Запрет флешки через групповые политики в windows 7

При подключении нового USB устройства к компьютеру, Windows автоматически определяет устройство и устанавливает подходящий драйвер. В результате пользователь практически сразу может использовать подключенное USB устройство или накопитель. Если политика безопасности вашей организации предполагает запрет использования переносных USB накопителей (флешки, USB HDD, SD-карты и т.п), вы можете заблокировать такое поведение. В этой статье мы покажем, как заблокировать использование внешних USB накопителей в Windows, запретить запись данных на подключенные флешки и запуск исполняемых файлов с помощью групповых политик (GPO).

Настройка групповой политики блокировки USB носителей в Windows

В Windows вы можете гибко управлять доступом к внешним накопителям (USB, CD / DVD и др.) с помощью групповых политик Active Directory (мы не рассматриваем радикальный способ отключения USB портов через настройки BIOS). Вы можете заблокировать только USB накопителей, при этом другие типы USB устройств (мышь, клавиатура, принтер, USB адаптеры на COM порты), будут доступны пользователю.

В этом примере мы создадим попробуем заблокировать USB накопителей на всех компьютерах в OU домена с именем Workstations (можно применить политику запрета использования USB ко всему домену, но это затронет в том числе сервера и другие технологические устройства).

1. Откройте е консоль управления доменными GPO (msc), найдите в структуре структуре Organizational Unit контейнер Workstations, щелкните по нему правой клавишей и создайте новую политику (Create a GPO in this domain and Link it here);

   Совет. Вы можете настроить политика ограничения использования USB портов на отдельностоящем компьютере (домашний компьютер или компьютер в рабочей группе) с помощью локального редактора групповых политик (gpedit.msc).
2. Задайте имя политики — Disable USB Access.
3. Перейдите в режим редактирования GPO (Edit).

Настройки блокировки внешних запоминающих устройств есть как в пользовательском, так и в компьютерных разделах GPO:

• User Configuration-> Policies-> Administrative Templates-> System->Removable Storage Access (Конфигурация пользователя -> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам);
• Computer Configuration-> Policies-> Administrative Templates-> System-> Removable Storage Access (Конфигурация компьютера-> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам).

Если нужно заблокировать USB накопители для всех пользователей компьютера, нужно настроить параметры в разделе “Конфигурация компьютера”.

В разделе “Доступ к съемным запоминающим устройствам” (Removable Storage Access) есть несколько политик, позволяющих отключить возможность использования различных классов устройств хранения: CD/DVD дисков, флоппи дисков (FDD), USB устройств, ленты и т.д.

• Компакт-диски и DVD-диски: Запретить выполнение (CD and DVD: Deny execute access).
• Компакт-диски и DVD-диски: Запретить чтение (CD and DVD: Deny read access).
• Компакт-диски и DVD-диски: Запретить запись (CD and DVD: Deny write access).
• Специальные классы: Запретить чтение (Custom Classes: Deny read access).
• Специальные классы: Запретить запись (Custom Classes: Deny write access).
• Накопители на гибких дисках: Запретить выполнение (Floppy Drives: Deny execute access).
• Накопители на гибких дисках: Запретить чтение (Floppy Drives: Deny read access).
• Накопители на гибких дисках: Запретить запись (Floppy Drives: Deny write access).
• Съемные диски: Запретить выполнение (Removable Disks: Deny execute access).
• Съемные диски: Запретить чтение (Removable Disks: Deny read access).
• Съемные диски: Запретить запись (Removable Disks: Deny write access).
• Съемные запоминающие устройства всех классов: Запретить любой доступ (All Removable Storage classes: Deny all access).
• Все съемные запоминающие устройства: разрешение прямого доступа в удаленных сеансах (All Removable Storage: Allow direct access in remote sessions).
• Ленточные накопители: Запретить выполнение (Tape Drives: Deny execute access).
• Ленточные накопители: Запретить чтение (Tape Drives: Deny read access).
• Ленточные накопители: Запретить запись (Tape Drives: Deny write access).
• WPD-устройства: Запретить чтение (WPD Devices: Deny read access) – это класс портативных устройств (Windows Portable Device). Включает в себя смартфоны (например, доступ хранилищу Android телефона) , планшеты, плееры и т.д.
• WPD-устройства: Запретить запись (WPD Devices: Deny write access).

Как вы видите, для каждого класса устройств вы можете запретить запуск исполняемых файлов (защита от вирусов), запретить чтение данных и запись/редактирование информации на внешнем носителе.

Максимальная ограничительная политика — All Removable Storage Classes: Deny All Access (Съемные запоминающие устройства всех классов: Запретить любой доступ) – позволяет полностью запретить доступ к любым типам внешних устройств хранения. Чтобы включить эту политику, откройте ее и переведите в состояние Enable.

После настройки политики и обновления параметров GPO на клиентах (gpupdate /force) внешние подключаемые устройства (не только USB устройства, но и любые внешние накопители) будут определять ОС, но при попытке их открыть появится ошибка доступа:

Location is not available
Drive is not accessible. Access is denied

Совет. Аналогичное ограничение можно задать, через реестр, создав в ветке HKEY_CURRENT_USER (или ветке HKEY_LOCAL_MACHINE) SoftwarePoliciesMicrosoftWindowsRemovableStorageDevices ключ Deny_All типа Dword со значением 00000001.

В этом же разделе политик можно настроить более гибкие ограничения на использование внешних USB накопителей.

К примеру, вы можете запретить запись данных на USB флешки, и другие типы USB накопителей. Для этого включите политику Removable Disk: Deny write access (Съемные диски: Запретить запись).

После этого пользователи смогут читать данные с USB флешки, но при попытке записать на нее информацию, получат ошибку доступа:

Destination Folder Access Denied
You need permission to perform this action

С помощью политики Removable Disks: Deny execute access (Съемные диски: Запретить выполнение) можно запретить запуск исполняемых файлов и скриптов с USB дисков.

Как заблокировать USB накопители только определенным пользователям?

Довольно часто необходимо запретить использовать USB диски всем пользователям компьютера, кроме администраторов.
Проще всего сделать исключение в политике с помощью Security Filtering GPO. Например, вы хотите запретить применять политику блокировки USB к группе администраторов домена.

1. Найдите вашу политику Disable USB Access в консоли Group Policy Management;
2. В разделе Security Filtering добавьте группу Domain Admins;
3. Перейдите на вкладку Delegation, нажмите на кнопкуAdvanced. В редакторе настроек безопасности, укажите что, группе Domain Admins запрещено применять настройки этой GPO (Apply group policy – Deny).

Может быть другая задача — нужно разрешить использование внешних USB накопителей всем, кроме определённой группы пользователей. Создайте группу безопасности “Deny USB” и добавьте эту группу в настройках безопасности политики. Для этой группы выставите разрешения на чтение и применение GPO, а у группы Authenticated Users или Domain Computers оставить только разрешение на чтение (сняв галку у пункта Apply group policy).

Добавьте пользователей, которым нужно заблокировать доступ к USB флешкам и дискам в эту группу AD.

Запрет доступа к USB накопителям через реестр и GPO

Вы можете более гибко управлять доступом к внешним устройствам с помощью настройки параметров реестра через механизм Group Policy Preferences (GPP). Всем указанным выше политикам соответствуют определенные ключи реестра в ветке HKLM (или HKCU) SOFTWAREPoliciesMicrosoftWindowsRemovableStorageDevices (по умолчанию этого раздела в реестре нет).

1. Чтобы включить ту или иную политику нужно создать в указанном ключе новую ветку с именем класса устройств, доступ к которым нужно заблокировать (столбец
2. В новой ветке реестра нужно создать REG_DWORD параметром с именем ограничения, которое вы хотите внедрить:
   Deny_Read — запретить чтения данных с носителя;
   Deny_Write – запретить запись данных;
   Deny_Execute — запрет запуска исполняемых файлов.
3. Задайте значение параметра:
   1 — заблокировать указанный тип доступа к устройствам этого класса;
   0 – разрешить использования данного класса устройств.

Вы можете создать эти ключи реестра и параметры вручную. На скриншоте ниже я создал ключ RemovableStorageDevices, а в нем подраздел с именем {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}. С помощью REG_DWORD параметров я запретил запись и запуск исполняемых файлов с USB накопителей.

Запрет использования USB накопителей вступит в силу немедленно после внесения изменения (не нужно перезагружать компьютер). Если USB флешка подключена к компьютеру, она будет доступна до тех пор, пока ее не переподключат.

Чтобы быстро заблокировать чтение и запись данных на USBнакопители в Windows, можно выполнить такой PowerShell скрипт:

$regkey='HKLM:SoftwarePoliciesMicrosoftWindowsRemovableStorageDevices{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}'
$exists = Test-Path $regkey
if (!$exists) {
New-Item -Path 'HKLM:SoftwarePoliciesMicrosoftWindowsRemovableStorageDevices' -Name '{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}' -Force | Out-Null
}
New-ItemProperty -Path $regkey -Name 'Deny_Read -Value 1 -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path $regkey -Name 'Deny_Write' -Value 1 -PropertyType 'DWord' -Force | Out-Null

В доменной среде эти параметры реестра можно централизованно распространить на компьютеры пользователей с помощью GPP. Подробнее настройка параметров реестра через GPO описана в статье Настройка параметров реестра на компьютерах с помощью групповых политик.

Данные ключи реестра и возможности нацеливания политик GPP с помощью Item-level targeting позволят вам гибко применять политики, ограничивающие использование внешних устройств хранения. Вы можете применять политики к определённым группам безопасности AD, сайтам, версиям ОС, OU и другим характеристикам компьютеров (в том числе можно выбирать компьютеры через WMI фильтры).

Примечание. Аналогичным образом вы можете создать собственные политики для классов устройств, которые в данном списке не перечислены. Узнать идентификатор класса устройства можно в свойствах драйвера в значении атрибута Device Class GUID.

Полное отключение драйвера USB накопителей в Windows

Вы можете полностью отключить драйвер USBSTOR (USB Mass Storage Driver), который необходим для корректного определения и монтирования USB устройств хранения.

На отдельно стоящем компьютере вы можете отключить этот драйвер, изменив значение параметра Start (тип запуска) с 3 на 4. Можно это сделать через PowerShell командой:

Set-ItemProperty "HKLM:SYSTEMCurrentControlSetservicesUSBSTOR" -name Start -Value 4

Перезагрузите компьютер и попробуйте подключить USB накопитель. Теперь он не должен появиться в проводнике или консоли управления дисками, а в диспетчере устройств вы увидите ошибку установки драйвера устройства.

С помощью Group Policy Preferences вы можете отключить запуск драйвера USBSTOR на компьютерах домена. Для этого нужно внести изменения в реестр через GPO.

Эти настройки можно распространить на все компьютеры. Создайте новую групповую политику, назначьте ее на OU с компьютерами и в разделе Computer Configuration -> Preferences -> Windows Settings -> Registry создайте новый параметр со значениями:

• Action: Update
• Hive: HKEY_LOCAK_MACHINE
• Key path: SYSTEMCurrentControlSetServicesUSBSTOR
• Value name: Start
• Value type: REG_DWORD
• Value data: 00000004

История подключения USB накопителей в Windows

В некоторых случая при анализе работы блокирующих политик вам нужно получить информацию об истории подключения USB накопителей к компьютеру.

Чтобы вывести список USB накопителей, подключенных к компьютеру прямо сейчас, выполните такую команду PowerShell:

Get-PnpDevice -PresentOnly | Where-Object { $_.deviceId -match '^USBSTOR' }

Status OK указывает, что данное устройство подключено и работает нормально.

Журнал событий Windows позволяет отслеживать события подключения/отключения USB накопителей.

1. Эти события находятся в журнале Event Viewer -> Application and Services Logs -> Windows -> Microsoft-Windows-DriverFrameworks-UserMode -> Operational;
2. По умолчанию Windows не сохраняет историю об подключениях. Поэтому вам придется включить вручную (Enable Log) или через GPO;
3. После этого вы можете использовать событие с EventID 2003 (Pnp or Power Management operation to a particular device) для получения информации о времени подключения USB накопителя и Event ID 2102 (Pnp or Power Management operation to a particular device) о времени отключения флешки:

   Forwarded a finished Pnp or Power operation (27, 2) to the lower driver for device SWDWPDBUSENUM_??_USBSTOR#DISK&VEN_UFD_2.0&PROD_SILICON-POWER16G&REV_PMAP#12010208030E6C10D00CE7200A6&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} with status 0x0.

   

Также вы можете использовать бесплатную утилиту USBDriveLog от Nirsoft которая позволяет вывести в удобном виде всю историю подключения USB флешек и дисков к компьютеру пользователю (выводится информацию об устройстве, серийный номер, производитель, время подключения/отключения, и device id).

Разрешить подключение только определенной USB флешки

В Windows вы можете разрешить подключение только определенных (одобренных) USB флешки к компьютеру.

При подключении любого USB накопителя к компьютеру, драйвер USBSTOR устанавливает устройство и создает в ветке реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTOR отдельную ветку. в которой содержится информация о накопителе (например,
 Disk&Ven_Kingstom&Prod_DT_1010_G2&Rev_1.00
).

Удалите все записи для подключенных ранее USB флешек, кроме тех, которые вам нужны. Затем нужно изменить разрешения на ветку реестра USBSTOR так, чтобы у всех пользователей, в том числе SYSTEM и администраторов, были только права на чтение. В результате при подключении любой USB накопителя, кроме разрешенного, Windows не сможет установить устройство.

Также можно создать и привязать задания планировщика к EventID подключения USB диска к компьютеру и выполнить определенное действие/скрипт (пример запуска процесса при появлении события в Event Viewer).

Например, вы можете сделать простой PowerShell скрипт, который автоматически отключает любые USB накопителя, если серийный номер не совпадает с заданной в скрипте:

$usbdev = get-wmiobject win32_volume | where{$_.DriveType -eq '2'}
If ($usbdev.SerialNumber –notlike “32SM32846AD”)
{
$usbdev.DriveLetter = $null
$usbdev.Put()
$usbdev.Dismount($false,$false) | Out-Null
}

Таким образом можно организовать простейшую проверку подключаемых ко компьютеру USB флешек.

Иногда возникает необходимость отключить USB порты на компьютере или ноутбуке, чтобы ограничить доступ по подключению флешек, жестких дисков и других USB-устройств. Отключение портов USB поможет предотвратить подключение каких-либо накопителей, которые могут быть использованы для кражи важной информации или стать причиной заражения компьютера вирусом и распространения вредоносного программного обеспечения по локальной сети.

Ограничение доступа к USB портам

Рассмотрим 7 способов, с помощью которых можно заблокировать USB порты:

1. Отключение USB через настройки БИОС
2. Изменение параметров реестра для USB-устройств
3. Отключение USB портов в диспетчере устройств
4. Деинсталляция драйверов контроллера USB
5. Использование Microsoft Fix It 50061
6. Использование дополнительных программ
7. Физическое отключение USB портов

1. Отключение USB портов через настройки BIOS

1. Войдите в настройки BIOS.
2. Отключите все пункты, связанные с контроллером USB (например, USB Controller или Legacy USB Support).
3. После того как вы сделали эти изменения, нужно сохранить настройки и выйти из БИОС. Обычно это делается с помощью клавиши F10.
4. Перезагрузите компьютер и убедитесь, что USB порты отключены.

2. Включение и отключение USB-накопителей с помощью редактора реестра

Если отключение через БИОС вам не подходит, можете закрыть доступ непосредственно в самой ОС Windows с помощью реестра.

Приведенная ниже инструкция позволяет закрыть доступ для различных USB-накопителей (например флешек), но при этом другие устройства, такие как клавиатуры, мыши, принтеры, сканеры все равно будут работать.

1. Откройте меню Пуск -> Выполнить, введите команду «regedit» и нажмите ОК, чтобы открыть редактор реестра.
2. Перейдите к следующему разделу
   

   HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services USBSTOR

3. В правой части окна найдите пункт «Start» и два раза щелкните по нему, чтобы отредактировать. Введите значение «4» для блокировки доступа к USB-накопителям. Соответственно если вы введете опять значение «3», доступ будет вновь открыт.

Нажмите кнопку «ОК», закройте редактор реестра и перезагрузите компьютер.

! Вышеописанный способ работает только при установленном драйвере USB контроллера. Если по соображениям безопасности драйвер не был установлен, значение параметра «Start» может быть автоматически сброшено на значение «3», когда пользователь подключит накопитель USB и Windows установит драйвер.

3. Отключение USB портов в диспетчере устройств

1. Нажмите правой кнопкой мыши на значке «Компьютер» и выберете в контекстном меню пункт «Свойства». Откроется окно в левой части которого нужно нажать на ссылку «Диспетчер устройств».
2. В дереве диспетчера устройств найдите пункт «Контроллеры USB» и откройте его.
3. Отключите контроллеры путем нажатия правой кнопки мыши и выбора пункта меню «Отключить».

Этот способ не всегда работает. В примере, приведенном на рисунке выше отключение контроллеров (2 первых пункта) не привело к желаемому результату. Отключение 3-го пункта (Запоминающее устройство для USB) сработало, но это дает возможность отключить лишь отдельный экземпляр USB-накопителя.

4. Удаление драйверов контроллера USB

Как вариант для отключения портов можно просто деинсталлировать драйвер USB контроллера. Но недостатком этого способа является то, что при подключении пользователем USB-накопителя, Windows будет проверять наличие драйверов и при их отсутствии предложит установить драйвер. Это в свою очередь откроет доступ к USB-устройству.

5. Запрет пользователям подключение USB-устройств хранения данных с помощью приложения от Microsoft

Еще один способ запрета доступа к USB-накопителям – это использование Microsoft Fix It 50061 (http://support.microsoft.com/kb/823732/ru — ссылка может открываться около митуты). Суть это способа заключается в том, что рассматриваются 2 условия решения задачи:

• USB-накопитель еще не был установлен на компьютер
• USB-устройство уже подключено к компьютеру

В рамках данной статьи не будем детально рассматривать этот метод, тем более, что вы можете подробно его изучить на сайте Microsoft, используя ссылку приведенную выше.

Еще следует учесть, что данный способ подходит не для всех версий ОС Windows.

6. Использование программ для отключения/включения доступа к USB-устройствам хранения данных

Существует много программ для установки запрета доступа к USB портам. Рассмотрим одну из них — программу USB Drive Disabler.

Программа обладает простым набором настроек, которые позволяют запрещать/разрешать доступ к определенным накопителям. Также USB Drive Disabler позволяет настраивать оповещения и уровни доступа.

7. Отключение USB от материнской платы

Хотя физическое отключение USB портов на материнской плате является практически невыполнимой задачей, можно отключить порты, находящиеся на передней или верхней части корпуса компьютера, отсоединив кабель, идущий к материнской плате. Этот способ полностью не закроет доступ к USB портам, но уменьшит вероятность использования накопителей неопытными пользователями и теми, кто просто поленится подключать устройства к задней части системного блока.

!Дополнение

Запрет доступа к съемным носителям через редактор групповой политики

В современных версиях Windows существует возможность ограничить доступ к съемным запоминающим устройствам (USB-накопителям в том числе) с помощью редактора локальной групповой политики.

1. Запустите gpedit.msc через окно «Выполнить»(Win + R).
2. Перейдите к следующей ветви «Конфигурация компьютера -> Административные шаблоны -> Система -> Доступ к съемным запоминающим устройствам»
3. В правой части экрана найдите пункт «Съемные диски: Запретить чтение».
4. Активируйте этот параметр (положение «Включить»).

Данный раздел локальной групповой политики позволяет настраивать доступ на чтение, запись и выполнение для разных классов съемных носителей.

Как запретить использование USB флешки и других съемных накопителей в Windows

Если вам требуется, чтобы к компьютеру или ноутбуку с Windows 10, 8.1 или Windows 7 никто не мог подключить USB-накопители, вы можете запретить использование флешек, карт памяти и жестких дисков используя встроенные средства системы. Мышки, клавиатуры и другая периферия, не являющаяся хранилищем, продолжит работать.

В этой инструкции о том, как заблокировать использование USB флешек и других съемных накопителей с помощью редактора локальной групповой политики или редактора реестра. Также в разделе с дополнительной информацией о блокировке доступа через USB к устройствам MTP и PTP (камера, Android телефон, плеер). Во всех случаях для выполнения описываемых действий вы должны иметь права администратора в Windows. См. также: Запреты и блокировки в Windows, Как поставить пароль на флешку в BitLocker.

Запрет подключения USB флешек с помощью редактора локальной групповой политики

Первый способ более простой и предполагает использование встроенной утилиты «Редактор локальной групповой политики». Следует учитывать, что эта системная утилита недоступна в Домашней редакции Windows (если у вас такая версия ОС, используйте следующий способ).

Шаги по блокировке использования USB накопителей будут следующими:

1. Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter, откроется редактор локальной групповой политики.
2. Если требуется запретить использование USB накопителей для всех пользователей компьютера, перейдите к разделу Конфигурация компьютера — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам. Если требуется заблокировать доступ только для текущего пользователя, откройте аналогичный раздел в «Конфигурация пользователя».
3. Обратите внимание на пункты «Съемные диски: Запретить выполнение», «Съемные диски: Запретить запись», «Съемные диски: Запретить чтение». Все они отвечают за блокировку доступа к USB-накопителям. При этом запрет чтения запрещает не только просмотр содержимого флешки или копирование с неё, но и остальные операции (на накопитель нельзя будет что-либо записать, запуск программ с него также не будет выполняться).
4. Для того, чтобы, например, запретить чтение с USB накопителя, дважды нажмите по параметру «Съемные диски: Запретить чтение», установите значение «Включено» и примените настройки. Выполните то же самое для других требующихся вам пунктов.

На этом процесс будет завершен, а доступ к USB заблокирован. Перезагрузка компьютера не требуется, однако, если на момент включения ограничений накопитель уже был подключен, изменения для него вступят в силу только после отключения и повторного подключения.

Как заблокировать использование USB флешки и других съемных накопителей с помощью редактора реестра

Если на вашем компьютере отсутствует редактор локальной групповой политики, ту же блокировку можно выполнить и с помощью редактора реестра:

1. Нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter.
2. В редакторе реестра перейдите к одному из разделов: первый — для запрета использования USB накопителей для всех пользователей. Второй — только для текущего пользователя
3. Создайте подраздел RemovableStorageDevices, а в нем — подраздел с именем
4. В этом подразделе создайте нужные параметры DWORD32 (даже для Windows x64) — с именем Deny_Read для запрета чтения и других операций, Deny_Execute — для запрета выполнения, Deny_Write — для запрета записи на USB накопитель.
5. Установите значение 1 для созданных параметров.

Запрет использования USB флешек и других съемных накопителей вступит в силу сразу после внесения изменения (если на момент блокировки накопитель уже был подключен к компьютеру или ноутбуку, он будет доступен до отключения и повторного подключения).

Дополнительная информация

Некоторые дополнительные нюансы блокировки доступа к USB накопителям, которые могут оказаться полезными:

• Описанные выше способы работают для съемных USB флешек и дисков, однако не работают для устройств, подключенных по протоколу MTP и PTP (например, хранилище Android телефона продолжит быть доступным). Для отключения доступа по этим протоколам, в редакторе локальной групповой политики в том же разделе используйте параметры «WPD-устройства» для запрета чтения и записи. В редакторе реестра это будет выглядеть как подразделы , и в политиках RemovableStorageDevices (как описывалось выше) с параметрами Deny_Read и/или Deny_Write.
• Для того, чтобы в дальнейшем вновь включить возможность использования USB накопителей, просто удалите созданные параметры из реестра или установите «Выключено» в измененных ранее политиках доступа к съемным запоминающим устройствам.
• Еще один способ блокировки USB накопителей — отключение соответствующей службы: в разделе реестраизмените значение Start на 4 и перезагрузите компьютер. При использовании этого способа подключенные флешки даже не будут появляться в проводнике.

Некоторым пользователям необходимо знать, как заблокировать флешку в операционной системе Windows. Для этого есть разные причины, в основном касающиеся вопросов безопасности и конфиденциальности.

Часто запретить использование флешки требует руководство предприятий, поэтому системные администраторы выполняют эти требования на устройствах организации. Подобная проблема возникает и на домашних ПК, когда, например, нужно ограничить права другого пользователя или запретить подключение к компьютеру переносных устройств.

Есть ли возможность заблокировать флешку на компьютере? Да, это можно сделать встроенными средствами Windows или с помощью стороннего программного обеспечения.

Необходимо учитывать, что помимо USB-накопителей на компьютере применяются и другие устройства с USB-интерфейсом: мышь, клавиатура, камера или другая периферия. Нам необходимо запретить использование на ПК съемных USB-флешек, не затрагивая другие периферийные устройства, которые продолжат работать в обычном режиме.

В этой статье мы не рассматриваем отключение USB-устройств в BIOS (UEFI), в Диспетчере устройств, с помощью политик Active Directory, корпоративных антивирусов или специальных программ.

Мы будем использовать встроенные средства Windows. Выполнить эту задачу в операционной системе Windows можно с помощью групповых политик или внесением изменений в системный реестр.

В этом руководстве мы рассмотрим вопрос о том, как заблокировать USB или запретить использование флешки на компьютере. Эти инструкции подходят для разных версий Windows.

Если вас интересует компьютерная тематика, вы можете подписаться на Телеграм канал «Компутер — ПК сборки, программы, онлайн-сервисы». Там публикуется много интересной информации с представленными конфигурациями для самостоятельной сборки ПК, различные лайфхаки, советы по программам и онлайн-сервисам. Вы можете перейти в Телеграм канал по прямой ссылке (на вашем устройстве должно быть установлено приложение Telegram): https://t.me/weirz.

В корпоративной, образовательной и профессиональной версиях операционной системы Windows имеется инструмент — Редактор локальной групповой политики. С помощью этого встроенного средства мы можем изменить настройки системы.

В домашней версии Windows отсутствуют групповые политики, поэтому пользователи могут воспользоваться другим вариантом: с помощью редактора реестра.

Блокировка USB флешек с помощью групповых политик (GPO) выполняется следующим образом:

1. Нажмите на клавиши «Win» + «R».
2. На экране откроется диалоговое окно «Выполнить», в котором нужно ввести команду — «gpedit.msc».
3. Нажмите на кнопку «ОК».
4. В окне «Редактор локальной групповой политики» пройдите по пути:

Конфигурация компьютера → Административные шаблоны → Система → Доступ к съемным запоминающим устройствам

Помимо съемных дисков, здесь можно настроить параметры для работы с гибкими дисками, DVD-дисками, ленточными накопителями, WPD-устройствами.

Нас интересуют следующие настройки:

• Съемные диски: Запретить выполнение — запрет выполнения операций с USB-носителя, например, запуск исполняемого файла или файла сценария.
• Съемные диски: Запретить чтение — запрет чтения с USB-накопителя.
• Съемные диски: Запретить запись — запрет записи на USB-флешку.

В зависимости от требований пользователя, вы можете включить одну или все предложенные политики. Мы покажем, как это сделать на примере блокировки всех запоминающих устройств.

1. Чтобы полностью заблокировать USB флешки выделите пункт «Съемные запоминающиеся устройства всех классов: Запретить любой доступ», а затем щелкните по нему правой кнопкой мыши.

1. В контекстном меню нажмите «Изменить».
2. В окне «Съемные запоминающиеся устройства всех классов: Запретить любой доступ» активируйте параметр «Включено».

1. Вытащите из разъема USB-накопитель, если он был подсоединен к компьютеру.
2. После подключения флешки к ПК, вы увидите в Проводнике безымянный съемный диск без отображения его размера.

1. При попытке открыть USB-накопитель появится ошибка флешки — доступ к устройству запрещен. В окне «Расположение недоступно» вы увидите надпись «Отказано в доступе».

Как заблокировать флешку на компьютере в редакторе реестра

Во всех версиях операционной системы Windows, в том числе в Домашней редакции, можно воспользоваться методом изменения реестра. В результате изменений в системном реестре вы получите результат — доступ к флешке заблокирован.

Вы можете использовать два способа для отключения доступа к съемным устройствам на компьютере.

1 способ:

1. Откройте редактор реестра на ПК одним из удобных способов.
2. В окне «Редактор реестра» пройдите по пути:

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows

1. В разделе «Windows» создайте раздел с именем «RemovableStorageDevices».
2. Кликните правой кнопкой мыши в созданном разделе.
3. В открытом меню сначала нажмите «Создать», а потом «Параметр DWORD (32 бита)».

1. Назовите параметр — «Deny_All».
2. Щелкните по нему правой кнопкой мыши.
3. В контекстном меню выберите «Изменить…».

1. В окне изменения параметра, в поле «Значение:» введите «1», нажмите «ОК».

Этим способом мы полностью отключаем любой доступ к съемным запоминающим устройствам.

Если вы хотите тонко настроить правила доступа к USB флешкам, вы можете не создавать параметр «Deny_All», а выбрать другие настройки. Пройдите следующие шаги после 3 пункта этой инструкции:

1. В разделе «RemovableStorageDevices» создайте подраздел с именем «{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}».
2. Щелкните правой кнопкой мыши по свободному месту в разделе «{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}».
3. В контекстном меню выберите «Создать», а затем «Параметр DWORD (32 бита)».

1. Присвойте имя параметру — «Deny_Execute».
2. Щелкните по параметру «Deny_Execute» правой кнопкой мыши.
3. В открывшемся меню нажмите «Изменить…».

1. В окне «Изменение параметра DWORD (32 бита)» в поле «Значение:» установите «1».

1. Нажмите нас кнопку «ОК».
2. Создайте далее подобные параметры с именами «Deny_Read» и «Deny_Write» со значением «1».

Эти параметры отвечают за функции:

• Deny_Execute — запрет выполнения.
• Deny_Read — запрет чтения.
• Deny_Write — запрет записи.

Изменения сразу вступают в силу, если флешка не подключена к компьютеру. В противном случае, вам нужно сначала отключить съемное устройство, а затем снова подключить его для проверки работы функции блокировки.

В других случаях можно воспользоваться методом отключения драйвера «USB Mass Storage Driver», который определяет и монтирует внешние переносные устройства. В этом случае в Проводнике не будет отображаться флешка, а доступ к устройству будет запрещен.

2 способ:

1. В окне «Редактор реестра» пройдите по пути:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR

1. Выделите параметр «Start», а затем щелкните по нему правой кнопкой мыши.
2. В контекстном меню нажмите на «Изменить…».

1. В окне «Изменение параметра DWORD (32 бита)» установите значение «4».

Доступ к флешке запрещен, и она не отображается в Проводнике Windows.

Аналогичное действие можно выполнить с помощью Windows PowerShell. После запуска инструмента, введите в окне оболочки следующую команду, а затем нажмите на клавишу «Enter»:

Set-ItemProperty "HKLM:SYSTEMCurrentControlSetServicesUSBSTOR" -name Start -Value 4

Если флешка заблокирована: как разблокировать

Если флешка заблокирована, что делать пользователю в таком случае? Вам необходимо отменить изменения на компьютере, которые запрещают использование устройства.

В зависимости от ранее используемого способа блокировки съемных носителей, вам потребуется выполнить некоторые действия.

В редакторе локальной групповой политики пройдите по пути:

Конфигурация компьютера → Административные шаблоны → Система → Доступ к съемным запоминающим устройствам

В настройках параметров политики «Съемные диски: Запретить выполнение», «Съемные диски: Запретить чтение», «Съемные диски: Запретить запись» или «Съемные запоминающиеся устройства всех классов: Запретить любой доступ», в зависимости от того, что именно вы ограничивали, установите параметр «Не задано».

В редакторе реестра пройдите по пути:

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsRemovableStorageDevices

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsRemovableStorageDevices{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}

В параметрах «Deny_All», «Deny_Execute», «Deny_Read», «Deny_Write» установите значение «0». Можно полностью удалить раздел «RemovableStorageDevices», если вы не будете в дальнейшем ограничивать работу флешек на компьютере.

Если вы использовали другой метод, то пройдите в редакторе реестра по следующему пути:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR

В параметре «Start» задайте значение «3».

Выводы статьи

В некоторых ситуациях необходимо запретить работу флешек на компьютере, в частности, в целях безопасности и конфиденциальности. Нужно ограничить использование съемных запоминающих устройств на ПК. Чтобы решить эту задачу, вы можете воспользоваться встроенными средствами операционной системы Windows для полной блокировки USB-устройств или для ограничения их использования.

Как заблокировать флешки в Windows (видео)

Как осуществить запрет флешек в ОС Windows?

На самом деле способов довольно много. Каждый из них имеет свои преимущества, а некоторые и вовсе не заменимы.

Кому это нужно?

В первую очередь администраторам. А также в случае если компьютер используется несколькими пользователями.

Зачем это нужно?

Для безопасности, для конфиденциальности, для ограничения возможностей других пользователей.

Мой материал, как обычно, делится на две части: системные средства и сторонние программы (плюс небольшие вкрапления моего личного мнения).

Также рекомендую почитать предыдущую мою статью, близкую по теме: «Как запретить запуск программы в Windows»

Запрет флешек

Как запретить использование флешек?

Непосредственно в ОС Windows эту задачу можно выполнить с помощью Редактора групповых политик (GPO) и реестра. Кроме этого, можно выключить сами порты в BIOS. К этому всему еще в плюс внешнее программное обеспечение, о котором я расскажу в конце.

Неэффективные способы запрета флешек

Дабы потом не останавливаться на этом, сразу укажу несколько способов, которые явно неэффективны, хотя информации в сети о них полно.

• Физическое отключение портов. Это, конечно, классно, но есть же и другие порты, и переходники к ним. К тому же, почему-то все забывают о мышке, клавиатуре, колонках и т.п.
• Удаление драйверов на USB – от этого эффекта ноль. Система сама предложит их установить, или из сети, или с самого накопителя.
• Запрет флешек в редакторе групповых политик (просто запрещать каждое новое устройство по ID). Лучше запретить все, а нужные разрешить, как именно я покажу ниже.

Я, пожалуй, начну с Редактора групповых политик, так как считаю этот способ наиболее удобным и эффективным среди остальных системных.

Кстати, я также рекомендую отключить автозапуск флешки и других USB-носителей. Это частично решит проблему автоустановки вирусов.

Запрет флешек в Редакторе групповых политик

Нам нужно перейти в GPO. Открываете командную строку (вводите в поиске «cmd», кликаете правой кнопкой мыши, запускаете от имени администратора).

В командной строке вводите gpedit.msc и нажимаете Enter.

Откроется окно GPO. Теперь перейдем в раздел, где настраиваются нужные нам политики – «Доступ к съемным запоминающим устройствам». Нажмите на него – справа появятся существующие политики.

В данном случае нас интересуют политики касающееся съемных носителей. Однако здесь можно настроить работу с дисками (компакт, DVD, гибкими), ленточными накопителями и другими устройствами.

Также, очень удобно, это возможность выбрать, что именно необходимо запретить. Например, в целях сохранения информации, можно запретить запись.

Для этого нажмите на соответствующую политику правой кнопкой мыши и выберите «Изменить».

Теперь выберите команду «Включить» и нажмите «Применить».

При попытке скопировать любой файл на съемный диск, пользователь не сможет этого сделать (если он не состоит в группе «Администраторы»). Он увидит это сообщение.

По такому же принципу применяются и другие функции (чтение, запуск).

Здесь же есть и политика отключающая все классы устройств. Она так и называется.

Доступ только определенных устройств

Способ выше – наиболее простой. Однако, если у Вас есть лишь несколько носителей, которые используются в работе с ПК, то можно создать и белый список.

Для этого нужно:

• знать GUID устройства
• применить две политики в GPO

Находим GUID USB-накопителя

Сначала установите устройство в USB-порт, затем по команде показанной ниже, перейдите в «Диспетчер устройств» (ну, или как обычно – через «Панель управления»).

Найдите Ваше устройство в пункте «Переносные устройства» и откройте его свойства.

Перейдите на вкладку «Свойства», выберите из списка свойство «GUID» класса и скопируйте его значение.

Настраиваем нужные политики. Теперь перейдем к GPO. Откройте тот же каталог, что и выше – «Система». Но теперь перейдите к пункту «Установка устройств – Ограничение на установку устройств».

В списке политик нам нужны две выделенные. Вторую просто включаете.

В первой, еще и задаете значения GUID устройств, которые разрешены.

Сюда скопируйте значение GUID (для появления курсора, кликните в поле 2 раза).

Теперь только эти устройства смогут запускаться. В случае, если Вы вставите другие устройства – их попросту не будет видно.

Запрет флешек в Реестре Windows

Запрет использования флешек также можно осуществить с помощью Реестра Windows. Хотелось бы сразу отметить, что данный способ работает только при установленном драйвере на USB. В случае, если вы проделаете все, описанное ниже, когда он еще не установлен, то при подключении любого накопителя, Вам будет предложено установить этот драйвер. И значение, измененное ранее, изменится обратно, к стандартным настройкам.

Этот способ работает на всех ОС Windows. Однако наиболее актуальным он является для ОС Windows XP, так как там нет Редактора групповых политик. Поэтому пример будет показан в среде данной системы. Итак, продолжим.

Для начала откройте реестр. В командной строке введите «regedit» и нажмите «Enter».

Теперь перейдите в эту ветку реестра:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR

Как видите, там есть несколько параметров. Один из них «Start». Он определяет каким образом доступен USB-накопитель (для любых операций, для чтения, записи и т.д.). На данный момент установлено значение 3. Если изменить его на 4, то накопители станут вообще недоступными. Это нам и нужно.

Кликаете 2 раза и меняете значение на 4.

Теперь при подключении устройство просто не будет отображаться.

Как отключить порты USB в BIOS

Еще один способ запретить использование флешек — это отключить порты USB в BIOS.  Сделать это не сложно . Однако, с моей точки зрения, не достаточно эффективно. Хотя, если учесть, что большинство пользователей понятия не имеют не просто о том, что там можно порты отключить, а еще и о том, как туда зайти, то может быть это — удобный и быстрый способ.

Итак, зайдите в БИОС. На большинстве компьютеров это кнопка «F2». Однако в зависимости от марки, и способ отличается. В сети есть куча информации по этой теме, и я не буду подробно на этом останавливаться.

Теперь все делается буквально в два шага: переходим на вкладку «Configuration», отключаем функцию «USB Legacy». Сохраняем и выходим.

Все вышеописанные методы не стопроцентно защитят Ваш компьютер. Их тоже можно обойти, а как именно это сделать, смотрите в статье: «Как обойти запрет флешки»

Однако есть целый программный комплекс, обойти который будет не так просто. Он называется DeviceLock DLP. Именно об этом способе запрета флешки и пойдет речь в статье «Запрет USB».

Еще отмечу, что есть и другие простейшие программы типа: Ratool, USB Lock Standard и другие. Но они скорее скрипты с визуальным интерфейсом, которые реализуют метод реестра.

Если по каким-то причинам возникает необходимость на некоторых компьютерах c OC Windows полностью заблокировать доступ пользователям к возможности использования съёмных носителей, – можно воспользоваться настройками доступными в стандартных Административных шаблонах групповых политик в разделе Computer Configuration > Administrative Templates > System > Removable Storage Access

Для того чтобы применить эти параметры к какой-то отдельной группе компьютеров -можно создать отдельную групповую политику с такими настроенными параметрами и прилинковать её например к контейнеру (OU) в домене или изменить разрешения безопасности для этой политики так чтобы применяться она могла лишь к конкретной доменной группе безопасности, в которую включены соответствующие компьютеры.

Более гибким походом для решения данного вопроса будет использование механизмов настройки реестра из состава Group Policy Preferences (GPP). Подход с использованием GPP вместо использования выше-обозначенных стандартных параметров Административных шаблонов позволит нам встроить нужные нам ограничения в любую уже существующую у нас групповую политику не плодя при этом новых объектов GPO. Более того внутри этой политики мы сможем настроить правила ограничений сразу для множества разных коллекций компьютеров с разными видами нацеливания (Item-level targeting)

Итак, рассмотрим маленький пример создания параметров GPP для решения нашей задачи. Сразу уточним имеющиеся у нас исходные данные, – нам необходимо ограничить доступ ко всем типам внешних съёмных носителей для всех пользователей работающих на определённой группе компьютеров под управлением ОС Windows XP, Windows Vista и Windows 7.

Создаём в домене группу безопасности в которую включаем учетные записи всех компьютеров, на которых нам необходимо ввести ограничения и после этого в разделе групповой политики Computer Configuration > Preferences > Windows Settings > Registry создаём логическую группу с удобным для нас названием, например Storage-Devices-Restrict. В моём случае внутри этой группы создана подгруппа, определяющая принадлежность компьютеров к конкретной физической локации и в свойствах этой подгруппы включён режим нацеливания на созданную в домене группу безопасности. Таким образом, все настройки которые мы создадим внутри этой подгруппы будут применяться к клиентским компьютерам лишь в том случае, если они включены в соответствующую доменную группу.

Прежде чем делать настройки внутри нашей подгруппы настроек, стоит отметить, что выше-обозначенные стандартные параметры Административных шаблонов GPO доступны лишь для Windows Vista и Windows 7. С Windows XP в этом плане всё гораздо грустнее. И поэтому наши настройки GPP будут разделены на две соответствующие подгруппы, обработка параметров которых будет выполняться в зависимости от клиентской ОС. То есть внутри подгруппы по локации мы создадим две подгруппы по типу ОС.

Внутри группы WinXP создадим четыре основных параметра, каждый из которых будет отвечать за выключение системного драйвера, обеспечивающего возможность работы с основными типами внешних носителей. Наша задача — изменить тип запуска этих драйверов с помощью ключа Start в ветках реестра:

Куст реестра: HKEY_LOCAL_MACHINE

Ветки реестра:
SYSTEMCurrentControlSetServicesCdrom
SYSTEMCurrentControlSetServicesFlpydisk
SYSTEMCurrentControlSetServicesSfloppy
SYSTEMCurrentControlSetServicesUsbStor

Ключ: Start REG_DWORD = 4

Таблица значений по умолчанию для ключа реестра Start y соответствующих драйверов:

Значения по умолчанию могут нам понадобиться, на тот случай если мы надумаем вернуть состояние драйверов на компьютере в исходное состояние.

В свойствах наших параметров значение ключа Start сделаем равным 4, что определит состояние когда драйвер выключен и не загружается ни при каких условиях. Более подробная информация о допустимых значениях для данного ключа реестра в статье KB103000 — CurrentControlSetServices Subkey Entries

Дополнительно о методах блокировки доступа к USB накопителям можно найти в статье KB823732 — How to disable the use of USB storage devices. В этой статье предлагается ещё одно кардинальное решение – ограничение прав доступа в NTFS к файлам драйвера UsbStor (Usbstor.pnf и Usbstor.inf).

Отдельно также стоит отменить особенность ветки реестра драйвера UsbStor. Эта ветка реестра существует на клиентской системе только в том случае, если USB накопители хоть раз использовались в системе. Поэтому надо учитывать ситуацию, когда, возможно, накопитель ещё не использовался и при первом его использовании, значения параметров в этой ветке реестра могут быть переписаны в процессе первоначальной инициализации драйвера. То есть при этом доступ к устройству будет работать ровно до следующей перезагрузки с применением нового значения параметра Start.

Возможно кому-то пригодится информация о том, что начиная с Windows XP SP2 была добавлена возможность отдельно контролировать доступ на запись на съёмные USB девайсы:

Куст реестра: HKEY_LOCAL_MACHINE
Ветка: SystemCurrentControlSetControlStorageDevicePolicies
Ключ: WriteProtect REG_DWORD = 1

Теперь поговорим о параметрах GPP для систем Windows Vista и Windows 7. В отличии от Windows XP, в этих системах мы можем себе позволить гораздо более гибкие настройки, которые предоставляются нам с помощью возможности оперирования специальными ветками и ключами реестра предназначенными для ограничения доступа к разного типа носителей. Собственно говоря, мы будем оперировать теми же параметрами реестра, которые управляются стандартными Административными шаблонами групповых политик, о которых мы говорили в самом начале.

так как в нашем случае требуется ограничение доступа ко всем типам устройств, нам достаточно будет описать настройку только одного ключа реестра, настраиваемого политикой All Removable Storage classes: Deny all access:

Куст реестра: HKEY_LOCAL_MACHINE
Ветка: SOFTWAREPoliciesMicrosoftWindowsRemovableStorageDevices
Ключ: Deny_All REG_DWORD = 1

Для тех, кому понадобятся более тонкие настройки ограничений, например, если вам нужно будет включить ограничение лишь для отдельных типов носителей или ограничить только запись на носители, приведу соответствие возможных значений реестра сопоставляя их с именами основных стандартных настроек в Административных шаблонах. Все ниже перечисленные подветки реестра надо создавать в ветке

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsRemovableStorageDevices

Значения всех ключей Deny_Read и Deny_Write имеют тип REG_DWORD и могут принимать две формы:
1 — Запрет действует
0 — Запрет не действует (можно также просто удалить ключ)

По умолчанию ветки RemovableStorageDevices в реестре не существует, и поэтому она будет создана при первом применении нашей политики.

Если так получается, что в вашей ситуации появятся какие-то хитры девайсы которые не подпадают ни под один из перечисленных классов, то вы сможете самостоятельно узнать идентификатор класса устройства посмотрев в оснастке Диспетчер устройств (devmgmt.msc) в свойствах этого самого хитрого девайса значение атрибута Device Class GUID (Determine the Device Setup Class for Your Device)

Отмечу, что в интернете можно встретить описание некоторых случаев, в которых игры с ограничениями имеют грустный финал, если не уделять должного внимания процессу планирования и тестирования применяемых параметров.

При создании правил настройки реестра и сопоставлении их со стандартными параметрами GPO, вы можете заметить, что большинство перечисленных параметров доступны не только в контексте Computer Configuration, но и в контексте User Configuration, то есть вы можете попробовать на системах Windows Vista и Windows 7 использовать механизмы ограничений не для всей системы в целом а лишь для некоторых её пользователей. Для этого необходимо создавать параметры GPP в разделе групповой политики User Configuration> Preferences > Windows Settings > Registry и при их создании указывать куст реестра HKEY_CURRENT_USER вместо HKEY_LOCAL_MACHINE, используя при этом по необходимости нацеливание уже не на группы компьютеров, а на группы пользователей. Но это только теоретически, и сам я такой вариант настройки не проверял.

Итак, закончив настройку параметров GPP и дождавшись применения групповой политики на целевых клиентских компьютерах, мы сможем проверить механизмы ограничений доступа в действии. На системах Windows XP во всех элементах пользовательского интерфейса исчезнет любое упоминание о наличии устройств чтения съёмных носителей, а в оснастке Диспетчер устройств (devmgmt.msc) мы увидим, что эти устройства находятся в неоперативном режиме

Открыв свойства любого такого устройства мы убедимся в том, что необходимый для его работы драйвер в системе выключен.

На системах Windows Vista и windows 7 ситуация будет в нашем случае выглядеть несколько иначе. Все устройства в интерфейсе пользователя будут видны но при попытке доступа к ним мы будем получать сообщение об отказе в доступе.

Ещё раз хочу напомнить про то, что планируя организовать ограничение доступа через настройку реестра с помощью GPP, обдумайте пути возврата клиентских компьютеров в исходное состояние в случае необходимости. Это можно сделать например создав в той же групповой политике те же параметры реестра но уже с нацеливанием на другие группы безопасности и использовать при этом возможности очерёдности обработки параметров GPP в процессе применения групповой политики. Или же можно создать отдельную групповую политику которая будет опять таки иметь приоритет над запрещающей политикой … в общем вариантов можно придумать много и тут, как всегда, всё зависит только от вашей фантазии  

Источники информации:

• KB555324 — HOWTO: Use Group Policy to disable USB, CD-ROM, Floppy Disk and LS-120 drivers
• KB82373 — How to disable the use of USB storage devices
• MSDN Library — Step-By-Step Guide to Controlling Device Installation Using Group Policy
• Windows Server TechCenter > Forum FAQ: How to restrict mass storage drive and CD-ROM access?