При подключении нового USB устройства к компьютеру, Windows автоматически определяет устройство и устанавливает подходящий драйвер. В результате пользователь практически сразу может использовать подключенное USB устройство или накопитель. Если политика безопасности вашей организации предполагает запрет использования переносных USB накопителей (флешки, USB HDD, SD-карты и т.п), вы можете заблокировать такое поведение. В этой статье мы покажем, как заблокировать использование внешних USB накопителей в Windows, запретить запись данных на подключенные флешки и запуск исполняемых файлов с помощью групповых политик (GPO).
Содержание:
- Настройка групповой политики блокировки USB носителей в Windows
- Как заблокировать USB накопители только определенным пользователям?
- Запрет доступа к USB накопителям через реестр и GPO
- Полное отключение драйвера USB накопителей в Windows
- История подключения USB накопителей в Windows
- Разрешить подключение только определенной USB флешки
Настройка групповой политики блокировки USB носителей в Windows
В Windows вы можете гибко управлять доступом к внешним накопителям (USB, CD / DVD и др.) с помощью групповых политик Active Directory (мы не рассматриваем радикальный способ отключения USB портов через настройки BIOS). Вы можете заблокировать только USB накопителей, при этом другие типы USB устройств (мышь, клавиатура, принтер, USB адаптеры на COM порты), будут доступны пользователю.
В этом примере мы создадим попробуем заблокировать USB накопителей на всех компьютерах в OU домена с именем Workstations (можно применить политику запрета использования USB ко всему домену, но это затронет в том числе сервера и другие технологические устройства).
- Откройте е консоль управления доменными GPO (msc), найдите в структуре структуре Organizational Unit контейнер Workstations, щелкните по нему правой клавишей и создайте новую политику (Create a GPO in this domain and Link it here);
Совет. Вы можете настроить политика ограничения использования USB портов на отдельностоящем компьютере (домашний компьютер или компьютер в рабочей группе) с помощью локального редактора групповых политик (gpedit.msc).
- Задайте имя политики — Disable USB Access.
- Перейдите в режим редактирования GPO (Edit).
Настройки блокировки внешних запоминающих устройств есть как в пользовательском, так и в компьютерных разделах GPO:
- User Configuration-> Policies-> Administrative Templates-> System->Removable Storage Access (Конфигурация пользователя -> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам);
- Computer Configuration-> Policies-> Administrative Templates-> System-> Removable Storage Access (Конфигурация компьютера-> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам).
Если нужно заблокировать USB накопители для всех пользователей компьютера, нужно настроить параметры в разделе “Конфигурация компьютера”.
В разделе “Доступ к съемным запоминающим устройствам” (Removable Storage Access) есть несколько политик, позволяющих отключить возможность использования различных классов устройств хранения: CD/DVD дисков, флоппи дисков (FDD), USB устройств, ленты и т.д.
- Компакт-диски и DVD-диски: Запретить выполнение (CD and DVD: Deny execute access).
- Компакт-диски и DVD-диски: Запретить чтение (CD and DVD: Deny read access).
- Компакт-диски и DVD-диски: Запретить запись (CD and DVD: Deny write access).
- Специальные классы: Запретить чтение (Custom Classes: Deny read access).
- Специальные классы: Запретить запись (Custom Classes: Deny write access).
- Накопители на гибких дисках: Запретить выполнение (Floppy Drives: Deny execute access).
- Накопители на гибких дисках: Запретить чтение (Floppy Drives: Deny read access).
- Накопители на гибких дисках: Запретить запись (Floppy Drives: Deny write access).
- Съемные диски: Запретить выполнение (Removable Disks: Deny execute access).
- Съемные диски: Запретить чтение (Removable Disks: Deny read access).
- Съемные диски: Запретить запись (Removable Disks: Deny write access).
- Съемные запоминающие устройства всех классов: Запретить любой доступ (All Removable Storage classes: Deny all access).
- Все съемные запоминающие устройства: разрешение прямого доступа в удаленных сеансах (All Removable Storage: Allow direct access in remote sessions).
- Ленточные накопители: Запретить выполнение (Tape Drives: Deny execute access).
- Ленточные накопители: Запретить чтение (Tape Drives: Deny read access).
- Ленточные накопители: Запретить запись (Tape Drives: Deny write access).
- WPD-устройства: Запретить чтение (WPD Devices: Deny read access) – это класс портативных устройств (Windows Portable Device). Включает в себя смартфоны (например, доступ хранилищу Android телефона) , планшеты, плееры и т.д.
- WPD-устройства: Запретить запись (WPD Devices: Deny write access).
Как вы видите, для каждого класса устройств вы можете запретить запуск исполняемых файлов (защита от вирусов), запретить чтение данных и запись/редактирование информации на внешнем носителе.
Максимальная ограничительная политика — All Removable Storage Classes: Deny All Access (Съемные запоминающие устройства всех классов: Запретить любой доступ) – позволяет полностью запретить доступ к любым типам внешних устройств хранения. Чтобы включить эту политику, откройте ее и переведите в состояние Enable.
После настройки политики и обновления параметров GPO на клиентах (gpupdate /force) внешние подключаемые устройства (не только USB устройства, но и любые внешние накопители) будут определять ОС, но при попытке их открыть появится ошибка доступа:
Location is not available Drive is not accessible. Access is denied
Совет. Аналогичное ограничение можно задать, через реестр, создав в ветке HKEY_CURRENT_USER (или ветке HKEY_LOCAL_MACHINE) SoftwarePoliciesMicrosoftWindowsRemovableStorageDevices ключ Deny_All типа Dword со значением 00000001.
В этом же разделе политик можно настроить более гибкие ограничения на использование внешних USB накопителей.
К примеру, вы можете запретить запись данных на USB флешки, и другие типы USB накопителей. Для этого включите политику Removable Disk: Deny write access (Съемные диски: Запретить запись).
После этого пользователи смогут читать данные с USB флешки, но при попытке записать на нее информацию, получат ошибку доступа:
Destination Folder Access Denied You need permission to perform this action
С помощью политики Removable Disks: Deny execute access (Съемные диски: Запретить выполнение) можно запретить запуск исполняемых файлов и скриптов с USB дисков.
Как заблокировать USB накопители только определенным пользователям?
Довольно часто необходимо запретить использовать USB диски всем пользователям компьютера, кроме администраторов.
Проще всего сделать исключение в политике с помощью Security Filtering GPO. Например, вы хотите запретить применять политику блокировки USB к группе администраторов домена.
- Найдите вашу политику Disable USB Access в консоли Group Policy Management;
- В разделе Security Filtering добавьте группу Domain Admins;
- Перейдите на вкладку Delegation, нажмите на кнопкуAdvanced. В редакторе настроек безопасности, укажите что, группе Domain Admins запрещено применять настройки этой GPO (Apply group policy – Deny).
Может быть другая задача — нужно разрешить использование внешних USB накопителей всем, кроме определённой группы пользователей. Создайте группу безопасности “Deny USB” и добавьте эту группу в настройках безопасности политики. Для этой группы выставите разрешения на чтение и применение GPO, а у группы Authenticated Users или Domain Computers оставить только разрешение на чтение (сняв галку у пункта Apply group policy).
Добавьте пользователей, которым нужно заблокировать доступ к USB флешкам и дискам в эту группу AD.
Запрет доступа к USB накопителям через реестр и GPO
Вы можете более гибко управлять доступом к внешним устройствам с помощью настройки параметров реестра через механизм Group Policy Preferences (GPP). Всем указанным выше политикам соответствуют определенные ключи реестра в ветке HKLM (или HKCU) SOFTWAREPoliciesMicrosoftWindowsRemovableStorageDevices (по умолчанию этого раздела в реестре нет).
- Чтобы включить ту или иную политику нужно создать в указанном ключе новую ветку с именем класса устройств, доступ к которым нужно заблокировать (столбец
- В новой ветке реестра нужно создать REG_DWORD параметром с именем ограничения, которое вы хотите внедрить:
Deny_Read — запретить чтения данных с носителя;
Deny_Write – запретить запись данных;
Deny_Execute — запрет запуска исполняемых файлов. - Задайте значение параметра:
1 — заблокировать указанный тип доступа к устройствам этого класса;
0 – разрешить использования данного класса устройств.
Название параметра GPO | Подветка с именем Device Class GUID | Имя параметра реестра |
Floppy Drives: Deny read access |
{53f56311-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Read |
Floppy Drives: Deny write access |
{53f56311-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Write |
CD and DVD: Deny read access |
{53f56308-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Read |
CD and DVD: Deny write access |
{53f56308-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Write |
Removable Disks: Deny read access |
{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Read |
Removable Disks: Deny write access |
{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Write |
Tape Drives: Deny read access |
{53f5630b-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Read |
Tape Drives: Deny write access |
{53f5630b-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Write |
WPD Devices: Deny read access |
{6AC27878-A6FA-4155-BA85-F98F491D4F33} {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE} |
Deny_Read |
WPD Devices: Deny write access |
{6AC27878-A6FA-4155-BA85-F98F491D4F33} {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE} |
Deny_Write |
Вы можете создать эти ключи реестра и параметры вручную. На скриншоте ниже я создал ключ RemovableStorageDevices, а в нем подраздел с именем {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}. С помощью REG_DWORD параметров я запретил запись и запуск исполняемых файлов с USB накопителей.
Запрет использования USB накопителей вступит в силу немедленно после внесения изменения (не нужно перезагружать компьютер). Если USB флешка подключена к компьютеру, она будет доступна до тех пор, пока ее не переподключат.
Чтобы быстро заблокировать чтение и запись данных на USBнакопители в Windows, можно выполнить такой PowerShell скрипт:
$regkey='HKLM:SoftwarePoliciesMicrosoftWindowsRemovableStorageDevices{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}'
$exists = Test-Path $regkey
if (!$exists) {
New-Item -Path 'HKLM:SoftwarePoliciesMicrosoftWindowsRemovableStorageDevices' -Name '{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}' -Force | Out-Null
}
New-ItemProperty -Path $regkey -Name 'Deny_Read -Value 1 -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path $regkey -Name 'Deny_Write' -Value 1 -PropertyType 'DWord' -Force | Out-Null
В доменной среде эти параметры реестра можно централизованно распространить на компьютеры пользователей с помощью GPP. Подробнее настройка параметров реестра через GPO описана в статье Настройка параметров реестра на компьютерах с помощью групповых политик.
Данные ключи реестра и возможности нацеливания политик GPP с помощью Item-level targeting позволят вам гибко применять политики, ограничивающие использование внешних устройств хранения. Вы можете применять политики к определённым группам безопасности AD, сайтам, версиям ОС, OU и другим характеристикам компьютеров (в том числе можно выбирать компьютеры через WMI фильтры).
Примечание. Аналогичным образом вы можете создать собственные политики для классов устройств, которые в данном списке не перечислены. Узнать идентификатор класса устройства можно в свойствах драйвера в значении атрибута Device Class GUID.
Полное отключение драйвера USB накопителей в Windows
Вы можете полностью отключить драйвер USBSTOR (USB Mass Storage Driver), который необходим для корректного определения и монтирования USB устройств хранения.
На отдельно стоящем компьютере вы можете отключить этот драйвер, изменив значение параметра Start (тип запуска) с 3 на 4. Можно это сделать через PowerShell командой:
Set-ItemProperty "HKLM:SYSTEMCurrentControlSetservicesUSBSTOR" -name Start -Value 4
Перезагрузите компьютер и попробуйте подключить USB накопитель. Теперь он не должен появиться в проводнике или консоли управления дисками, а в диспетчере устройств вы увидите ошибку установки драйвера устройства.
С помощью Group Policy Preferences вы можете отключить запуск драйвера USBSTOR на компьютерах домена. Для этого нужно внести изменения в реестр через GPO.
Эти настройки можно распространить на все компьютеры. Создайте новую групповую политику, назначьте ее на OU с компьютерами и в разделе Computer Configuration -> Preferences -> Windows Settings -> Registry создайте новый параметр со значениями:
- Action: Update
- Hive: HKEY_LOCAK_MACHINE
- Key path: SYSTEMCurrentControlSetServicesUSBSTOR
- Value name: Start
- Value type: REG_DWORD
- Value data: 00000004
История подключения USB накопителей в Windows
В некоторых случая при анализе работы блокирующих политик вам нужно получить информацию об истории подключения USB накопителей к компьютеру.
Чтобы вывести список USB накопителей, подключенных к компьютеру прямо сейчас, выполните такую команду PowerShell:
Get-PnpDevice -PresentOnly | Where-Object { $_.deviceId -match '^USBSTOR' }
Status OK указывает, что данное устройство подключено и работает нормально.
Журнал событий Windows позволяет отслеживать события подключения/отключения USB накопителей.
- Эти события находятся в журнале Event Viewer -> Application and Services Logs -> Windows -> Microsoft-Windows-DriverFrameworks-UserMode -> Operational;
- По умолчанию Windows не сохраняет историю об подключениях. Поэтому вам придется включить вручную (Enable Log) или через GPO;
- После этого вы можете использовать событие с EventID 2003 (Pnp or Power Management operation to a particular device) для получения информации о времени подключения USB накопителя и Event ID 2102 (Pnp or Power Management operation to a particular device) о времени отключения флешки:
Forwarded a finished Pnp or Power operation (27, 2) to the lower driver for device SWDWPDBUSENUM_??_USBSTOR#DISK&VEN_UFD_2.0&PROD_SILICON-POWER16G&REV_PMAP#12010208030E6C10D00CE7200A6&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} with status 0x0.
Также вы можете использовать бесплатную утилиту USBDriveLog от Nirsoft которая позволяет вывести в удобном виде всю историю подключения USB флешек и дисков к компьютеру пользователю (выводится информацию об устройстве, серийный номер, производитель, время подключения/отключения, и device id).
Разрешить подключение только определенной USB флешки
В Windows вы можете разрешить подключение только определенных (одобренных) USB флешки к компьютеру.
При подключении любого USB накопителя к компьютеру, драйвер USBSTOR устанавливает устройство и создает в ветке реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTOR отдельную ветку. в которой содержится информация о накопителе (например,
Disk&Ven_Kingstom&Prod_DT_1010_G2&Rev_1.00
).
Вы можете вывести список USB накопителей, которые когда-либо подключались к вашему компьютеру следующей PowerShell командой:
Get-ItemProperty –Path HKLM:SYSTEMCurrentControlSetEnumUSBSTOR**| select FriendlyName
Удалите все записи для подключенных ранее USB флешек, кроме тех, которые вам нужны. Затем нужно изменить разрешения на ветку реестра USBSTOR так, чтобы у всех пользователей, в том числе SYSTEM и администраторов, были только права на чтение. В результате при подключении любой USB накопителя, кроме разрешенного, Windows не сможет установить устройство.
Также можно создать и привязать задания планировщика к EventID подключения USB диска к компьютеру и выполнить определенное действие/скрипт (пример запуска процесса при появлении события в Event Viewer).
Например, вы можете сделать простой PowerShell скрипт, который автоматически отключает любые USB накопителя, если серийный номер не совпадает с заданной в скрипте:
$usbdev = get-wmiobject win32_volume | where{$_.DriveType -eq '2'}
If ($usbdev.SerialNumber –notlike “32SM32846AD”)
{
$usbdev.DriveLetter = $null
$usbdev.Put()
$usbdev.Dismount($false,$false) | Out-Null
}
Таким образом можно организовать простейшую проверку подключаемых ко компьютеру USB флешек.
Если вам требуется, чтобы к компьютеру или ноутбуку с Windows 10, 8.1 или Windows 7 никто не мог подключить USB-накопители, вы можете запретить использование флешек, карт памяти и жестких дисков используя встроенные средства системы. Мышки, клавиатуры и другая периферия, не являющаяся хранилищем, продолжит работать.
В этой инструкции о том, как заблокировать использование USB флешек и других съемных накопителей с помощью редактора локальной групповой политики или редактора реестра. Также в разделе с дополнительной информацией о блокировке доступа через USB к устройствам MTP и PTP (камера, Android телефон, плеер). Во всех случаях для выполнения описываемых действий вы должны иметь права администратора в Windows. См. также: Запреты и блокировки в Windows, Как поставить пароль на флешку в BitLocker.
Запрет подключения USB флешек с помощью редактора локальной групповой политики
Первый способ более простой и предполагает использование встроенной утилиты «Редактор локальной групповой политики». Следует учитывать, что эта системная утилита недоступна в Домашней редакции Windows (если у вас такая версия ОС, используйте следующий способ).
Шаги по блокировке использования USB накопителей будут следующими:
- Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter, откроется редактор локальной групповой политики.
- Если требуется запретить использование USB накопителей для всех пользователей компьютера, перейдите к разделу Конфигурация компьютера — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам. Если требуется заблокировать доступ только для текущего пользователя, откройте аналогичный раздел в «Конфигурация пользователя».
- Обратите внимание на пункты «Съемные диски: Запретить выполнение», «Съемные диски: Запретить запись», «Съемные диски: Запретить чтение». Все они отвечают за блокировку доступа к USB-накопителям. При этом запрет чтения запрещает не только просмотр содержимого флешки или копирование с неё, но и остальные операции (на накопитель нельзя будет что-либо записать, запуск программ с него также не будет выполняться).
- Для того, чтобы, например, запретить чтение с USB накопителя, дважды нажмите по параметру «Съемные диски: Запретить чтение», установите значение «Включено» и примените настройки. Выполните то же самое для других требующихся вам пунктов.
На этом процесс будет завершен, а доступ к USB заблокирован. Перезагрузка компьютера не требуется, однако, если на момент включения ограничений накопитель уже был подключен, изменения для него вступят в силу только после отключения и повторного подключения.
Как заблокировать использование USB флешки и других съемных накопителей с помощью редактора реестра
Если на вашем компьютере отсутствует редактор локальной групповой политики, ту же блокировку можно выполнить и с помощью редактора реестра:
- Нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter.
- В редакторе реестра перейдите к одному из разделов: первый — для запрета использования USB накопителей для всех пользователей. Второй — только для текущего пользователя
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftWindows
- Создайте подраздел RemovableStorageDevices, а в нем — подраздел с именем {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}
- В этом подразделе создайте нужные параметры DWORD32 (даже для Windows x64) — с именем Deny_Read для запрета чтения и других операций, Deny_Execute — для запрета выполнения, Deny_Write — для запрета записи на USB накопитель.
- Установите значение 1 для созданных параметров.
Запрет использования USB флешек и других съемных накопителей вступит в силу сразу после внесения изменения (если на момент блокировки накопитель уже был подключен к компьютеру или ноутбуку, он будет доступен до отключения и повторного подключения).
Дополнительная информация
Некоторые дополнительные нюансы блокировки доступа к USB накопителям, которые могут оказаться полезными:
- Описанные выше способы работают для съемных USB флешек и дисков, однако не работают для устройств, подключенных по протоколу MTP и PTP (например, хранилище Android телефона продолжит быть доступным). Для отключения доступа по этим протоколам, в редакторе локальной групповой политики в том же разделе используйте параметры «WPD-устройства» для запрета чтения и записи. В редакторе реестра это будет выглядеть как подразделы {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}, {6AC27878-A6FA-4155-BA85-F98F491D4F33} и {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE} в политиках RemovableStorageDevices (как описывалось выше) с параметрами Deny_Read и/или Deny_Write.
- Для того, чтобы в дальнейшем вновь включить возможность использования USB накопителей, просто удалите созданные параметры из реестра или установите «Выключено» в измененных ранее политиках доступа к съемным запоминающим устройствам.
- Еще один способ блокировки USB накопителей — отключение соответствующей службы: в разделе реестра
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR
измените значение Start на 4 и перезагрузите компьютер. При использовании этого способа подключенные флешки даже не будут появляться в проводнике.
Помимо встроенных средств системы, есть сторонние программы для блокировки подключения различного рода USB устройств к компьютеру, в том числе и продвинутые инструменты наподобие USB-Lock-RP.
Иногда возникает необходимость отключить USB порты на компьютере или ноутбуке, чтобы ограничить доступ по подключению флешек, жестких дисков и других USB-устройств. Отключение портов USB поможет предотвратить подключение каких-либо накопителей, которые могут быть использованы для кражи важной информации или стать причиной заражения компьютера вирусом и распространения вредоносного программного обеспечения по локальной сети.
Содержание
- Ограничение доступа к USB портам
- 1. Отключение USB портов через настройки BIOS
- 2. Включение и отключение USB-накопителей с помощью редактора реестра
- 3. Отключение USB портов в диспетчере устройств
- 4. Удаление драйверов контроллера USB
- 5. Запрет пользователям подключение USB-устройств хранения данных с помощью приложения от Microsoft
- 6. Использование программ для отключения/включения доступа к USB-устройствам хранения данных
- 7. Отключение USB от материнской платы
- Запрет доступа к съемным носителям через редактор групповой политики
Ограничение доступа к USB портам
Рассмотрим 7 способов, с помощью которых можно заблокировать USB порты:
- Отключение USB через настройки БИОС
- Изменение параметров реестра для USB-устройств
- Отключение USB портов в диспетчере устройств
- Деинсталляция драйверов контроллера USB
- Использование Microsoft Fix It 50061
- Использование дополнительных программ
- Физическое отключение USB портов
1. Отключение USB портов через настройки BIOS
- Войдите в настройки BIOS.
- Отключите все пункты, связанные с контроллером USB (например, USB Controller или Legacy USB Support).
- После того как вы сделали эти изменения, нужно сохранить настройки и выйти из БИОС. Обычно это делается с помощью клавиши F10.
- Перезагрузите компьютер и убедитесь, что USB порты отключены.
2. Включение и отключение USB-накопителей с помощью редактора реестра
Если отключение через БИОС вам не подходит, можете закрыть доступ непосредственно в самой ОС Windows с помощью реестра.
Приведенная ниже инструкция позволяет закрыть доступ для различных USB-накопителей (например флешек), но при этом другие устройства, такие как клавиатуры, мыши, принтеры, сканеры все равно будут работать.
- Откройте меню Пуск -> Выполнить, введите команду «regedit» и нажмите ОК, чтобы открыть редактор реестра.
- Перейдите к следующему разделу
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services USBSTOR
- В правой части окна найдите пункт «Start» и два раза щелкните по нему, чтобы отредактировать. Введите значение «4» для блокировки доступа к USB-накопителям. Соответственно если вы введете опять значение «3», доступ будет вновь открыт.
Нажмите кнопку «ОК», закройте редактор реестра и перезагрузите компьютер.
! Вышеописанный способ работает только при установленном драйвере USB контроллера. Если по соображениям безопасности драйвер не был установлен, значение параметра «Start» может быть автоматически сброшено на значение «3», когда пользователь подключит накопитель USB и Windows установит драйвер.
3. Отключение USB портов в диспетчере устройств
- Нажмите правой кнопкой мыши на значке «Компьютер» и выберете в контекстном меню пункт «Свойства». Откроется окно в левой части которого нужно нажать на ссылку «Диспетчер устройств».
- В дереве диспетчера устройств найдите пункт «Контроллеры USB» и откройте его.
- Отключите контроллеры путем нажатия правой кнопки мыши и выбора пункта меню «Отключить».
Этот способ не всегда работает. В примере, приведенном на рисунке выше отключение контроллеров (2 первых пункта) не привело к желаемому результату. Отключение 3-го пункта (Запоминающее устройство для USB) сработало, но это дает возможность отключить лишь отдельный экземпляр USB-накопителя.
4. Удаление драйверов контроллера USB
Как вариант для отключения портов можно просто деинсталлировать драйвер USB контроллера. Но недостатком этого способа является то, что при подключении пользователем USB-накопителя, Windows будет проверять наличие драйверов и при их отсутствии предложит установить драйвер. Это в свою очередь откроет доступ к USB-устройству.
5. Запрет пользователям подключение USB-устройств хранения данных с помощью приложения от Microsoft
Еще один способ запрета доступа к USB-накопителям – это использование Microsoft Fix It 50061 (http://support.microsoft.com/kb/823732/ru — ссылка может открываться около митуты). Суть это способа заключается в том, что рассматриваются 2 условия решения задачи:
- USB-накопитель еще не был установлен на компьютер
- USB-устройство уже подключено к компьютеру
В рамках данной статьи не будем детально рассматривать этот метод, тем более, что вы можете подробно его изучить на сайте Microsoft, используя ссылку приведенную выше.
Еще следует учесть, что данный способ подходит не для всех версий ОС Windows.
6. Использование программ для отключения/включения доступа к USB-устройствам хранения данных
Существует много программ для установки запрета доступа к USB портам. Рассмотрим одну из них — программу USB Drive Disabler.
Программа обладает простым набором настроек, которые позволяют запрещать/разрешать доступ к определенным накопителям. Также USB Drive Disabler позволяет настраивать оповещения и уровни доступа.
7. Отключение USB от материнской платы
Хотя физическое отключение USB портов на материнской плате является практически невыполнимой задачей, можно отключить порты, находящиеся на передней или верхней части корпуса компьютера, отсоединив кабель, идущий к материнской плате. Этот способ полностью не закроет доступ к USB портам, но уменьшит вероятность использования накопителей неопытными пользователями и теми, кто просто поленится подключать устройства к задней части системного блока.
!Дополнение
Запрет доступа к съемным носителям через редактор групповой политики
В современных версиях Windows существует возможность ограничить доступ к съемным запоминающим устройствам (USB-накопителям в том числе) с помощью редактора локальной групповой политики.
- Запустите gpedit.msc через окно «Выполнить»(Win + R).
- Перейдите к следующей ветви «Конфигурация компьютера -> Административные шаблоны -> Система -> Доступ к съемным запоминающим устройствам»
- В правой части экрана найдите пункт «Съемные диски: Запретить чтение».
- Активируйте этот параметр (положение «Включить»).
Данный раздел локальной групповой политики позволяет настраивать доступ на чтение, запись и выполнение для разных классов съемных носителей.
Содержание
- Как запретить использование USB флешки и других съемных накопителей в Windows
- Запрет подключения USB флешек с помощью редактора локальной групповой политики
- Как заблокировать использование USB флешки и других съемных накопителей с помощью редактора реестра
- Дополнительная информация
- Управление USB портами (включение, отключение) – обзор способов
- Содержание:
- Управление работой USB через BIOS
- Выключаем или включаем USB через групповую политику
- Отключение или включение USB через реестр
- Надстройка управления доступом к USB с использованием программ
- Управление работой USB портов через диспетчер устройств
- Аппаратное отключение USB
- Деинсталляция драйвера USB для отключения работы
Как запретить использование USB флешки и других съемных накопителей в Windows
Если вам требуется, чтобы к компьютеру или ноутбуку с Windows 10, 8.1 или Windows 7 никто не мог подключить USB-накопители, вы можете запретить использование флешек, карт памяти и жестких дисков используя встроенные средства системы. Мышки, клавиатуры и другая периферия, не являющаяся хранилищем, продолжит работать.
В этой инструкции о том, как заблокировать использование USB флешек и других съемных накопителей с помощью редактора локальной групповой политики или редактора реестра. Также в разделе с дополнительной информацией о блокировке доступа через USB к устройствам MTP и PTP (камера, Android телефон, плеер). Во всех случаях для выполнения описываемых действий вы должны иметь права администратора в Windows. См. также: Запреты и блокировки в Windows, Как поставить пароль на флешку в BitLocker.
Запрет подключения USB флешек с помощью редактора локальной групповой политики
Первый способ более простой и предполагает использование встроенной утилиты «Редактор локальной групповой политики». Следует учитывать, что эта системная утилита недоступна в Домашней редакции Windows (если у вас такая версия ОС, используйте следующий способ).
Шаги по блокировке использования USB накопителей будут следующими:
- Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter, откроется редактор локальной групповой политики.
- Если требуется запретить использование USB накопителей для всех пользователей компьютера, перейдите к разделу Конфигурация компьютера — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам. Если требуется заблокировать доступ только для текущего пользователя, откройте аналогичный раздел в «Конфигурация пользователя».
- Обратите внимание на пункты «Съемные диски: Запретить выполнение», «Съемные диски: Запретить запись», «Съемные диски: Запретить чтение». Все они отвечают за блокировку доступа к USB-накопителям. При этом запрет чтения запрещает не только просмотр содержимого флешки или копирование с неё, но и остальные операции (на накопитель нельзя будет что-либо записать, запуск программ с него также не будет выполняться).
- Для того, чтобы, например, запретить чтение с USB накопителя, дважды нажмите по параметру «Съемные диски: Запретить чтение», установите значение «Включено» и примените настройки. Выполните то же самое для других требующихся вам пунктов.
На этом процесс будет завершен, а доступ к USB заблокирован. Перезагрузка компьютера не требуется, однако, если на момент включения ограничений накопитель уже был подключен, изменения для него вступят в силу только после отключения и повторного подключения.
Как заблокировать использование USB флешки и других съемных накопителей с помощью редактора реестра
Если на вашем компьютере отсутствует редактор локальной групповой политики, ту же блокировку можно выполнить и с помощью редактора реестра:
- Нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter.
- В редакторе реестра перейдите к одному из разделов: первый — для запрета использования USB накопителей для всех пользователей. Второй — только для текущего пользователя
- Создайте подраздел RemovableStorageDevices, а в нем — подраздел с именем
- В этом подразделе создайте нужные параметры DWORD32 (даже для Windows x64) — с именем Deny_Read для запрета чтения и других операций, Deny_Execute — для запрета выполнения, Deny_Write — для запрета записи на USB накопитель.
- Установите значение 1 для созданных параметров.
Запрет использования USB флешек и других съемных накопителей вступит в силу сразу после внесения изменения (если на момент блокировки накопитель уже был подключен к компьютеру или ноутбуку, он будет доступен до отключения и повторного подключения).
Дополнительная информация
Некоторые дополнительные нюансы блокировки доступа к USB накопителям, которые могут оказаться полезными:
- Описанные выше способы работают для съемных USB флешек и дисков, однако не работают для устройств, подключенных по протоколу MTP и PTP (например, хранилище Android телефона продолжит быть доступным). Для отключения доступа по этим протоколам, в редакторе локальной групповой политики в том же разделе используйте параметры «WPD-устройства» для запрета чтения и записи. В редакторе реестра это будет выглядеть как подразделы , и в политиках RemovableStorageDevices (как описывалось выше) с параметрами Deny_Read и/или Deny_Write.
- Для того, чтобы в дальнейшем вновь включить возможность использования USB накопителей, просто удалите созданные параметры из реестра или установите «Выключено» в измененных ранее политиках доступа к съемным запоминающим устройствам.
- Еще один способ блокировки USB накопителей — отключение соответствующей службы: в разделе реестраизмените значение Start на 4 и перезагрузите компьютер. При использовании этого способа подключенные флешки даже не будут появляться в проводнике.
Помимо встроенных средств системы, есть сторонние программы для блокировки подключения различного рода USB устройств к компьютеру, в том числе и продвинутые инструменты наподобие USB-Lock-RP.
Источник
Управление USB портами (включение, отключение) – обзор способов
Приветствую!
Отключение USB портов может понадобиться в самых различных целях и сценариях. Одной из наиболее часто встречающихся причин отключения ЮСБ порта или портов можно назвать предотвращение «утечки» каких-либо важных и конфиденциальных данных с компьютера. Также стоит отметить и безопасность (зловредное программное обеспечение, вирусы никто не отменял), которая повышается, если отключить возможность подключения каких-либо съёмных накопителей (флеш-дисков, портативных HDD и иных устройств, имеющих интерфейс USB).
Мы рассмотрим множество актуальных способов, которые позволят ограничить использование USB портов на стационарном компьютере или ноутбуке.
Содержание:
Управление работой USB через BIOS
Этот способ позволяет эффективно отключить работу всех USB портов на компьютере или ноутбуке. Однако стоит учесть, что при этом будет отключена работа периферии, что подключена к USB портам. И если у вас подключена клавиатура с мышкой через USB порт, то при использовании данного способа оные перестанут работать.
- Необходимо войти в сам BIOS. Универсальной инструкции по входу нет, т.к. на разных компьютерах шаги могут слегка отличаться. Где-то необходимо нажать сразу при включении клавишу F2, а где-то F10 или даже комбинацию из нескольких клавиш. А на ноутбуках и вовсе для этого может быть предусмотрена специальная кнопка, которую можно нажать лишь при наличии скрепки. Конкретную клавишу, комбинацию таковых или возможное наличие отдельной кнопки можно выяснить, если обратиться к документации к вашему компьютеру.
- Войдя в BIOS, там будет множество меню. Вам необходимо будет найти все пункты, которые так или иначе отвечают за работу USB. Их название может быть различно, к примеру – USB Controller, USB Functions, а может Legacy USB Support. А в современных UEFI BIOS может присутствовать отдельное меню, где перечислены все USB порты и, соответственно, можно отключить как все, так и только определённые порты.
Найдя их, следует воспользоваться переключателем напротив и выбрать пункт Disabled (Отключить).
На изображении ниже показано, как это может примерно выглядеть.
Выключаем или включаем USB через групповую политику
Данный способ хорош тем, что отключается возможность работы с подключаемыми съёмными носителями через USB, однако периферия при этом не затрагивается. Если у вас подключён принтер, клавиатура, мышка и т.д., то оные так и будут продолжать работать после проведённой манипуляции.
Однако стоит отметить, что инструмент групповой политики присутствует не во всех версиях Windows. Если при попытке его открыть вы видите сообщение об ошибке, то переходите к следующему способу, а именно через реестр. Он аналогичен.
- Для открытия окна групповой политики воспользуемся комбинацией клавиш Win + R. Нажав оную, будет выведено окно, в которое следует вписать «gpedit.msc» (без кавычек) и далее нажать по кнопке OK.
В открывшемся окне, в левой его части следует перейти в раздел, что находится по пути:
И в правой части окна среди прочих будет располагаться пункт с именем Съемные диски: Запретить чтение – осуществите двойной клик по нему.
В открывшемся окне переключите настройку в вариант Включено и нажмите OK.
Отключение или включение USB через реестр
Как и предыдущий способ, оный так же не затрагивает работу периферии. Отключается только возможность работы со съёмными накопителями.
- Следует открыть редактор реестра. Для этого существует несколько способов, одним из которых является следующий: нажав на клавиатуре комбинацию клавиш Win + R, следует далее в открывшемся окошке ввести команду «regedit» (без кавычек) и нажать OK.
Будет открыто окно редактора реестра. В нём необоримо перейти по следующему пути:
И далее в правой части окна следует осуществить двойной клик мышкой по пункту с именем Start.
В отобразившемся окне необходимо заменить вписанное там значение, а именно цифру 3 заменить на цифру 4.
И сделав это, нажмите по клавише OK.
Вам останется только перезагрузить компьютер и проверить результат.
Если в будущем вам необходимо будет вернуть возможность работы со съёмными накопителями, что подключается через USB, то осуществите описанную процедуру и впишите первоначальное значение, а именно цифру 3.
Надстройка управления доступом к USB с использованием программ
Существует целый ряд программ, ограничивающих работу для подключаемых USB носителей данных.
Среди таковых можно отметить: USB Block, USB Disabler Pro, MyUSBOnly, Gilisoft USB Lock. Всё они обладают англоязычным интерфейсом, возможностью настройки «белого списка» подключаемых накопителей и некоторыми другими возможностями.
Приведённые решения не являются бесплатными, но если необходимо ограничить доступ к USB на компьютерах в организации, то данный вариант можно рассмотреть.
Управление работой USB портов через диспетчер устройств
Данный способ не является универсальным, всё зависит от аппаратной реализации конкретного USB контроллера, что установлен в компьютер или ноутбук. В некоторых случаях даже после отключения всех указанных пунктов, работа того или иного USB порта может сохраняться.
И да, отключение USB таким способом приведёт и к отключению работы подключенной периферии (мышка, клавиатура, принтер и т.д.). Будьте внимательны.
- Откройте Диспетчер устройств. Более подробно о том, как это сделать, написано в материале «Открываем диспетчер устройств в Windows (7, 8, 10)».
- В открывшемся окне следует кликнуть по пункту с именем Контроллеры USB, дабы он был развёрнут.
В данном списке отобразятся аппаратные элементы, отвечающие за работу USB. Наведите мышку, кликните правой клавишей и в отобразившемся меню выберите Отключить устройство.
Проделайте аналогичную процедуру со всеми находящимися там пунктами.
Аппаратное отключение USB
В данном случае речь идёт об отключении USB кабеля на материнской плате, который отвечает за подключение USB портов на лицевой стороне системного блока.
USB порты сзади, которые непосредственно размещены на материнской плате, отключить таким способом, естественно, не получится.
То же касается и ноутбуков.
Деинсталляция драйвера USB для отключения работы
Данный способ не является рациональным. Это связанно с тем, что впоследствии операционная система восстанавливает удалённые драйвера (обычно после перезагрузки компьютера), т.к. видит, что физически компонент в системе присутствует.
Более того, если удалить драйвер, то нарушается работа всех подключенных USB устройств.
В свою очередь, Вы тоже можете нам очень помочь.
Просто поделитесь статьей в социальных сетях и мессенджерах с друзьями.
Поделившись результатами труда автора, вы окажете неоценимую помощь как ему самому, так и сайту в целом. Спасибо!
Источник
Некоторым пользователям необходимо знать, как заблокировать флешку в операционной системе Windows. Для этого есть разные причины, в основном касающиеся вопросов безопасности и конфиденциальности.
Часто запретить использование флешки требует руководство предприятий, поэтому системные администраторы выполняют эти требования на устройствах организации. Подобная проблема возникает и на домашних ПК, когда, например, нужно ограничить права другого пользователя или запретить подключение к компьютеру переносных устройств.
Содержание:
- Как в Windows заблокировать флешки в групповой политике
- Как заблокировать флешку на компьютере в редакторе реестра
- Если флешка заблокирована: как разблокировать
- Выводы статьи
- Как заблокировать флешки в Windows (видео)
Есть ли возможность заблокировать флешку на компьютере? Да, это можно сделать встроенными средствами Windows или с помощью стороннего программного обеспечения.
Необходимо учитывать, что помимо USB-накопителей на компьютере применяются и другие устройства с USB-интерфейсом: мышь, клавиатура, камера или другая периферия. Нам необходимо запретить использование на ПК съемных USB-флешек, не затрагивая другие периферийные устройства, которые продолжат работать в обычном режиме.
В этой статье мы не рассматриваем отключение USB-устройств в BIOS (UEFI), в Диспетчере устройств, с помощью политик Active Directory, корпоративных антивирусов или специальных программ.
Мы будем использовать встроенные средства Windows. Выполнить эту задачу в операционной системе Windows можно с помощью групповых политик или внесением изменений в системный реестр.
В этом руководстве мы рассмотрим вопрос о том, как заблокировать USB или запретить использование флешки на компьютере. Эти инструкции подходят для разных версий Windows.
Если вас интересует компьютерная тематика, вы можете подписаться на Телеграм канал «Компутер — ПК сборки, программы, онлайн-сервисы». Там публикуется много интересной информации с представленными конфигурациями для самостоятельной сборки ПК, различные лайфхаки, советы по программам и онлайн-сервисам. Вы можете перейти в Телеграм канал по прямой ссылке (на вашем устройстве должно быть установлено приложение Telegram): https://t.me/weirz.
В корпоративной, образовательной и профессиональной версиях операционной системы Windows имеется инструмент — Редактор локальной групповой политики. С помощью этого встроенного средства мы можем изменить настройки системы.
В домашней версии Windows отсутствуют групповые политики, поэтому пользователи могут воспользоваться другим вариантом: с помощью редактора реестра.
Блокировка USB флешек с помощью групповых политик (GPO) выполняется следующим образом:
- Нажмите на клавиши «Win» + «R».
- На экране откроется диалоговое окно «Выполнить», в котором нужно ввести команду — «gpedit.msc».
- Нажмите на кнопку «ОК».
- В окне «Редактор локальной групповой политики» пройдите по пути:
Конфигурация компьютера → Административные шаблоны → Система → Доступ к съемным запоминающим устройствам
Помимо съемных дисков, здесь можно настроить параметры для работы с гибкими дисками, DVD-дисками, ленточными накопителями, WPD-устройствами.
Нас интересуют следующие настройки:
- Съемные диски: Запретить выполнение — запрет выполнения операций с USB-носителя, например, запуск исполняемого файла или файла сценария.
- Съемные диски: Запретить чтение — запрет чтения с USB-накопителя.
- Съемные диски: Запретить запись — запрет записи на USB-флешку.
В зависимости от требований пользователя, вы можете включить одну или все предложенные политики. Мы покажем, как это сделать на примере блокировки всех запоминающих устройств.
- Чтобы полностью заблокировать USB флешки выделите пункт «Съемные запоминающиеся устройства всех классов: Запретить любой доступ», а затем щелкните по нему правой кнопкой мыши.
- В контекстном меню нажмите «Изменить».
- В окне «Съемные запоминающиеся устройства всех классов: Запретить любой доступ» активируйте параметр «Включено».
- Вытащите из разъема USB-накопитель, если он был подсоединен к компьютеру.
- После подключения флешки к ПК, вы увидите в Проводнике безымянный съемный диск без отображения его размера.
- При попытке открыть USB-накопитель появится ошибка флешки — доступ к устройству запрещен. В окне «Расположение недоступно» вы увидите надпись «Отказано в доступе».
Как заблокировать флешку на компьютере в редакторе реестра
Во всех версиях операционной системы Windows, в том числе в Домашней редакции, можно воспользоваться методом изменения реестра. В результате изменений в системном реестре вы получите результат — доступ к флешке заблокирован.
Вы можете использовать два способа для отключения доступа к съемным устройствам на компьютере.
1 способ:
- Откройте редактор реестра на ПК одним из удобных способов.
- В окне «Редактор реестра» пройдите по пути:
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows
- В разделе «Windows» создайте раздел с именем «RemovableStorageDevices».
- Кликните правой кнопкой мыши в созданном разделе.
- В открытом меню сначала нажмите «Создать», а потом «Параметр DWORD (32 бита)».
- Назовите параметр — «Deny_All».
- Щелкните по нему правой кнопкой мыши.
- В контекстном меню выберите «Изменить…».
- В окне изменения параметра, в поле «Значение:» введите «1», нажмите «ОК».
Этим способом мы полностью отключаем любой доступ к съемным запоминающим устройствам.
Если вы хотите тонко настроить правила доступа к USB флешкам, вы можете не создавать параметр «Deny_All», а выбрать другие настройки. Пройдите следующие шаги после 3 пункта этой инструкции:
- В разделе «RemovableStorageDevices» создайте подраздел с именем «{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}».
- Щелкните правой кнопкой мыши по свободному месту в разделе «{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}».
- В контекстном меню выберите «Создать», а затем «Параметр DWORD (32 бита)».
- Присвойте имя параметру — «Deny_Execute».
- Щелкните по параметру «Deny_Execute» правой кнопкой мыши.
- В открывшемся меню нажмите «Изменить…».
- В окне «Изменение параметра DWORD (32 бита)» в поле «Значение:» установите «1».
- Нажмите нас кнопку «ОК».
- Создайте далее подобные параметры с именами «Deny_Read» и «Deny_Write» со значением «1».
Эти параметры отвечают за функции:
- Deny_Execute — запрет выполнения.
- Deny_Read — запрет чтения.
- Deny_Write — запрет записи.
Изменения сразу вступают в силу, если флешка не подключена к компьютеру. В противном случае, вам нужно сначала отключить съемное устройство, а затем снова подключить его для проверки работы функции блокировки.
В других случаях можно воспользоваться методом отключения драйвера «USB Mass Storage Driver», который определяет и монтирует внешние переносные устройства. В этом случае в Проводнике не будет отображаться флешка, а доступ к устройству будет запрещен.
2 способ:
- В окне «Редактор реестра» пройдите по пути:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR
- Выделите параметр «Start», а затем щелкните по нему правой кнопкой мыши.
- В контекстном меню нажмите на «Изменить…».
- В окне «Изменение параметра DWORD (32 бита)» установите значение «4».
Доступ к флешке запрещен, и она не отображается в Проводнике Windows.
Аналогичное действие можно выполнить с помощью Windows PowerShell. После запуска инструмента, введите в окне оболочки следующую команду, а затем нажмите на клавишу «Enter»:
Set-ItemProperty "HKLM:SYSTEMCurrentControlSetServicesUSBSTOR" -name Start -Value 4
Если флешка заблокирована: как разблокировать
Если флешка заблокирована, что делать пользователю в таком случае? Вам необходимо отменить изменения на компьютере, которые запрещают использование устройства.
В зависимости от ранее используемого способа блокировки съемных носителей, вам потребуется выполнить некоторые действия.
В редакторе локальной групповой политики пройдите по пути:
Конфигурация компьютера → Административные шаблоны → Система → Доступ к съемным запоминающим устройствам
В настройках параметров политики «Съемные диски: Запретить выполнение», «Съемные диски: Запретить чтение», «Съемные диски: Запретить запись» или «Съемные запоминающиеся устройства всех классов: Запретить любой доступ», в зависимости от того, что именно вы ограничивали, установите параметр «Не задано».
В редакторе реестра пройдите по пути:
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsRemovableStorageDevices HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsRemovableStorageDevices{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}
В параметрах «Deny_All», «Deny_Execute», «Deny_Read», «Deny_Write» установите значение «0». Можно полностью удалить раздел «RemovableStorageDevices», если вы не будете в дальнейшем ограничивать работу флешек на компьютере.
Если вы использовали другой метод, то пройдите в редакторе реестра по следующему пути:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR
В параметре «Start» задайте значение «3».
Выводы статьи
В некоторых ситуациях необходимо запретить работу флешек на компьютере, в частности, в целях безопасности и конфиденциальности. Нужно ограничить использование съемных запоминающих устройств на ПК. Чтобы решить эту задачу, вы можете воспользоваться встроенными средствами операционной системы Windows для полной блокировки USB-устройств или для ограничения их использования.
Как заблокировать флешки в Windows (видео)
Похожие публикации:
- Флешка пишет: «вставьте диск в устройство», что делать
- Как перенести данные с флешки на флешку
- 7 способов запустить «Выполнить» в Windows
- Как отключить или включить эффекты анимации в Windows 11
- Как создать загрузочную флешку Windows 11 в Media Creation Tool
Содержание
- 1 Запрет флешек
- 2 Неэффективные способы запрета флешек
- 3 Запрет флешек в Редакторе групповых политик
- 4 Запрет флешек в Реестре Windows
- 5 Как отключить порты USB в BIOS
- 6 Оценка способов запрета флешек
Как осуществить запрет флешек в ОС Windows?
На самом деле способов довольно много. Каждый из них имеет свои преимущества, а некоторые и вовсе не заменимы.
Кому это нужно?
В первую очередь администраторам. А также в случае если компьютер используется несколькими пользователями.
Зачем это нужно?
Для безопасности, для конфиденциальности, для ограничения возможностей других пользователей.
Мой материал, как обычно, делится на две части: системные средства и сторонние программы (плюс небольшие вкрапления моего личного мнения).
Также рекомендую почитать предыдущую мою статью, близкую по теме: «Как запретить запуск программы в Windows»
Запрет флешек
Как запретить использование флешек?
Непосредственно в ОС Windows эту задачу можно выполнить с помощью Редактора групповых политик (GPO) и реестра. Кроме этого, можно выключить сами порты в BIOS. К этому всему еще в плюс внешнее программное обеспечение, о котором я расскажу в конце.
Неэффективные способы запрета флешек
Дабы потом не останавливаться на этом, сразу укажу несколько способов, которые явно неэффективны, хотя информации в сети о них полно.
- Физическое отключение портов. Это, конечно, классно, но есть же и другие порты, и переходники к ним. К тому же, почему-то все забывают о мышке, клавиатуре, колонках и т.п.
- Удаление драйверов на USB – от этого эффекта ноль. Система сама предложит их установить, или из сети, или с самого накопителя.
- Запрет флешек в редакторе групповых политик (просто запрещать каждое новое устройство по ID). Лучше запретить все, а нужные разрешить, как именно я покажу ниже.
Я, пожалуй, начну с Редактора групповых политик, так как считаю этот способ наиболее удобным и эффективным среди остальных системных.
Кстати, я также рекомендую отключить автозапуск флешки и других USB-носителей. Это частично решит проблему автоустановки вирусов.
Запрет флешек в Редакторе групповых политик
Нам нужно перейти в GPO. Открываете командную строку (вводите в поиске «cmd», кликаете правой кнопкой мыши, запускаете от имени администратора).
В командной строке вводите gpedit.msc и нажимаете Enter.
Откроется окно GPO. Теперь перейдем в раздел, где настраиваются нужные нам политики – «Доступ к съемным запоминающим устройствам». Нажмите на него – справа появятся существующие политики.
В данном случае нас интересуют политики касающееся съемных носителей. Однако здесь можно настроить работу с дисками (компакт, DVD, гибкими), ленточными накопителями и другими устройствами.
Также, очень удобно, это возможность выбрать, что именно необходимо запретить. Например, в целях сохранения информации, можно запретить запись.
Для этого нажмите на соответствующую политику правой кнопкой мыши и выберите «Изменить».
Теперь выберите команду «Включить» и нажмите «Применить».
При попытке скопировать любой файл на съемный диск, пользователь не сможет этого сделать (если он не состоит в группе «Администраторы»). Он увидит это сообщение.
По такому же принципу применяются и другие функции (чтение, запуск).
Здесь же есть и политика отключающая все классы устройств. Она так и называется.
Доступ только определенных устройств
Способ выше – наиболее простой. Однако, если у Вас есть лишь несколько носителей, которые используются в работе с ПК, то можно создать и белый список.
Для этого нужно:
- знать GUID устройства
- применить две политики в GPO
Находим GUID USB-накопителя
Сначала установите устройство в USB-порт, затем по команде показанной ниже, перейдите в «Диспетчер устройств» (ну, или как обычно – через «Панель управления»).
Найдите Ваше устройство в пункте «Переносные устройства» и откройте его свойства.
Перейдите на вкладку «Свойства», выберите из списка свойство «GUID» класса и скопируйте его значение.
Настраиваем нужные политики. Теперь перейдем к GPO. Откройте тот же каталог, что и выше – «Система». Но теперь перейдите к пункту «Установка устройств – Ограничение на установку устройств».
В списке политик нам нужны две выделенные. Вторую просто включаете.
В первой, еще и задаете значения GUID устройств, которые разрешены.
Сюда скопируйте значение GUID (для появления курсора, кликните в поле 2 раза).
Теперь только эти устройства смогут запускаться. В случае, если Вы вставите другие устройства – их попросту не будет видно.
ПРИМЕЧАНИЕ. Еще можно кроме политики с глобальным идентификатором (GUID), использовать политику с обычным (ID). Однако у меня она почему-то не работала (предполагаю, что из-за версии ОС). На Windows 7 работает точно – сам использовал несколько лет назад.
Запрет флешек в Реестре Windows
Запрет использования флешек также можно осуществить с помощью Реестра Windows. Хотелось бы сразу отметить, что данный способ работает только при установленном драйвере на USB. В случае, если вы проделаете все, описанное ниже, когда он еще не установлен, то при подключении любого накопителя, Вам будет предложено установить этот драйвер. И значение, измененное ранее, изменится обратно, к стандартным настройкам.
Этот способ работает на всех ОС Windows. Однако наиболее актуальным он является для ОС Windows XP, так как там нет Редактора групповых политик. Поэтому пример будет показан в среде данной системы. Итак, продолжим.
Для начала откройте реестр. В командной строке введите «regedit» и нажмите «Enter».
Теперь перейдите в эту ветку реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR
Как видите, там есть несколько параметров. Один из них «Start». Он определяет каким образом доступен USB-накопитель (для любых операций, для чтения, записи и т.д.). На данный момент установлено значение 3. Если изменить его на 4, то накопители станут вообще недоступными. Это нам и нужно.
Кликаете 2 раза и меняете значение на 4.
Теперь при подключении устройство просто не будет отображаться.
ПОЛЕЗНО! На админских форумах многие пишут, что метод не работает. Однако, это нет так. Просто зачастую его пытаются использовать в доменных группах компьютеров организации. А там, как Вы можете догадаться, ОС на всех ПК не обновляют: на одних XP, на других семерка, а на некоторых вообще 2000. Так вот, в этих системах еще просто нет некоторых протоколов и средств, в результате, значение на админкомпе, а за ним и на всех остальных, сбрасывается к стандарту.
Как отключить порты USB в BIOS
Еще один способ запретить использование флешек — это отключить порты USB в BIOS. Сделать это не сложно . Однако, с моей точки зрения, не достаточно эффективно. Хотя, если учесть, что большинство пользователей понятия не имеют не просто о том, что там можно порты отключить, а еще и о том, как туда зайти, то может быть это — удобный и быстрый способ.
Итак, зайдите в БИОС. На большинстве компьютеров это кнопка «F2». Однако в зависимости от марки, и способ отличается. В сети есть куча информации по этой теме, и я не буду подробно на этом останавливаться.
Теперь все делается буквально в два шага: переходим на вкладку «Configuration», отключаем функцию «USB Legacy». Сохраняем и выходим.
Все вышеописанные методы не стопроцентно защитят Ваш компьютер. Их тоже можно обойти, а как именно это сделать, смотрите в статье: «Как обойти запрет флешки»
Однако есть целый программный комплекс, обойти который будет не так просто. Он называется DeviceLock DLP. Именно об этом способе запрета флешки и пойдет речь в статье «Запрет USB».
Еще отмечу, что есть и другие простейшие программы типа: Ratool, USB Lock Standard и другие. Но они скорее скрипты с визуальным интерфейсом, которые реализуют метод реестра.
Наша оценка
Каждый из способов имеет свои минусы и плюсы. В целом рассмотренные способы больше подойдут для непродвинутых пользователей. Всем остальным лучше использовать DeviceLock DLP.
User Rating:
4.43
( 5 votes)
Во многих фирмах и организациях запрет на использования USB накопителей одна из первоочередных задач которые ставятся перед системным администратором предприятия, причина тому две беды – вынос информации (секретных документов и т.д.) и внос ее: вирусы, игры и тому подобное. На первый взгляд задача решается просто – через BIOS отключить USB порты, но это затронет и другие USB устройства — мышь, клавиатура, принтер или зарядку для телефона.
Содержание страницы
-
- 0.1 Оглавление
- 1 Отключить USB Windows 7, 8, Vista
- 2 Отключить USB Windows XP
- 3 Запрет USB через групповые политики Windows server 2003
- 4 Запрет USB через групповые политики Windows server 2008
Оглавление
- Отключить USB Windows 7, 8, Vista
- Отключить USB Windows XP
- Запрет USB через групповые политики Windows server 2003
- Запрет USB через групповые политики Windows server 2008
Итак, необходимо программно запретить использование флешек, при этом не задев полезных USB устройств. Вариантов решения несколько, давайте рассмотрим их по подробнее:
Отключить USB Windows 7, 8, Vista
Начиная с Windows Vista в локальных групповых политиках (gpedit.msc) появился очень полезный куст, находится в Политика «Локальный компьютер» > Конфигурация компьютера > Административные шаблоны > Система > Доступ к съемным запоминающим устройствам. В нем можно гибко настроить запреты чтения, записи и выполнения на различные классы съемных устройств.
Отключить USB Windows XP
Чтобы запретить съемные запоминающие устройства USB в Windows XP, нужно немного подправить реестр и настроить права доступа к файлам драйвера:
-
- Отключить службу USBSTOR (regedit.exe)
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR] «Start»=dword:00000004
- Учетной записи SYSTEM выставить разрешение «Запретить» для следующих файлов:
- %SystemRoot%InfUsbstor.pnf
- %SystemRoot%InfUsbstor.inf
Тут описано более подробно, первоисточник — http://support.microsoft.com/kb/823732
Создайте фаил с расширением — .bat и с копируйте один из вариантов кода
Батники, для автоматизации отключения:
on-USB.bat
rem 1) ACL cacls %SystemRoot%infusbstor.inf /e /p "NT AUTHORITYSYSTEM":F cacls %SystemRoot%infusbstor.PNF /e /p "NT AUTHORITYSYSTEM":F rem 2) Registry reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR /v Start /t REG_DWORD /d 00000003 /f
off-USB.bat
rem ACL cacls %SystemRoot%infusbstor.inf /e /p "NT AUTHORITYSYSTEM":N cacls %SystemRoot%infusbstor.PNF /e /p "NT AUTHORITYSYSTEM":N rem registry reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR /v Start /t REG_DWORD /d 00000004 /f
Запрет USB через групповые политики Windows server 2003
По умолчанию Групповые Политики в Windows server 2003 не предоставляют возможности простого способа отключения устройств использования сменных носителей, таких как порты USB, дисководы CD-ROM, Floppy дисководы. Не смотря на это, Групповые Политики могут быть расширены для использования соответствующих настроек посредством ADM шаблона.
ADM шаблон представленный ниже позволит администратору отключить соответствующее устройство. Импортируйте этот административный шаблон в Групповые Политики как .adm файл.
В C:WINDOWSinf создаем файл nodev.adm с содержимым:
CLASS MACHINE CATEGORY !!category CATEGORY !!categoryname POLICY !!policynameusb KEYNAME "SYSTEMCurrentControlSetServicesUSBSTOR" EXPLAIN !!explaintextusb PART !!labeltextusb DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 3 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY !!policynamecd KEYNAME "SYSTEMCurrentControlSetServicesCdrom" EXPLAIN !!explaintextcd PART !!labeltextcd DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 1 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY !!policynameflpy KEYNAME "SYSTEMCurrentControlSetServicesFlpydisk" EXPLAIN !!explaintextflpy PART !!labeltextflpy DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 3 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY !!policynamels120 KEYNAME "SYSTEMCurrentControlSetServicesSfloppy" EXPLAIN !!explaintextls120 PART !!labeltextls120 DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 3 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY END CATEGORY END CATEGORY [strings] category="Custom Policy Settings" categoryname="Restrict Drives" policynameusb="Disable USB" policynamecd="Disable CD-ROM" policynameflpy="Disable Floppy" policynamels120="Disable High Capacity Floppy" explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver" explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver" explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver" explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver" labeltextusb="Disable USB Ports" labeltextcd="Disable CD-ROM Drive" labeltextflpy="Disable Floppy Drive" labeltextls120="Disable High Capacity Floppy Drive" Enabled="Enabled" Disabled="Disabled"
ВАЖНО! В случае если добавленные политики не отображаются в редакторе групповых политик проделайте следующее:
1. В правой части окна редактора политик нажмите правую клавишу мыши, перейдите в пункт меню Вид и нажмите Фильтрация…
2. Снимите отметку с пункта «Показывать только управляемые параметры политики»
3. Нажмите ОК
После этого добавленные политики будут отображены в правой части окна редактора групповых политик.
Детальная информация на оф.сайте
Запрет USB через групповые политики Windows server 2008
Готовая групповая политика запрета накопителей, появилась в серверных ОС, начиная с Windows server 2008, настроить их на контроллере можно через оснастку gpmc.msc, располагаются по тому же пути (Policy > Computer configuration > Policies > Administrative Templates > System > Removable storage access). Работает она безотказно, но применятся только на операционные системы Windows Vista, 7 и 8.
Несколько сложнее, обстоят дела с Windows XP, несмотря на заявления Microsoft о прекращении поддержки XP весной 2014 , она по-прежнему занимает не малую часть операционных систем, используемых в корпоративном секторе. Не беда, настроим как и локальную, но только через ГПО. Запускаем gpmc.msc, создаем объект групповой политики и начинаем его редактировать.
- Реестр Computer Configuration > Preferences >Windows Settings > Registry — создать «Элемент реестра» (HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR) значение Start установить 4.
- Права к файлам драйвера USB накопителей. Computer Configuration > Policies > Windows Settings > Security Settings > File System — добавить файлы %SystemRoot%InfUsbstor.pnf и%SystemRoot%InfUsbstor.inf, выставить запрет для группы SYSTEM или Users.
Windows 10, Windows 7, Windows 8, Windows Server, Windows Vista, Windows XP
- 21.04.2017
- 13 006
- 2
- 15.09.2022
- 2
- 2
- 0
- Содержание статьи
- Использование групповых политик
- Используя редактор реестра
- Комментарии к статье ( 2 шт )
- Добавить комментарий
Однажды суровое начальство поставило на работе цель отключить возможность использование флешек на одном из рабочих компьютеров. Как оказалось, данная задача решается достаточно легко, и вот несколько способов её решения:
Использование групповых политик
Самый простой способ, с помощью которого можно сделать это удаленно (как политику для компьютеров в домене Active Directory), так и на локальном компьютере.
Если у вас компьютер с операционной системой Windows XP (и старее), или с редакцией ниже Professional, то вам этот способ не подойдет. Совместимый с Windows XP способ запрета использования флешек описан ниже.
Для этого нужно открыть редактор групповых политик:
- Если вы планируете настраивать запрет на использование USB накопителей, то используйте команду для открытия редактора групповых политик на локальном компьютере —
gpedit.msc
. - Если же вы планируете включить запрет используя групповые политики домена Active Directory, то нужно использовать команду
gpmc.msc
Далее действия одинаковы для обоих случаев:
В окне редактора групповых политик переходим по следующему пути: Конфигурация компьютера — Политики — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам, после чего меняем значение пункта «Съемные запоминающие устройства всех классов: Запретить любой доступ» на «Включено«.
Используя редактор реестра
Так как в групповых политиках Windows XP нет пункта отвечающего за возможность отключения, то в ней придется использовать более изощренные методы.
- Открываем Проводник/Мой компьютер, и переходим в папку
%SystemRoot%Inf
. Находим файл Usbstor.pnf, нажимаем по нему правой кнопкой мыши, и затем открываем пункт меню Свойства. - В открывшихся свойствах находим вкладку Безопасность.
- В поле «Группы или пользователи» находим строку «SYSTEM», и выделив её ставим галочку ниже у пункта «Полный доступ», в столбце «Запретить». Если строки SYSTEM нет, то её нужно добавить — для этого достаточно нажать кнопку «Добавить» и ввести там «SYSTEM». После этого следует сделать вышеописанную процедуру с запретом полного доступа.
- Проделываем тоже самое для файла Usbstor.inf.
- Далее, открываем Редактор реестра — для этого достаточно нажать кнопки Win + R, и ввести там команду
Regedit
. Затем нажимаем либо кнопку «ОК», либо клавишу Enter, и попадаем в Редактор реестра. - В левой части Редактора реестра переходим по следующему пути — HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR. Теперь в правой части находим пункт Start, и открываем его двойным щелчком.
- В открывшемся окне ставим значение Start «0», затем нажимаем кнопку «ОК», и закрываем Редактор реестра.
Если по каким-то причинам возникает необходимость на некоторых компьютерах c OC Windows полностью заблокировать доступ пользователям к возможности использования съёмных носителей, – можно воспользоваться настройками доступными в стандартных Административных шаблонах групповых политик в разделе Computer Configuration > Administrative Templates > System > Removable Storage Access
Для того чтобы применить эти параметры к какой-то отдельной группе компьютеров -можно создать отдельную групповую политику с такими настроенными параметрами и прилинковать её например к контейнеру (OU) в домене или изменить разрешения безопасности для этой политики так чтобы применяться она могла лишь к конкретной доменной группе безопасности, в которую включены соответствующие компьютеры.
Более гибким походом для решения данного вопроса будет использование механизмов настройки реестра из состава Group Policy Preferences (GPP). Подход с использованием GPP вместо использования выше-обозначенных стандартных параметров Административных шаблонов позволит нам встроить нужные нам ограничения в любую уже существующую у нас групповую политику не плодя при этом новых объектов GPO. Более того внутри этой политики мы сможем настроить правила ограничений сразу для множества разных коллекций компьютеров с разными видами нацеливания (Item-level targeting)
Итак, рассмотрим маленький пример создания параметров GPP для решения нашей задачи. Сразу уточним имеющиеся у нас исходные данные, – нам необходимо ограничить доступ ко всем типам внешних съёмных носителей для всех пользователей работающих на определённой группе компьютеров под управлением ОС Windows XP, Windows Vista и Windows 7.
Создаём в домене группу безопасности в которую включаем учетные записи всех компьютеров, на которых нам необходимо ввести ограничения и после этого в разделе групповой политики Computer Configuration > Preferences > Windows Settings > Registry создаём логическую группу с удобным для нас названием, например Storage-Devices-Restrict. В моём случае внутри этой группы создана подгруппа, определяющая принадлежность компьютеров к конкретной физической локации и в свойствах этой подгруппы включён режим нацеливания на созданную в домене группу безопасности. Таким образом, все настройки которые мы создадим внутри этой подгруппы будут применяться к клиентским компьютерам лишь в том случае, если они включены в соответствующую доменную группу.
Прежде чем делать настройки внутри нашей подгруппы настроек, стоит отметить, что выше-обозначенные стандартные параметры Административных шаблонов GPO доступны лишь для Windows Vista и Windows 7. С Windows XP в этом плане всё гораздо грустнее. И поэтому наши настройки GPP будут разделены на две соответствующие подгруппы, обработка параметров которых будет выполняться в зависимости от клиентской ОС. То есть внутри подгруппы по локации мы создадим две подгруппы по типу ОС.
Внутри группы WinXP создадим четыре основных параметра, каждый из которых будет отвечать за выключение системного драйвера, обеспечивающего возможность работы с основными типами внешних носителей. Наша задача — изменить тип запуска этих драйверов с помощью ключа Start в ветках реестра:
Куст реестра: HKEY_LOCAL_MACHINE
Ветки реестра:
SYSTEMCurrentControlSetServicesCdrom
SYSTEMCurrentControlSetServicesFlpydisk
SYSTEMCurrentControlSetServicesSfloppy
SYSTEMCurrentControlSetServicesUsbStorКлюч: Start REG_DWORD = 4
Таблица значений по умолчанию для ключа реестра Start y соответствующих драйверов:
Ветка реестра |
Тип запуска по умолчанию |
HKLMSYSTEMCurrentControlSetServicesCdrom |
1 |
HKLMSYSTEMCurrentControlSetServicesFlpydisk |
3 |
HKLMSYSTEMCurrentControlSetServicesSfloppy |
1 |
HKLMSYSTEMCurrentControlSetServicesUsbStor |
3 |
Значения по умолчанию могут нам понадобиться, на тот случай если мы надумаем вернуть состояние драйверов на компьютере в исходное состояние.
В свойствах наших параметров значение ключа Start сделаем равным 4, что определит состояние когда драйвер выключен и не загружается ни при каких условиях. Более подробная информация о допустимых значениях для данного ключа реестра в статье KB103000 — CurrentControlSetServices Subkey Entries
Дополнительно о методах блокировки доступа к USB накопителям можно найти в статье KB823732 — How to disable the use of USB storage devices. В этой статье предлагается ещё одно кардинальное решение – ограничение прав доступа в NTFS к файлам драйвера UsbStor (Usbstor.pnf и Usbstor.inf).
Отдельно также стоит отменить особенность ветки реестра драйвера UsbStor. Эта ветка реестра существует на клиентской системе только в том случае, если USB накопители хоть раз использовались в системе. Поэтому надо учитывать ситуацию, когда, возможно, накопитель ещё не использовался и при первом его использовании, значения параметров в этой ветке реестра могут быть переписаны в процессе первоначальной инициализации драйвера. То есть при этом доступ к устройству будет работать ровно до следующей перезагрузки с применением нового значения параметра Start.
Возможно кому-то пригодится информация о том, что начиная с Windows XP SP2 была добавлена возможность отдельно контролировать доступ на запись на съёмные USB девайсы:
Куст реестра: HKEY_LOCAL_MACHINE
Ветка: SystemCurrentControlSetControlStorageDevicePolicies
Ключ: WriteProtect REG_DWORD = 1
Теперь поговорим о параметрах GPP для систем Windows Vista и Windows 7. В отличии от Windows XP, в этих системах мы можем себе позволить гораздо более гибкие настройки, которые предоставляются нам с помощью возможности оперирования специальными ветками и ключами реестра предназначенными для ограничения доступа к разного типа носителей. Собственно говоря, мы будем оперировать теми же параметрами реестра, которые управляются стандартными Административными шаблонами групповых политик, о которых мы говорили в самом начале.
так как в нашем случае требуется ограничение доступа ко всем типам устройств, нам достаточно будет описать настройку только одного ключа реестра, настраиваемого политикой All Removable Storage classes: Deny all access:
Куст реестра: HKEY_LOCAL_MACHINE
Ветка: SOFTWAREPoliciesMicrosoftWindowsRemovableStorageDevices
Ключ: Deny_All REG_DWORD = 1
Для тех, кому понадобятся более тонкие настройки ограничений, например, если вам нужно будет включить ограничение лишь для отдельных типов носителей или ограничить только запись на носители, приведу соответствие возможных значений реестра сопоставляя их с именами основных стандартных настроек в Административных шаблонах. Все ниже перечисленные подветки реестра надо создавать в ветке
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsRemovableStorageDevices
Параметр GPO |
Подветка реестра (Device Class GUID) |
Ключ реестра |
Floppy Drives: Deny read access |
{53f56311-b6bf-11d0-94f2-00a0c91efb8b} |
Deny_Read |
Floppy Drives: Deny write access |
{53f56311-b6bf-11d0-94f2-00a0c91efb8b} |
Deny_Write |
CD and DVD: Deny read access |
{53f56308-b6bf-11d0-94f2-00a0c91efb8b} |
Deny_Read |
CD and DVD: Deny write access |
{53f56308-b6bf-11d0-94f2-00a0c91efb8b} |
Deny_Write |
Removable Disks: Deny read access |
{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} |
Deny_Read |
Removable Disks: Deny write access |
{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} |
Deny_Write |
Tape Drives: Deny read access |
{53f5630b-b6bf-11d0-94f2-00a0c91efb8b} |
Deny_Read |
Tape Drives: Deny write access |
{53f5630b-b6bf-11d0-94f2-00a0c91efb8b} |
Deny_Write |
WPD Devices: Deny read access |
{6AC27878-A6FA-4155-BA85-F98F491D4F33} |
Deny_Read |
WPD Devices: Deny write access |
{6AC27878-A6FA-4155-BA85-F98F491D4F33} |
Deny_Write |
Значения всех ключей Deny_Read и Deny_Write имеют тип REG_DWORD и могут принимать две формы:
1 — Запрет действует
0 — Запрет не действует (можно также просто удалить ключ)
По умолчанию ветки RemovableStorageDevices в реестре не существует, и поэтому она будет создана при первом применении нашей политики.
Если так получается, что в вашей ситуации появятся какие-то хитры девайсы которые не подпадают ни под один из перечисленных классов, то вы сможете самостоятельно узнать идентификатор класса устройства посмотрев в оснастке Диспетчер устройств (devmgmt.msc) в свойствах этого самого хитрого девайса значение атрибута Device Class GUID (Determine the Device Setup Class for Your Device)
Отмечу, что в интернете можно встретить описание некоторых случаев, в которых игры с ограничениями имеют грустный финал, если не уделять должного внимания процессу планирования и тестирования применяемых параметров.
При создании правил настройки реестра и сопоставлении их со стандартными параметрами GPO, вы можете заметить, что большинство перечисленных параметров доступны не только в контексте Computer Configuration, но и в контексте User Configuration, то есть вы можете попробовать на системах Windows Vista и Windows 7 использовать механизмы ограничений не для всей системы в целом а лишь для некоторых её пользователей. Для этого необходимо создавать параметры GPP в разделе групповой политики User Configuration> Preferences > Windows Settings > Registry и при их создании указывать куст реестра HKEY_CURRENT_USER вместо HKEY_LOCAL_MACHINE, используя при этом по необходимости нацеливание уже не на группы компьютеров, а на группы пользователей. Но это только теоретически, и сам я такой вариант настройки не проверял.
Итак, закончив настройку параметров GPP и дождавшись применения групповой политики на целевых клиентских компьютерах, мы сможем проверить механизмы ограничений доступа в действии. На системах Windows XP во всех элементах пользовательского интерфейса исчезнет любое упоминание о наличии устройств чтения съёмных носителей, а в оснастке Диспетчер устройств (devmgmt.msc) мы увидим, что эти устройства находятся в неоперативном режиме
Открыв свойства любого такого устройства мы убедимся в том, что необходимый для его работы драйвер в системе выключен.
На системах Windows Vista и windows 7 ситуация будет в нашем случае выглядеть несколько иначе. Все устройства в интерфейсе пользователя будут видны но при попытке доступа к ним мы будем получать сообщение об отказе в доступе.
Ещё раз хочу напомнить про то, что планируя организовать ограничение доступа через настройку реестра с помощью GPP, обдумайте пути возврата клиентских компьютеров в исходное состояние в случае необходимости. Это можно сделать например создав в той же групповой политике те же параметры реестра но уже с нацеливанием на другие группы безопасности и использовать при этом возможности очерёдности обработки параметров GPP в процессе применения групповой политики. Или же можно создать отдельную групповую политику которая будет опять таки иметь приоритет над запрещающей политикой … в общем вариантов можно придумать много и тут, как всегда, всё зависит только от вашей фантазии
Источники информации:
- KB555324 — HOWTO: Use Group Policy to disable USB, CD-ROM, Floppy Disk and LS-120 drivers
- KB82373 — How to disable the use of USB storage devices
- MSDN Library — Step-By-Step Guide to Controlling Device Installation Using Group Policy
- Windows Server TechCenter > Forum FAQ: How to restrict mass storage drive and CD-ROM access?