Как видите, там есть несколько параметров. Один из них «Start». Он определяет каким образом доступен USB-накопитель (для любых операций, для чтения, записи и т.д.). На данный момент установлено значение 3. Если изменить его на 4, то накопители станут вообще недоступными. Это нам и нужно.

Кликаете 2 раза и меняете значение на 4.

Теперь при подключении устройство просто не будет отображаться.

Как отключить порты USB в BIOS

Еще один способ запретить использование флешек — это отключить порты USB в BIOS. Сделать это не сложно . Однако, с моей точки зрения, не достаточно эффективно. Хотя, если учесть, что большинство пользователей понятия не имеют не просто о том, что там можно порты отключить, а еще и о том, как туда зайти, то может быть это — удобный и быстрый способ.

Итак, зайдите в БИОС. На большинстве компьютеров это кнопка «F2». Однако в зависимости от марки, и способ отличается. В сети есть куча информации по этой теме, и я не буду подробно на этом останавливаться.

Читать еще:  Почему не запускается Windows 7

Теперь все делается буквально в два шага: переходим на вкладку «Configuration», отключаем функцию «USB Legacy». Сохраняем и выходим.

Как отключить порты USB в BIOS

Все вышеописанные методы не стопроцентно защитят Ваш компьютер. Их тоже можно обойти, а как именно это сделать, смотрите в статье: «Как обойти запрет флешки»

Однако есть целый программный комплекс, обойти который будет не так просто. Он называется DeviceLock DLP. Именно об этом способе запрета флешки и пойдет речь в статье «Запрет USB».

Еще отмечу, что есть и другие простейшие программы типа: Ratool, USB Lock Standard и другие. Но они скорее скрипты с визуальным интерфейсом, которые реализуют метод реестра.

Запрет использования USB накопителей с помощью групповых политик (GPO) Windows

При подключении нового USB устройства к компьютеру, Windows автоматически определяет устройство и устанавливает подходящий драйвер, в результате чего пользователь практически сразу может использовать подключенное USB устройство или накопитель. В некоторых организациях для предотвращения утечки конфиденциальных данных и проникновения в сеть вирусов, возможность использования USB накопителей (флешки, USB HDD, SD-карты и т.п) блокируют из соображений безопасности. В этой статье мы покажем, как с помощью групповых политик (GPO) заблокировать возможность использовать внешних USB накопителей в Windows, запретить запись данных на подключенные флешки и запуск исполняемых файлов.

Политики управления доступом к внешним носителям в Windows

В ОС Windows начиная с Windows 7 / Vista появилась возможность достаточно гибкая возможность управления доступом к внешним накопителям (USB, CD / DVD и др.) с помощью групповых политик. Теперь вы можете программно запретить использование USB накопителей, не затрагивая такие USB устройства, как мышь, клавиатура, принтер и т.д.

Политика блокировки USB устройств будет работать, если инфраструктура вашего домена AD соответствует следующим требованиям:

  • Версия схемы Active Directory — Windows Server 2008 или выше [alert]Примечание. Набор политик, позволяющий полноценно управлять установкой и использованием съемных носителей в Windows, появился только в этой версии AD (версия схемы 44).[/alert]
  • Клиентские ОС – Windows Vista, Windows 7 и выше

Настройка GPO для блокировки USB носителей и других внешних накопителей

Итак, мы планируем ограничить использование USB накопителей на всех компьютерах в определенном контейнере (OU) домена (можно применить политику запрета использования USB ко всему домену, но это затронет в том числе сервера и другие технологические устройства). Предположим, мы хотим распространить действие политики на OU с именем Workstations. Для этого, откройте консоль управления доменными GPO (gpmc.msc) и, щелкнув ПКМ по OU Workstations, создайте новую политику (Create a GPO in this domain and Link it here).

Назовем политику Disable USB Access.

Затем отредактируем ее параметры (Edit).

Настройки блокировки внешних запоминающих устройства присутствуют в пользовательском и компьютерных разделах GPO:

  • User Configuration-> Policies-> Administrative Templates-> System->Removable Storage Access (Конфигурация пользователя -> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам)
  • Computer Configuration-> Policies-> Administrative Templates-> System-> Removable Storage Access (Конфигурация компьютера-> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам)

Если нужно заблокировать USB накопители для всех пользователей доменного компьютера, нужно редактировать политики в разделе «Конфигурация компьютера». Разверните его.

В разделе «Доступ к съемным запоминающим устройствам” (Removable Storage Access) есть несколько политик, позволяющих отключить возможность использования различных классов устройств хранения: CD/DVD дисков, флоппи дисков (FDD), USB устройств, ленты и т.д.

  • Компакт-диски и DVD-диски: Запретить выполнение (CD and DVD: Deny execute access).
  • Компакт-диски и DVD-диски: Запретить чтение (CD and DVD: Deny read access).
  • Компакт-диски и DVD-диски: Запретить запись (CD and DVD: Deny write access).
  • Специальные классы: Запретить чтение (Custom Classes: Deny read access).
  • Специальные классы: Запретить запись (Custom Classes: Deny write access).
  • Накопители на гибких дисках: Запретить выполнение (Floppy Drives: Deny execute access).
  • Накопители на гибких дисках: Запретить чтение (Floppy Drives: Deny read access).
  • Накопители на гибких дисках: Запретить запись (Floppy Drives: Deny write access).
  • Съемные диски: Запретить выполнение (Removable Disks: Deny execute access).
  • Съемные диски: Запретить чтение (Removable Disks: Deny read access).
  • Съемные диски: Запретить запись (Removable Disks: Deny write access).
  • Съемные запоминающие устройства всех классов: Запретить любой доступ (All Removable Storage classes: Deny all access).
  • Все съемные запоминающие устройства: разрешение прямого доступа в удаленных сеансах (All Removable Storage: Allow direct access in remote sessions).
  • Ленточные накопители: Запретить выполнение (Tape Drives: Deny execute access).
  • Ленточные накопители: Запретить чтение (Tape Drives: Deny read access).
  • Ленточные накопители: Запретить запись (Tape Drives: Deny write access).
  • WPD-устройства: Запретить чтение (WPD Devices: Deny read access) – это класс портативных устройств (Windows Portable Device). Включает в себя смартфоны, планшеты, плееры и т.д.
  • WPD-устройства: Запретить запись (WPD Devices: Deny write access).

Как вы видите, для каждого класса устройств вы можете запретить запуск исполняемых файлов (защита от вирусов), запретить чтение данных и запись/редактирование информации на внешнем носителе.

Наиболее «суровая» ограничительная политика — All Removable Storage Classes: Deny All Access (Съемные запоминающие устройства всех классов: Запретить любой доступ) – позволяет полностью отключить доступ к любым типам внешних устройств хранения данных. Чтобы включить эту политику, откройте ее и переведите в состояние Enable.

После активации политики и обновления ее на клиентах (gpupdate /force) внешние подключаемые устройства (не только USB устройства, но и любые внешние накопители) определяются системой, но при попытке их открыть появляется ошибка доступа:

Location is not available

Drive is not accessible. Access is denied

В этом же разделе политик можно настроить более гибкие ограничение на использование внешних USB накопителей.

К примеру, чтобы запретить запись данных на USB флешки, и другие типы USB накопителей, достаточно включить политику Removable Disk: Deny write access (Съемные диски: Запретить запись).

В этом случае пользователи смогут читать данные с флешки, но при попытке записать на нее информацию, получат ошибку доступа:

Destination Folder Access Denied

You need permission to perform this action

С помощью политики Removable Disks: Deny execute access (Съемные диски: Запретить выполнение) можно запретить запуск с USB дисков исполняемых файлов и файлов сценариев.

Как запретить использовать USB накопители определенным пользователям

Довольно часто необходимо запретить использовать USB диски всем пользователям в домене, кроме, например, администраторов.

Проще всего это реализуется с помощью использования Security Filtering в GPO. Например, чтобы запретить применять политику блокировки USB к группе администраторов домена.

  1. Выберите в консоли Group Policy Management вашу политику Disable USB Access.
  2. В разделе Security Filtering добавьте группуDomain Admins.
  3. Перейдите на вкладку Delegation, нажмите на кнопкуAdvanced. В редакторе настроек безопасности, укажите что, группе Domain Admins запрещено применять данную GPO (Apply group policy – Deny).

Если задача стоит по-другому: нужно разрешить использовать USB диски всем, кроме определённой группы пользователей, нужно в настройках безопасности политики добавить вашу группу пользователей с разрешениями на чтение и применение GPO, а у группы Authenticated Users или Domain Computers оставить только разрешение на чтение (сняв галку у пункта Apply group policy).

Блокирование доступа к USB накопителям через реестр и GPP

Более гибко управлять доступом к внешним устройствам можно с помощью настройки параметров реестра, которые задаются рассмотренными выше политиками через механизм Group Policy Preferences (GPP). Всем указанным выше политикам соответствуют определенные ключи реестра в ветке HKLM (или HKCU) SOFTWAREPoliciesMicrosoftWindowsRemovableStorageDevices (по умолчанию этого раздела в реестре нет). Чтобы включить ту или иную политику нужно создать в указанном ключе новую подветку с именем класса устройств, доступ к которым нужно заблокировать (столбец 2) и REG_DWORD параметром с типом ограничения Deny_Read или Deny_Write. Если значение ключа равно 1— ограничение активно, если – запрет использования данного класса устройств не действует.

Читать еще:  Как сравнить процессоры, какой из них быстрее и производительнее. Таблицы и рейтинги производительности (Intel Core i3 vs i5 vs i7)

Как запретить использование USB флешки и других съемных накопителей в Windows

Если вам требуется, чтобы к компьютеру или ноутбуку с Windows 10, 8.1 или Windows 7 никто не мог подключить USB-накопители, вы можете запретить использование флешек, карт памяти и жестких дисков используя встроенные средства системы. Мышки, клавиатуры и другая периферия, не являющаяся хранилищем, продолжит работать.

В этой инструкции о том, как заблокировать использование USB флешек и других съемных накопителей с помощью редактора локальной групповой политики или редактора реестра. Также в разделе с дополнительной информацией о блокировке доступа через USB к устройствам MTP и PTP (камера, Android телефон, плеер). Во всех случаях для выполнения описываемых действий вы должны иметь права администратора в Windows.

Запрет подключения USB флешек с помощью редактора локальной групповой политики

Первый способ более простой и предполагает использование встроенной утилиты «Редактор локальной групповой политики». Следует учитывать, что эта системная утилита недоступна в Домашней редакции Windows (если у вас такая версия ОС, используйте следующий способ).

Шаги по блокировке использования USB накопителей будут следующими:

  1. Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter, откроется редактор локальной групповой политики.
  2. Если требуется запретить использование USB накопителей для всех пользователей компьютера, перейдите к разделу Конфигурация компьютера — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам. Если требуется заблокировать доступ только для текущего пользователя, откройте аналогичный раздел в «Конфигурация пользователя».
  3. Обратите внимание на пункты «Съемные диски: Запретить выполнение», «Съемные диски: Запретить запись», «Съемные диски: Запретить чтение». Все они отвечают за блокировку доступа к USB-накопителям. При этом запрет чтения запрещает не только просмотр содержимого флешки или копирование с неё, но и остальные операции (на накопитель нельзя будет что-либо записать, запуск программ с него также не будет выполняться).
  4. Для того, чтобы, например, запретить чтение с USB накопителя, дважды нажмите по параметру «Съемные диски: Запретить чтение», установите значение «Включено» и примените настройки. Выполните то же самое для других требующихся вам пунктов.

На этом процесс будет завершен, а доступ к USB заблокирован. Перезагрузка компьютера не требуется, однако, если на момент включения ограничений накопитель уже был подключен, изменения для него вступят в силу только после отключения и повторного подключения.

Как заблокировать использование USB флешки и других съемных накопителей с помощью редактора реестра

Если на вашем компьютере отсутствует редактор локальной групповой политики, ту же блокировку можно выполнить и с помощью редактора реестра:

  1. Нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter.
  2. В редакторе реестра перейдите к одному из разделов: первый — для запрета использования USB накопителей для всех пользователей. Второй — только для текущего пользователя
  3. Создайте подраздел RemovableStorageDevices, а в нем — подраздел с именем
  4. В этом подразделе создайте нужные параметры DWORD32 (даже для Windows x64) — с именем Deny_Readдля запрета чтения и других операций, Deny_Execute — для запрета выполнения, Deny_Write — для запрета записи на USB накопитель.
  5. Установите значение 1 для созданных параметров.

Запрет использования USB флешек и других съемных накопителей вступит в силу сразу после внесения изменения (если на момент блокировки накопитель уже был подключен к компьютеру или ноутбуку, он будет доступен до отключения и повторного подключения).

Дополнительная информация

Некоторые дополнительные нюансы блокировки доступа к USB накопителям, которые могут оказаться полезными:

  • Описанные выше способы работают для съемных USB флешек и дисков, однако не работают для устройств, подключенных по протоколу MTP и PTP (например, хранилище Android телефона продолжит быть доступным). Для отключения доступа по этим протоколам, в редакторе локальной групповой политики в том же разделе используйте параметры «WPD-устройства» для запрета чтения и записи. В редакторе реестра это будет выглядеть как подразделы , и в политиках RemovableStorageDevices (как описывалось выше) с параметрами Deny_Read и/или Deny_Write.
  • Для того, чтобы в дальнейшем вновь включить возможность использования USB накопителей, просто удалите созданные параметры из реестра или установите «Выключено» в измененных ранее политиках доступа к съемным запоминающим устройствам.
  • Еще один способ блокировки USB накопителей — отключение соответствующей службы: в разделе реестра измените значение Start на 4 и перезагрузите компьютер. При использовании этого способа подключенные флешки даже не будут появляться в проводнике.

Помимо встроенных средств системы, есть сторонние программы для блокировки подключения различного рода USB устройств к компьютеру, в том числе и продвинутые инструменты наподобие USB-Lock-RP. Спасибо remonka

Как запретить использование USB флешки и других съемных накопителей в Windows

Во многих фирмах и организациях запрет на использования USB накопителей одна из первоочередных задач которые ставятся перед системным администратором предприятия, причина тому две беды – вынос информации (секретных документов и т.д.) и внос ее: вирусы, игры и тому подобное. На первый взгляд задача решается просто – через BIOS отключить USB порты, но это затронет и другие USB устройства – мышь, клавиатура, принтер или зарядку для телефона.

Оглавление

Итак, необходимо программно запретить использование флешек, при этом не задев полезных USB устройств. Вариантов решения несколько, давайте рассмотрим их по подробнее:

Отключить USB Windows 7, 8, Vista

Начиная с Windows Vista в локальных групповых политиках (gpedit.msc) появился очень полезный куст, находится в Политика “Локальный компьютер” > Конфигурация компьютера > Административные шаблоны > Система > Доступ к съемным запоминающим устройствам. В нем можно гибко настроить запреты чтения, записи и выполнения на различные классы съемных устройств.

Отключить USB Windows XP

Чтобы запретить съемные запоминающие устройства USB в Windows XP, нужно немного подправить реестр и настроить права доступа к файлам драйвера:

  1. Учетной записи SYSTEM выставить разрешение “Запретить” для следующих файлов:
    • %SystemRoot%InfUsbstor.pnf
    • %SystemRoot%InfUsbstor.inf

Тут описано более подробно, первоисточник – http://support.microsoft.com/kb/823732

Создайте фаил с расширением – .bat и с копируйте один из вариантов кода
Батники, для автоматизации отключения:

on-USB.bat

off-USB.bat

Запрет USB через групповые политики Windows server 2003

По умолчанию Групповые Политики в Windows server 2003 не предоставляют возможности простого способа отключения устройств использования сменных носителей, таких как порты USB, дисководы CD-ROM, Floppy дисководы. Не смотря на это, Групповые Политики могут быть расширены для использования соответствующих настроек посредством ADM шаблона.

ADM шаблон представленный ниже позволит администратору отключить соответствующее устройство. Импортируйте этот административный шаблон в Групповые Политики как .adm файл.
В C:WINDOWSinf создаем файл nodev.adm с содержимым:

ВАЖНО! В случае если добавленные политики не отображаются в редакторе групповых политик проделайте следующее:
1. В правой части окна редактора политик нажмите правую клавишу мыши, перейдите в пункт меню Вид и нажмите Фильтрация…
2. Снимите отметку с пункта “Показывать только управляемые параметры политики”
3. Нажмите ОК
После этого добавленные политики будут отображены в правой части окна редактора групповых политик.

Детальная информация на оф.сайте

Запрет USB через групповые политики Windows server 2008

Готовая групповая политика запрета накопителей, появилась в серверных ОС, начиная с Windows server 2008, настроить их на контроллере можно через оснастку gpmc.msc, располагаются по тому же пути (Policy > Computer configuration > Policies > Administrative Templates > System > Removable storage access). Работает она безотказно, но применятся только на операционные системы Windows Vista, 7 и 8.

Несколько сложнее, обстоят дела с Windows XP, несмотря на заявления Microsoft о прекращении поддержки XP весной 2014 , она по-прежнему занимает не малую часть операционных систем, используемых в корпоративном секторе. Не беда, настроим как и локальную, но только через ГПО. Запускаем gpmc.msc, создаем объект групповой политики и начинаем его редактировать.

  1. Реестр Computer Configuration > Preferences >Windows Settings > Registry – создать “Элемент реестра” (HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR) значение Start установить 4.
  2. Права к файлам драйвера USB накопителей. Computer Configuration > Policies > Windows Settings > Security Settings > File System – добавить файлы %SystemRoot%InfUsbstor.pnf и%SystemRoot%InfUsbstor.inf, выставить запрет для группы SYSTEM или Users.

Как запретить использование USB флешки и других съемных накопителей в Windows

Политика безопасности предприятия может требовать ограничений по использованию USB устройств.

Причин такой необходимости две: защита служебной информации (от разглашения/растаскивания) и защита ОС от вирусных опасностей (по большей части).

Из всех найденных не долгим поиском методов в моём случае не подошёл ни один 🙂

Даже вариант с ограничением прав для пользователей в реестре не дал результата (удалил даже права для системы и администратора — т.е. все права полностью для всех — не помогло ).

В итоге комбинировал свой вариант (сборка из двух разных).

В моём случае обычный пользователь не имеет никаких привелегий в системе (прям мечта!) и разумеется потребовался максимальный функционал — т.е. использование определённых (зарегистрированных) носителей на отдельных ПК.

Для этого используем всего две процедуры (действия):

    Удаляем из реестра информацию о всех использованных (зарегистрированных в реестре) запоминающих устройствах USB любым удобным методом (на Ваш вкус).
    Мне быстрее и проще всего оказалось воспользоваться простенькой утилитой

В случае, когда права в ОС распределены и «обычная» работа выполняется пользователем с ограниченными правами данный метод полностью блокирует возможность подключить к ОС не зарегистрированный (системным администратором) «Флешки».

Удаление и добавление файлов Usbstor.pnf и Usbstor.inf можно осуществлять с помощью файлов .bat примерно следующего вида:

удаление

восстановить (при условии, что файлы лежат рядом с bat-файлом)

Внимание! Для Windows 7 и выше все .bat файлы нужно запускать от имени администратора («Запустить от имени администратора» в контекстном меню).

Управление компьютером->диспетчер устройств->контроллеры универсальной последовательной шины USB->(корневые USB концентраторы) -> «применение устройства: [отключено]

Например, если принтер подключен к какому-либо концентратору, то его можно не отключать.

примечание 1. Диспетчер устройств можно запустить из командной строки start devmgmt.msc.

примечание 2. Интересное свойство диспетчера устройств из консоли выполнить две команды:

Тогда в Диспетчере устройств отобразятся скрытые устройства.

Если не требуется USB — отключение контролеров USB.

Запретить использование всем, кроме избранных через «Управление компьютером -> Запоминающие устройства -> СъемныеЗУ -> Свойства -> Безопасность.

Недостаток

Здесь есть некие подводные камни, например, запрет на использование группе USER. Но администратор может входить в группу USER.

Впрочем, это равносильно изменению параметра
HKLMSYSTEMCurrentControlSetServicesUSBSTOR «Start»
«Start»=dword:00000004 — запретить;
«Start»=dword:00000003 — разрешить.

примечание. Запустить службу можно из командной строки
net start «Съемные ЗУ»

Идем в папку %Windows%inf (папка имеет атрибут hidden) , в ней есть два файла — Usbstor.pnf и Usbstor.inf.

Запрещаем доступ к этим файлам, кроме группы администраторов или конкретного пользователя.

Более подробно это описано у Microsoft

Зачем запрещать USB совсем, когда можно запретить только запись?

Параметр WriteProtect, скорей всего его нет. Тогда его нужно создать с типом dword и присвоить значение 1.

И не забыть перегрузить компьютер. Чтобы восстановить — присвоить значение 0.

Итак, по шагам (разумеется, нужно обладать правами локального администратора):

  1. Win+R (аналог Пуск -> Выполнить), regedit.
  2. [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTOR]. Этот ключ хранит информацию о всех когда-либо подключенных USB-носителях.
  3. Даем себе полный доступ на USBSTOR (правая клавиша мыши -> Разрешения, отметить пункт Полный доступ у группы ВСЕ).
  4. Удаляем все содержимое USBSTOR.
  5. Подключаем одобренную фэшку, убеждаемся в том, что она определилась. Внутри USBSTOR должен появиться ключ типа Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07 (F5 для обновления списка).
  6. Опять ПКМ на USBSTOR, Разрешения. Убираем Полный доступ у группы ВСЕ, право на чтение оставляем.
  7. Те же самые права нужно назначить пользователю SYSTEM, но напрямую это сделать не получится. Сначала нужно нажать кнопку Дополнительно, убрать галку Наследовать от родительского обьекта…, в появившемся окне Безопасность сказать Копировать. После очередного нажатия на ОК права пользователя SYSTEM станут доступны для изменения.
  8. Для закрепления эффекта нажимаем кнопку Дополнительно еще раз и отмечаем пункт Заменить разрешения для всех дочерних объектов… Подтверждаем выполнение.

Чего же мы добились в итоге?Разрешенная флешка подключается и отключается без проблем. При попытке же несанкционированного подключения Windows определит устройство, но установить его не сможет, ругнувшись следующим образом:

Причем, в USBSTOR’е будет создан новый ключ, который недвусмысленно укажет на попытку подключения неодобренного USB-накопителя.

Запретить использование USB флеш накопителей (флешек) на компьютере

Однажды суровое начальство поставило на работе цель отключить возможность использование флешек на одном из рабочих компьютеров. Как оказалось, данная задача решается достаточно легко, и вот несколько способов её решения:

Использование групповых политик

Самый простой способ, с помощью которого можно сделать это удаленно (как политику для компьютеров в домене Active Directory), так и на локальном компьютере.

Для этого нужно открыть редактор групповых политик:

  • Если вы планируете настраивать запрет на использование USB накопителей, то используйте команду для открытия редактора групповых политик на локальном компьютере — gpedit.msc .
  • Если же вы планируете включить запрет используя групповые политики домена Active Directory, то нужно использовать команду gpmc.msc

Далее действия одинаковы для обоих случаев:

В окне редактора групповых политик переходим по следующему пути: Конфигурация компьютера — Политики — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам, после чего меняем значение пункта «Съемные запоминающие устройства всех классов: Запретить любой доступ» на «Включено«.

Используя редактор реестра

Так как в групповых политиках Windows XP нет пункта отвечающего за возможность отключения, то в ней придется использовать более изощренные методы.

  1. Открываем Проводник/Мой компьютер, и переходим в папку %SystemRoot%Inf . Находим файл Usbstor.pnf, нажимаем по нему правой кнопкой мыши, и затем открываем пункт меню Свойства.
  2. В открывшихся свойствах находим вкладку Безопасность.
  3. В поле «Группы или пользователи» находим строку «SYSTEM», и выделив её ставим галочку ниже у пункта «Полный доступ», в столбце «Запретить». Если строки SYSTEM нет, то её нужно добавить — для этого достаточно нажать кнопку «Добавить» и ввести там «SYSTEM». После этого следует сделать вышеописанную процедуру с запретом полного доступа.
  4. Проделываем тоже самое для файла Usbstor.inf.
  5. Далее, открываем Редактор реестра — для этого достаточно нажать кнопки Win + R , и ввести там команду Regedit . Затем нажимаем либо кнопку «ОК», либо клавишу Enter , и попадаем в Редактор реестра.
  6. В левой части Редактора реестра переходим по следующему пути — HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR. Теперь в правой части находим пункт Start, и открываем его двойным щелчком.
  7. В открывшемся окне ставим значение Start «0», затем нажимаем кнопку «ОК», и закрываем Редактор реестра.
Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector