Опасаетесь, что вашу информацию могут похитить с рабочего компьютера и унести на флешке? Или наоборот, боитесь потерять данные, хранящиеся на флешке из-за того, что они легко удаляются? Как обезопасить файлы от копирования на сменный носитель, не запрещая его использования в системе? А как защитить скопированное от удаления?
Защита флешки от записи может быть реализована несколькими способами, в зависимости от преследуемых целей. Одни из них запрещают запись на съемный диск средствами самой системы, что не дает возможности записывать файлы на любую флешку на вашем компьютере, другие же позволяют запретить запись на конкретный носитель, независимо от того, к какому компьютеру он будет подключен. Рассмотрим их подробнее:
Запрет записи на сменные носители путем редактирования реестра.
Небольшие изменения, внесенные в реестр, позволят добиться запрета записи на любые съемные диски. Для того, чтобы внести необходимые настройки, откройте окно “Выполнить” при помощи комбинации клавиш Win/R и запустите редактор реестра (для этого нужно ввести команду “regedit” в окне и нажать кнопку Ok или Enter):
В редакторе нас интересует раздел HKEY_LOCAL_MACHINE,
в котором последовательно откроем /SYSTEM/CurrentControlSet/Control/
В подразделе Control нам необходимо найти папку StorageDevicePolicies (а если ее нет – создать новую) и в параметре WriteProtect заменить значение нуль на единицу:
Для этого двойным щелчком откроем параметр и отредактируем его значение:
В том случае, если мы самостоятельно создавали StorageDevicePolicies, нам нужно в ней создать и параметр WriteProtect, для чего необходимо правой кнопкой мыши открыть контекстное меню, выбрать “Параметр DWORD 32 бита” и присвоить новому параметру имя WriteProtect, после чего изменить его значение на единицу, указанным выше способом.
После закрытия редактора реестра, перезагрузите компьютер для применения внесенных изменений. Запись на съемные диски более не доступна, на флешку невозможно ничего скопировать, а существующие на ней файлы нельзя удалить и переименовать:
Чтобы отключить запрет на запись, необходимо вернуть параметру WriteProtect нулевое значение.
Запрет записи на флеш носители при помощи изменения групповой политики
Другой способ, позволяющий добиться аналогичных результатов, состоит во внесении изменений в локальную групповую политику. Откройте редактор, используя знакомые нам клавиши Win/R со вводом команды gpedit.msc в окне “Выполнить”:
Последовательно перейдем по пути Конфигурация компьютера / Административные шаблоны / Система / Доступ к съемным запоминающим устройствам:
Здесь нас интересует параметр “Съемные диски: запретить запись”, который необходимо установить во включенное состояние:
Данный способ хорош тем, что не требует перезагрузки системы для применения настроек – после нажатия кнопки “Применить”, запрет записи на диски включается сразу.
Также сразу запрет записи и выключается, достаточно установить параметру “Съемные диски: запретить запись” значение “Не задано”, или “Отключить”.
Оба метода хороши для запрета записи на вашем компьютере, но защитить важные данные на флешке, при ее использовании для переноса файлов на другой компьютер, они не способны. Для этого нужен совершенно другой подход:
Защита флешки от записи путем установки прав доступа
Для применения этого способа необходимо отформатировать вашу флешку стандартными средствами Windows в файловую систему NTFS:
Все данные при этом будут уничтожены, поэтому если у вас на ней имеются важные документы, скопируйте их предварительно на жесткий диск, а после форматирования – верните на флешку.
Далее нам нужно установить права доступа, для этого щелкните правой кнопкой мыши на изображении съемного диска в “Проводнике” и выберите пункт “Свойства”:
В “Свойствах” нас интересует вкладка “Безопасность”, на которой мы можем внести изменения в права доступа файловой системы:
Установите для группы “Все” запрет на запись, примените изменения:
Теперь, независимо от компьютера, к которому будет подключена ваша флешка, прав на запись (а соответственно и на удаление файлов) ни у одного пользователя не будет. Причем восстановить права можно лишь на том компьютере, где вносились первоначальные изменения, вернув галочку для пункта “Запись” в положение “Разрешить”.
При желании, вы можете поэкспериментировать с различными группами пользователей, например, разрешив запись только группе с административными правами. Однако учтите, что эти настройки будут действительны только для администраторов на том компьютере, где вносятся изменения и ни на каком другом.
Каким образом снять такую защиту от записи, если доступа к исходному компьютеру нет, или если на этом компьютере переустановили операционную систему? В этом случае вам поможет только форматирование флешки заново. Не пугайтесь, если на ней вы храните важные документы – скопируйте их в папку на жестком диске компьютера, а потом смело форматируйте свой носитель информации. После форматирования файловая система вернется в исходное состояние, для уверенности можно выбрать систему FAT в качестве новой файловой системы.
Защита сменного носителя от записи при помощи встроенного переключателя
Не стоит забывать и о том, что некоторыми производителями предусмотрен переключатель, позволяющий блокировать запись на флешке. Это касается, в основном, карт памяти и адаптеров для них, однако и USB-носители тоже могут быть им оборудованы:
В том случае, если ваш носитель имеет такой переключатель, просто переключите его – и до тех пор, пока вы не вернете его в обратное положение, записать что либо, или случайно удалить файлы, будет невозможно. Главное – сами не забудьте, что вы включили блокировку от записи на флешку, иначе вам гарантированы неприятные эмоции, когда вы не сможете представить отчет начальнику из-за того, что не получится скопировать файлы на флешку, теперь уже защищенную.
Если вам требуется, чтобы к компьютеру или ноутбуку с Windows 10, 8.1 или Windows 7 никто не мог подключить USB-накопители, вы можете запретить использование флешек, карт памяти и жестких дисков используя встроенные средства системы. Мышки, клавиатуры и другая периферия, не являющаяся хранилищем, продолжит работать.
В этой инструкции о том, как заблокировать использование USB флешек и других съемных накопителей с помощью редактора локальной групповой политики или редактора реестра. Также в разделе с дополнительной информацией о блокировке доступа через USB к устройствам MTP и PTP (камера, Android телефон, плеер). Во всех случаях для выполнения описываемых действий вы должны иметь права администратора в Windows. См. также: Запреты и блокировки в Windows, Как поставить пароль на флешку в BitLocker.
Запрет подключения USB флешек с помощью редактора локальной групповой политики
Первый способ более простой и предполагает использование встроенной утилиты «Редактор локальной групповой политики». Следует учитывать, что эта системная утилита недоступна в Домашней редакции Windows (если у вас такая версия ОС, используйте следующий способ).
Шаги по блокировке использования USB накопителей будут следующими:
- Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter, откроется редактор локальной групповой политики.
- Если требуется запретить использование USB накопителей для всех пользователей компьютера, перейдите к разделу Конфигурация компьютера — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам. Если требуется заблокировать доступ только для текущего пользователя, откройте аналогичный раздел в «Конфигурация пользователя».
- Обратите внимание на пункты «Съемные диски: Запретить выполнение», «Съемные диски: Запретить запись», «Съемные диски: Запретить чтение». Все они отвечают за блокировку доступа к USB-накопителям. При этом запрет чтения запрещает не только просмотр содержимого флешки или копирование с неё, но и остальные операции (на накопитель нельзя будет что-либо записать, запуск программ с него также не будет выполняться).
- Для того, чтобы, например, запретить чтение с USB накопителя, дважды нажмите по параметру «Съемные диски: Запретить чтение», установите значение «Включено» и примените настройки. Выполните то же самое для других требующихся вам пунктов.
На этом процесс будет завершен, а доступ к USB заблокирован. Перезагрузка компьютера не требуется, однако, если на момент включения ограничений накопитель уже был подключен, изменения для него вступят в силу только после отключения и повторного подключения.
Как заблокировать использование USB флешки и других съемных накопителей с помощью редактора реестра
Если на вашем компьютере отсутствует редактор локальной групповой политики, ту же блокировку можно выполнить и с помощью редактора реестра:
- Нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter.
- В редакторе реестра перейдите к одному из разделов: первый — для запрета использования USB накопителей для всех пользователей. Второй — только для текущего пользователя
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftWindows
- Создайте подраздел RemovableStorageDevices, а в нем — подраздел с именем {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}
- В этом подразделе создайте нужные параметры DWORD32 (даже для Windows x64) — с именем Deny_Read для запрета чтения и других операций, Deny_Execute — для запрета выполнения, Deny_Write — для запрета записи на USB накопитель.
- Установите значение 1 для созданных параметров.
Запрет использования USB флешек и других съемных накопителей вступит в силу сразу после внесения изменения (если на момент блокировки накопитель уже был подключен к компьютеру или ноутбуку, он будет доступен до отключения и повторного подключения).
Дополнительная информация
Некоторые дополнительные нюансы блокировки доступа к USB накопителям, которые могут оказаться полезными:
- Описанные выше способы работают для съемных USB флешек и дисков, однако не работают для устройств, подключенных по протоколу MTP и PTP (например, хранилище Android телефона продолжит быть доступным). Для отключения доступа по этим протоколам, в редакторе локальной групповой политики в том же разделе используйте параметры «WPD-устройства» для запрета чтения и записи. В редакторе реестра это будет выглядеть как подразделы {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}, {6AC27878-A6FA-4155-BA85-F98F491D4F33} и {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE} в политиках RemovableStorageDevices (как описывалось выше) с параметрами Deny_Read и/или Deny_Write.
- Для того, чтобы в дальнейшем вновь включить возможность использования USB накопителей, просто удалите созданные параметры из реестра или установите «Выключено» в измененных ранее политиках доступа к съемным запоминающим устройствам.
- Еще один способ блокировки USB накопителей — отключение соответствующей службы: в разделе реестра
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR
измените значение Start на 4 и перезагрузите компьютер. При использовании этого способа подключенные флешки даже не будут появляться в проводнике.
Помимо встроенных средств системы, есть сторонние программы для блокировки подключения различного рода USB устройств к компьютеру, в том числе и продвинутые инструменты наподобие USB-Lock-RP.
Доступ для записи USB или защита от записи USB — это функция безопасности, которую можно включить для любого хранилища данных USB. Основная цель включения доступа к USB-записи заключается в поддержании целостности USB-хранилища данных. В этом посте мы покажем вам, как вы можете включить или отключить доступ для записи через USB в Windows 10.
Включив защиту от записи, данные на диске не будут изменены. Таким образом, он может предотвратить вирусную атаку на USB-хранилище данных или несанкционированный доступ/копирование файлов из ОС Windows 10 на USB-накопитель пользователями ПК.
Существует два вида защиты от записи для USB-накопителей:
- Аппаратная защита от записи.
- Защита от записи программного обеспечения.
Аппаратная защита от записи в основном доступна в картридере или на дискетах. В аппаратной защите от записи на боковой стороне устройства чтения карт памяти находится механический переключатель, а на дискете — в нижнем левом углу черный скользящий блок. Как только этот переключатель отключен, защита от записи включена. Чтобы выключить/отключить, просто сдвиньте переключатель вниз.
В этом посте мы рассмотрим, как включить или отключить доступ для записи через USB с помощью программного метода.
Вы можете включить или отключить защиту от записи USB в Windows 10 одним из двух способов:
- Редактор реестра
- Редактор локальной групповой политики
Давайте подробно рассмотрим шаги, связанные с каждым методом.
1] Включение или выключение защиты от записи USB через редактор реестра
Это операция реестра, поэтому рекомендуется создать резервную копию реестра или создать точку восстановления системы на случай, если процедура пойдет не так. После того, как вы приняли необходимые меры предосторожности, вы можете действовать следующим образом:
- Нажмите клавишу Windows + R, чтобы вызвать диалоговое окно «Выполнить».
- В диалоговом окне «Выполнить» введите regedit и нажмите Enter, чтобы открыть редактор реестра.
- Перейдите или перейдите к пути раздела реестра ниже:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl
- На левой панели щелкните правой кнопкой мыши клавишу Control, выберите «Создать» > «Ключ», назовите его «StorageDevicePolicies» и нажмите «Enter».
- Теперь нажмите StorageDevicePolicies.
- На правой панели щелкните правой кнопкой мыши пустое место и выберите «Создать» > «DWORD (32-разрядное) значение», назовите его « WriteProtect» и нажмите «Enter».
- Затем дважды щелкните на WriteProtect, чтобы изменить его свойства.
- Введите 1 в поле Значение и нажмите Enter, чтобы сохранить изменения.
- Перезагрузите компьютер, чтобы изменения вступили в силу.
Вот и все. Вы успешно включили защиту от записи для USB-накопителей через редактор реестра.
Если вы хотите отключить защиту от записи, откройте редактор реестра и перейдите или перейдите к расположению ниже.
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlStorageDevicePolicies
На правой панели щелкните правой кнопкой мыши ключ WriteProtect и выберите «Удалить».
Перезагрузите компьютер, чтобы изменения вступили в силу.
2] Включение или отключение защиты от записи USB через редактор локальной групповой политики.
Чтобы включить или отключить защиту от записи USB через редактор локальной групповой политики, выполните следующие действия:
- Нажмите клавишу Windows + R, чтобы вызвать диалоговое окно «Выполнить».
- В диалоговом окне «Выполнить» введите gpedit.msc и нажмите Enter, чтобы открыть редактор групповой политики.
- В редакторе локальной групповой политики на левой панели перейдите к следующему пути:
Computer Configuration > Administrative Templates > System > Removable Storage Access
- На правой панели прокрутите и найдите политику доступа к Съемным дискам: Запретить запись.
- Дважды щелкните политику, чтобы изменить ее свойства.
- В окне свойств политики установите переключатель в положение « Включено» .
- Нажмите Применить > OK, чтобы сохранить изменения.
- Теперь вы можете выйти из редактора локальной групповой политики.
- Затем нажмите клавиши Windows + R , введите cmd и нажмите Enter, чтобы открыть командную строку.
- Введите команду ниже и нажмите Enter.
gpupdate /force
После обновления политики перезагрузите компьютер, чтобы изменения вступили в силу.
Вот и все. Вы успешно включили защиту от записи для USB-накопителей через редактор локальной групповой политики.
Если вы хотите отключить защиту от записи, повторите шаги, описанные выше, но для политики установите переключатель в положение Отключено или Не настроено.
Содержание
- Как защитить флешку от записи
- Способ 1: Используем специальное ПО
- Способ 2: Используем встроенный переключатель
- Способ 3: Редактируем реестр
- Способ 4: Делаем изменения групповой политики
- Способ 5: Устанавливаем права доступа
- Вопросы и ответы
Во многих фирмах специалисты ставят защиту от записи на съемные носители. Это продиктовано необходимостью обезопасить себя от утечки информации к конкурентам. Но бывает и другая ситуация, когда флешка используется на нескольких компьютерах, и лучший способ защитить информацию на ней от пользователей и вирусов – поставить запрет на запись. Мы рассмотрим несколько способов, как выполнить данную задачу.
Как защитить флешку от записи
Сделать это можно с помощью средств самой операционной системы Windows, воспользоваться специальным программным обеспечением или аппаратными возможностями USB-накопителя. Рассмотрим эти способы.
Способ 1: Используем специальное ПО
Не каждый пользователь может уверенно работать с реестром или служебными программами операционной системы (о чем мы поговорим далее). Поэтому для удобства создано специальное программное обеспечение, которое помогает справиться с описанными методами нажатием одной-двух кнопок. К примеру, есть утилита USB Port Locked, которая предназначена для блокировки самого порта компьютера.
Скачать USB Port Locked
Программа проста в обращении. Более того, она не требует установки. Чтобы ею воспользоваться, сделайте следующее:
- Запустите ее. Пароль для запуска стандартный – «Unlock».
- Для блокировки USB разъемов машины выберете пункт «Lock USB Ports» и нажмите кнопку выхода «Exit». Чтобы разблокировать их, нажмите «Unlock USB Ports»
Такая утилита помогает защитить от копирования конфиденциальных данных с компьютера на USB-носители. Но она имеет низкий уровень защиты и подходит только для обычных пользователей.
Читайте также: Инструкция по созданию загрузочной флешки на Windows
Хорошо себя зарекомендовала бесплатная компьютерная программа Ratool.
Скачать Ratool бесплатно
Это утилита надежно защитит данные на флешке от изменения или удаления. Она считается эффективной, так как работает на аппаратном уровне. Использование в данном случае выглядит следующим образом:
- Откройте программу. Там Вы увидите 3 пункта:
- разрешить чтение и запись для USB — этот пункт предоставляет полный доступ к флешке;
- разрешить только чтение – этот пункт при подключении флешки сообщит что она пригодна только для чтения;
- заблокировать USB накопитель – этот вариант полностью блокирует доступ к USB- накопителю.
- После внесения изменений в правила работы с флешкой закройте программу.
Нужные изменения в системе произведены. Программа имеет дополнительные удобные функции, с которыми можете ознакомиться в меню «Параметры».
Еще одна очень удобная программа для обеспечения защиты от записи на флешке называется ToolsPlus USB KEY.
Скачать ToolsPlus USB KEY
При использовании флешки в компьютере программа запрашивает пароль. И если он не верен, то флешка отключается.
Утилита запускается без установки. Для защиты от записи вам нужно нажать всего одну кнопку «ОК (свернуть в трей)». При нажатии кнопки «Настройки» вы можете настроить пароль и добавить запуск в автозагрузку. Для защиты от записи нажимается всего одна кнопка. Эта программа при запуске прячется в трей и обычный пользователь ее не заметит.
Рассмотренное программное обеспечение является лучшим вариантом защиты для обычного пользователя.
Способ 2: Используем встроенный переключатель
Ряд производителей предусмотрели переключатель аппаратной защиты на самом USB — устройстве, который блокирует запись. Если поставить такой USB-накопитель на блокировку, то записать на него или удалить что-либо будет невозможно.
Читайте также: Руководство на случай, когда компьютер не видит флешку
Способ 3: Редактируем реестр
- Для того, чтобы открыть реестр операционной системы, откройте меню «Пуск», введите в пустое поле «Найти программы и файлы» команду
regedit
. Аналогичное можно проделать и с помощью комбинации клавиш «WIN»+ «R», где открывшемся окне тоже потребуется ввестиregedit
. - Когда реестр открылся, пройдите последовательно по указанной ветке:
HKEY_LOCAL_MACHINE->SYSTEM->CurrentControlSet->Control->StorageDevicePolicies
- Проверьте значение параметра WriteProtect. Доступные значения:
- 0 — режим записи;
- 1 — режим чтения.
То есть, для защиты от записи нужно исправить параметр на «1». Тогда флешка будет работать только на чтение.
- Если нужно обезопасить компьютер от утечки информации с него, то в реестре можно запретить использование USB носителей. Для этого пройдите по указанной ветке реестра:
HKEY_LOCAL_MACHINE->SYSTEM->CurrentControlSet->Services->USBSTOR
- Найдите в правом окне параметр «Start». В обычном режиме этот параметр равен 3. Если изменить его значение на 4, то произойдет блокировка USB-накопителей.
- После перезагрузки компьютера флешка не будет отображаться в Windows.
Способ 4: Делаем изменения групповой политики
Это способ подойдет для USB-накопителя, отформатированного в NTFS. Как сделать флешку с такой файловой системой, читайте в нашем уроке.
Урок: Как отформатировать флешку в NTFS
- Вставьте флешку в компьютер. Правой кнопкой мыши щелкните по ее значку в «Моем компьютере» или «Этом компьютере».
- Откройте пункт выпадающего меню «Свойства». Перейдите на вкладку «Безопасность»
- Под разделом «Группы и пользователи» нажмите кнопку «Изменить…».
- В новом окне откроется список групп и пользователей. Здесь, в списке разрешений уберите галочку с пункта «Запись» и нажмите кнопку «Применить».
После такой операции записать на флешку будет невозможно.
Читайте также: Что делать, если флешка не форматируется
Способ 5: Устанавливаем права доступа
Здесь используется редактор групповой локальной политики («gpedit.msc»). В домашних версиях (Home) Windows 7, 8, 10 этот компонент ОС не предоставляется. Она входит в состав Windows Professional. Запустить этот инструмент вы можете таким же образом, как и описано выше.
- После открытия редактора, перейдите последовательно к нужному разделу:
«Административные шаблоны» -> «Система» -> «Доступ к съемным запоминающим устройствам»
. - С правой стороны редактора найдите параметр «Съемные диски: запретить запись».
- По умолчанию стоит состояние «Не задано», измените его на «Включена». Для этого двойным щелчком левой кнопки мыши по параметру откройте окно для изменения. Отметьте параметр «Включить» и нажмите «Применить».
При использовании этого способа, не требуется перезагрузка компьютера, изменения на запрет записи сразу вступают в силу.
Все рассмотренные способы защиты флешки от записи, помогут вам обезопасить свою информацию. Поставив такую защиту, вы можете быть спокойны: с ней уже вам не страшны вирусы и человеческие ошибки. Каким способом воспользоваться, решать вам. Удачной работы!
На нашем сайте есть обратная инструкция – как снять защиту, которую мы поставили в данном уроке.
Урок: Как снять защиту от записи с флешки
Хотите защитить данные на своем компьютере под управлением Windows 10, заблокировав или отключив USB-накопители на вашем ПК? В этом руководстве мы рассмотрим пять простых способов включения или отключения USB-накопителей в Windows 10.
Блокировка USB-накопителей в Windows 10 может быть выполнена разными способами. Вы можете использовать Реестр, BIOS или сторонние утилиты для включения или отключения USB-накопителей в системе Windows 10.
Ниже приведено пять способов включения или отключения USB-накопителей в Windows 10.
Способ 1 из 5
Включение и отключение USB-накопителей в Windows 10 с помощью реестра
Если вам удобно вносить изменения в реестр Windows, вы можете включить или отключить USB-накопители в Windows 10, вручную отредактировав реестр. Вот как это сделать.
Шаг 1: Откройте редактор реестра
Шаг 2: Перейдите к следующему разделу:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR
Шаг 3: Теперь с правой стороны дважды кликните параметр «Start» и измените его значение на 4, чтобы отключить USB-накопители на вашем ПК с Windows 10. Измените значение Start на 3, чтобы включить USB-накопители и устройства хранения данных на вашем ПК.
Способ 2 из 5
Включение и отключение USB-портов через диспетчер устройств
Знаете ли вы, что вы можете отключить все порты USB с помощью диспетчера устройств? Отключив USB-порты, вы запрещаете пользователям использовать USB-порты для подключения USB-накопителей к вашему компьютеру.
Когда вы отключите USB-порты, USB на вашем ПК не будут работать, и, следовательно, никто не сможет подключать USB-накопители. Вам нужно будет снова включить USB-порты для подключения устройств через USB. Вот как включить или отключить порты USB с помощью диспетчера устройств.
ВАЖНО: Мы рекомендуем создать точку восстановления системы перед отключением USB-портов, чтобы вы могли легко включить их снова, когда захотите.
Шаг 1: Кликните правой кнопкой мыши на кнопке «Пуск» на панели задач и выберите «Диспетчер устройств».
Шаг 2: Разверните Контроллеры USB. Кликните правой кнопкой мыши на все записи оду за другой, и нажмите «Отключить устройство». Нажмите кнопку «Да», когда вы увидите диалоговое окно подтверждения.
Способ 3 из 5
Используйте USB Drive Disabler для включения или отключения USB-накопителей
Если вы не хотите редактировать реестр вручную, вы можете использовать бесплатный инструмент под названием USB Drive Disabler для быстрого включения или отключения USB-накопителей на вашем ПК. Просто загрузите USB Disabler, запустите его, а затем выберите «Включить USB-диски» или «Отключить USB-диски», чтобы включить или отключить USB-накопители на вашем ПК.
Загрузить USB Drive Disabler
Способ 4 из 5
Отключить или включить USB-порты в BIOS
Некоторые производители предлагают опцию в BIOS / UEFI для отключения или включения USB-портов. Загрузите BIOS / UEFI и проверьте, есть ли опция для отключения или включения USB-портов. Проверьте руководство пользователя вашего ПК, чтобы узнать, присутствует ли опция включения или отключения USB-портов в BIOS / UEFI.
Способ 5 из 5
Включение и отключение USB-накопителей с USB Guard
Nomesoft USB Guard — еще одна бесплатная утилита для блокировки USB-накопителей на компьютерах под управлением Windows 10 и более ранних версий Windows. Вы должны использовать эту программу как администратор для включения или отключения USB-накопителей.
Скачать Nomesoft USB Guard
Если вы хотите защитить накопители USB, обратитесь к следующей статье для получения подробной информации:
Как включить защиту от записи для USB накопителей в Windows 10
Защита от записи USB дисков- может быть полезной в качестве дополнительной опции безопасности.
В Windows 10 есть одна полезная функция, позволяющая защитить подключаемые к компьютеру USB-устройства от записи. По умолчанию она не активна, но если ее включить, она будет играть роль дополнительного барьера, предохраняющего от несанкционированного копирования данных с компьютера на флешку.
Включить функцию защиты от записи для съемных устройств очень просто, достаточного отредактировать один ключ системного реестра.
Командой regedit запустите редактор реестра и разверните в левой колонке следующую ветку:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl
Создайте в последнем подразделе новый подраздел с именем StorageDevicePolicies, а в нем в свою очередь создайте 32-битный параметр типа DWORD с именем WriteProtect. Установите в качестве его значения 1 и сохраните результат редактирования.
Теперь, если вы подключите к компьютеру флешку и попробуете на нее что-нибудь записать, то получите сообщение «Диск защищен от записи…». Кроме того, в контекстном меню Проводника для такой флешки станут недоступными опции «Создать» и «Удалить».
Новые настройки вступают в силу немедленно, перезагружать компьютер не нужно. Чтобы сделать съемный носитель вновь доступным для записи, удалите параметр WriteProtect или измените его значение на 0. Твик также работает в Windows 8.1 и 7.
Отличного Вам дня!
В Windows 10, если у компьютера есть необходимые порты, пользователи могут подключать съемные устройства для хранения данных — например, флешки или внешние жесткие диски — для доступа к информации или для ее экспорта.
Хотя это обычная практика использования съемных дисков, бывают случаи, когда нужно ограничить доступ к таким устройствам. Например, можно отключить доступ, чтобы другие пользователи не могли подключать внешние устройства с вирусами. Также если на устройстве хранятся конфиденциальные данные, блокировка чтения и записи на съемные носители поможет предотвратить копирование определенной информации и повысить безопасность.
По какой причине вы бы ни хотели это сделать, Windows 10 позволяет отключить доступ ко всем съемным устройствам с помощью Редактора локальной групповой политики или Редактора реестра.
В этом руководстве мы расскажем, как отключить доступ к чтению и записи для всех классов съемных носителей.
Как отключить доступ ко всем съемным носителям с помощью Групповой политики
В Windows 10 Pro (для предприятий или образовательных учреждений) самый простой способ запретить пользователям доступ к съемным носителям — это использовать Редактор локальной групповой политики.
Чтобы отключить доступ для съемных носителей в Windows 10, проделайте следующее:
- Откройте Пуск.
- Найдите файл gpedit.msc и нажмите ОК, чтобы открыть Редактор локальной групповой политики.
- Откройте следующее расположение:
Конфигурация компьютера > Административные шаблоны > Система > Доступ к съемным носителям данных - С правой стороны дважды кликните опцию Все классы съемных носителей: запретить доступ полностью.
- Выберите Включено.
- Нажмите Применить.
- Нажмите ОК.
- Перезагрузите компьютер.
После выполнения этих шагов Windows 10 запретит доступ ко всем классам съемных носителей, включая флешки, внешние жесткие диски, физические диски (например, CD и DVD) и так далее.
Если вы передумаете, действие можно легко отменить — проделайте все то же самое, но на шаге № 5 выберите параметр Не настроено.
Как отключить доступ ко всем съемным носителям с помощью Реестра
В версии Windows 10 Home нет Редактора локальной групповой политики, но заблокировать доступ можно с помощью Редактора реестра.
Предупреждение: напомним, что редактирование Реестра довольно рискованно и может привести к непоправимым повреждениям системы, если вы что-то сделаете неправильно. Советуем сделать резервную копию, прежде чем продолжать.
Чтобы отключить доступ ко всем съемным носителям, проделайте следующее:
- Откройте Пуск.
- Найдите файл regedit и откройте Редактор реестра.
- Откройте следующее расположение:
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows
На заметку: в Windows 10 можно скопировать и вставить путь в адресную строку реестра. - Щелкните правой кнопкой мыши папку Windows, нажмите на Создать, затем на Раздел.
- Назовите раздел RemovableStorageDevices и нажмите клавишу Enter.
- Щелкните правой кнопкой мыши созданный раздел, нажмите Создать и выберите Параметр DWORD (32 бита).
- Назовите раздел Deny_All и нажмите Enter.
- Дважды кликните вновь созданный DWORD и поменяйте значение с 0 на 1.
- Нажмите ОК.
- Перезагрузите компьютер.
После выполнения этих шагов пользователи больше не будут иметь доступ к уже подключенным съемным носителям, а также не смогут подключать новые носители.
Отменить настройки всегда можно, используя инструкцию выше, но на шаге № 4 щелкните правой кнопкой мыши RemovableStorageDevices и выберите Удалить. Если у вас есть другие настройки внутри раздела, не удаляйте их. Вместо этого дважды щелкните DWORD Deny_All и поменяйте значение с 1 на 0.
После отмены изменений с помощью любого из перечисленных методов доступ к съемным носителям будет восстановлен. Если не сработало — перезагрузите компьютер.
Новости о программах, устройствах и технологиях Microsoft
Содержание
- Surface Pro
- Как отключить доступ ко всем съемным носителям с помощью Групповой политики
- Как отключить доступ ко всем съемным носителям с помощью Реестра
- Добавить комментарий Отменить ответ
- Как запретить использование USB флешки и других съемных накопителей в Windows
- Запрет подключения USB флешек с помощью редактора локальной групповой политики
- Как заблокировать использование USB флешки и других съемных накопителей с помощью редактора реестра
- Дополнительная информация
- Как заблокировать использование USB накопителей в Windows?
- Настройка групповой политики блокировки USB носителей в Windows
- Как заблокировать USB накопители только определенным пользователям?
- Запрет доступа к USB накопителям через реестр и GPO
- Полное отключение драйвера USB накопителей в Windows
- История подключения USB накопителей в Windows
- Разрешить подключение только определенной USB флешки
Surface Pro
В Windows 10, если у компьютера есть необходимые порты, пользователи могут подключать съемные устройства для хранения данных — например, флешки или внешние жесткие диски — для доступа к информации или для ее экспорта.
Хотя это обычная практика использования съемных дисков, бывают случаи, когда нужно ограничить доступ к таким устройствам. Например, можно отключить доступ, чтобы другие пользователи не могли подключать внешние устройства с вирусами. Также если на устройстве хранятся конфиденциальные данные, блокировка чтения и записи на съемные носители поможет предотвратить копирование определенной информации и повысить безопасность.
По какой причине вы бы ни хотели это сделать, Windows 10 позволяет отключить доступ ко всем съемным устройствам с помощью Редактора локальной групповой политики или Редактора реестра.
В этом руководстве мы расскажем, как отключить доступ к чтению и записи для всех классов съемных носителей.
Как отключить доступ ко всем съемным носителям с помощью Групповой политики
В Windows 10 Pro (для предприятий или образовательных учреждений) самый простой способ запретить пользователям доступ к съемным носителям — это использовать Редактор локальной групповой политики.
Чтобы отключить доступ для съемных носителей в Windows 10, проделайте следующее:
- Откройте Пуск.
- Найдите файл gpedit.msc и нажмите ОК, чтобы открыть Редактор локальной групповой политики.
- Откройте следующее расположение:
Конфигурация компьютера > Административные шаблоны > Система > Доступ к съемным носителям данных - С правой стороны дважды кликните опцию Все классы съемных носителей: запретить доступ полностью.
- Выберите Включено.
- Нажмите Применить.
- Нажмите ОК.
- Перезагрузите компьютер.
После выполнения этих шагов Windows 10 запретит доступ ко всем классам съемных носителей, включая флешки, внешние жесткие диски, физические диски (например, CD и DVD) и так далее.
Если вы передумаете, действие можно легко отменить — проделайте все то же самое, но на шаге № 5 выберите параметр Не настроено.
Как отключить доступ ко всем съемным носителям с помощью Реестра
В версии Windows 10 Home нет Редактора локальной групповой политики, но заблокировать доступ можно с помощью Редактора реестра.
Предупреждение: напомним, что редактирование Реестра довольно рискованно и может привести к непоправимым повреждениям системы, если вы что-то сделаете неправильно. Советуем сделать резервную копию, прежде чем продолжать.
Чтобы отключить доступ ко всем съемным носителям, проделайте следующее:
- Откройте Пуск.
- Найдите файл regedit и откройте Редактор реестра.
- Откройте следующее расположение:
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows
На заметку: в Windows 10 можно скопировать и вставить путь в адресную строку реестра. - Щелкните правой кнопкой мыши папку Windows, нажмите на Создать, затем на Раздел.
- Назовите раздел RemovableStorageDevices и нажмите клавишу Enter.
- Щелкните правой кнопкой мыши созданный раздел, нажмите Создать и выберите Параметр DWORD (32 бита).
- Назовите раздел Deny_All и нажмите Enter.
- Дважды кликните вновь созданный DWORD и поменяйте значение с 0 на 1.
- Нажмите ОК.
- Перезагрузите компьютер.
После выполнения этих шагов пользователи больше не будут иметь доступ к уже подключенным съемным носителям, а также не смогут подключать новые носители.
Отменить настройки всегда можно, используя инструкцию выше, но на шаге № 4 щелкните правой кнопкой мыши RemovableStorageDevices и выберите Удалить. Если у вас есть другие настройки внутри раздела, не удаляйте их. Вместо этого дважды щелкните DWORD Deny_All и поменяйте значение с 1 на 0.
После отмены изменений с помощью любого из перечисленных методов доступ к съемным носителям будет восстановлен. Если не сработало — перезагрузите компьютер.
Добавить комментарий Отменить ответ
Для отправки комментария вам необходимо авторизоваться.
Источник
Как запретить использование USB флешки и других съемных накопителей в Windows
Если вам требуется, чтобы к компьютеру или ноутбуку с Windows 10, 8.1 или Windows 7 никто не мог подключить USB-накопители, вы можете запретить использование флешек, карт памяти и жестких дисков используя встроенные средства системы. Мышки, клавиатуры и другая периферия, не являющаяся хранилищем, продолжит работать.
В этой инструкции о том, как заблокировать использование USB флешек и других съемных накопителей с помощью редактора локальной групповой политики или редактора реестра. Также в разделе с дополнительной информацией о блокировке доступа через USB к устройствам MTP и PTP (камера, Android телефон, плеер). Во всех случаях для выполнения описываемых действий вы должны иметь права администратора в Windows. См. также: Запреты и блокировки в Windows, Как поставить пароль на флешку в BitLocker.
Запрет подключения USB флешек с помощью редактора локальной групповой политики
Первый способ более простой и предполагает использование встроенной утилиты «Редактор локальной групповой политики». Следует учитывать, что эта системная утилита недоступна в Домашней редакции Windows (если у вас такая версия ОС, используйте следующий способ).
Шаги по блокировке использования USB накопителей будут следующими:
- Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter, откроется редактор локальной групповой политики.
- Если требуется запретить использование USB накопителей для всех пользователей компьютера, перейдите к разделу Конфигурация компьютера — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам. Если требуется заблокировать доступ только для текущего пользователя, откройте аналогичный раздел в «Конфигурация пользователя».
- Обратите внимание на пункты «Съемные диски: Запретить выполнение», «Съемные диски: Запретить запись», «Съемные диски: Запретить чтение». Все они отвечают за блокировку доступа к USB-накопителям. При этом запрет чтения запрещает не только просмотр содержимого флешки или копирование с неё, но и остальные операции (на накопитель нельзя будет что-либо записать, запуск программ с него также не будет выполняться).
- Для того, чтобы, например, запретить чтение с USB накопителя, дважды нажмите по параметру «Съемные диски: Запретить чтение», установите значение «Включено» и примените настройки. Выполните то же самое для других требующихся вам пунктов.
На этом процесс будет завершен, а доступ к USB заблокирован. Перезагрузка компьютера не требуется, однако, если на момент включения ограничений накопитель уже был подключен, изменения для него вступят в силу только после отключения и повторного подключения.
Как заблокировать использование USB флешки и других съемных накопителей с помощью редактора реестра
Если на вашем компьютере отсутствует редактор локальной групповой политики, ту же блокировку можно выполнить и с помощью редактора реестра:
- Нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter.
- В редакторе реестра перейдите к одному из разделов: первый — для запрета использования USB накопителей для всех пользователей. Второй — только для текущего пользователя
- Создайте подраздел RemovableStorageDevices, а в нем — подраздел с именем
- В этом подразделе создайте нужные параметры DWORD32 (даже для Windows x64) — с именем Deny_Read для запрета чтения и других операций, Deny_Execute — для запрета выполнения, Deny_Write — для запрета записи на USB накопитель.
- Установите значение 1 для созданных параметров.
Запрет использования USB флешек и других съемных накопителей вступит в силу сразу после внесения изменения (если на момент блокировки накопитель уже был подключен к компьютеру или ноутбуку, он будет доступен до отключения и повторного подключения).
Дополнительная информация
Некоторые дополнительные нюансы блокировки доступа к USB накопителям, которые могут оказаться полезными:
- Описанные выше способы работают для съемных USB флешек и дисков, однако не работают для устройств, подключенных по протоколу MTP и PTP (например, хранилище Android телефона продолжит быть доступным). Для отключения доступа по этим протоколам, в редакторе локальной групповой политики в том же разделе используйте параметры «WPD-устройства» для запрета чтения и записи. В редакторе реестра это будет выглядеть как подразделы , и в политиках RemovableStorageDevices (как описывалось выше) с параметрами Deny_Read и/или Deny_Write.
- Для того, чтобы в дальнейшем вновь включить возможность использования USB накопителей, просто удалите созданные параметры из реестра или установите «Выключено» в измененных ранее политиках доступа к съемным запоминающим устройствам.
- Еще один способ блокировки USB накопителей — отключение соответствующей службы: в разделе реестраизмените значение Start на 4 и перезагрузите компьютер. При использовании этого способа подключенные флешки даже не будут появляться в проводнике.
Помимо встроенных средств системы, есть сторонние программы для блокировки подключения различного рода USB устройств к компьютеру, в том числе и продвинутые инструменты наподобие USB-Lock-RP.
Источник
Как заблокировать использование USB накопителей в Windows?
При подключении нового USB устройства к компьютеру, Windows автоматически определяет устройство и устанавливает подходящий драйвер. В результате пользователь практически сразу может использовать подключенное USB устройство или накопитель. Если политика безопасности вашей организации предполагает запрет использования переносных USB накопителей (флешки, USB HDD, SD-карты и т.п), вы можете заблокировать такое поведение. В этой статье мы покажем, как заблокировать использование внешних USB накопителей в Windows, запретить запись данных на подключенные флешки и запуск исполняемых файлов с помощью групповых политик (GPO).
Настройка групповой политики блокировки USB носителей в Windows
В Windows вы можете гибко управлять доступом к внешним накопителям (USB, CD / DVD и др.) с помощью групповых политик Active Directory (мы не рассматриваем радикальный способ отключения USB портов через настройки BIOS). Вы можете заблокировать только USB накопителей, при этом другие типы USB устройств (мышь, клавиатура, принтер, USB адаптеры на COM порты), будут доступны пользователю.
В этом примере мы создадим попробуем заблокировать USB накопителей на всех компьютерах в OU домена с именем Workstations (можно применить политику запрета использования USB ко всему домену, но это затронет в том числе сервера и другие технологические устройства).
- Откройте е консоль управления доменными GPO (msc), найдите в структуре структуре Organizational Unit контейнер Workstations, щелкните по нему правой клавишей и создайте новую политику (Create a GPO in this domain and Link it here);
Настройки блокировки внешних запоминающих устройств есть как в пользовательском, так и в компьютерных разделах GPO:
- UserConfiguration->Policies->AdministrativeTemplates->System->RemovableStorageAccess (Конфигурация пользователя -> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам);
- ComputerConfiguration->Policies->AdministrativeTemplates->System->RemovableStorageAccess (Конфигурация компьютера-> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам).
Если нужно заблокировать USB накопители для всех пользователей компьютера, нужно настроить параметры в разделе “Конфигурация компьютера”.
В разделе “Доступ к съемным запоминающим устройствам” (Removable Storage Access) есть несколько политик, позволяющих отключить возможность использования различных классов устройств хранения: CD/DVD дисков, флоппи дисков (FDD), USB устройств, ленты и т.д.
- Компакт-диски и DVD-диски: Запретить выполнение (CD and DVD: Deny execute access).
- Компакт-диски и DVD-диски: Запретить чтение (CD and DVD: Deny read access).
- Компакт-диски и DVD-диски: Запретить запись (CD and DVD: Deny write access).
- Специальные классы: Запретить чтение (Custom Classes: Deny read access).
- Специальные классы: Запретить запись (Custom Classes: Deny write access).
- Накопители на гибких дисках: Запретить выполнение (Floppy Drives: Deny execute access).
- Накопители на гибких дисках: Запретить чтение (Floppy Drives: Deny read access).
- Накопители на гибких дисках: Запретить запись (Floppy Drives: Deny write access).
- Съемные диски: Запретить выполнение (Removable Disks: Deny execute access).
- Съемные диски: Запретить чтение (Removable Disks: Deny read access).
- Съемные диски: Запретить запись (Removable Disks: Deny write access).
- Съемные запоминающие устройства всех классов: Запретить любой доступ (All Removable Storage classes: Deny all access).
- Все съемные запоминающие устройства: разрешение прямого доступа в удаленных сеансах (All Removable Storage: Allow direct access in remote sessions).
- Ленточные накопители: Запретить выполнение (Tape Drives: Deny execute access).
- Ленточные накопители: Запретить чтение (Tape Drives: Deny read access).
- Ленточные накопители: Запретить запись (Tape Drives: Deny write access).
- WPD-устройства: Запретить чтение (WPD Devices: Deny read access) – это класс портативных устройств (Windows Portable Device). Включает в себя смартфоны (например, доступ хранилищу Android телефона) , планшеты, плееры и т.д.
- WPD-устройства: Запретить запись (WPD Devices: Deny write access).
Как вы видите, для каждого класса устройств вы можете запретить запуск исполняемых файлов (защита от вирусов), запретить чтение данных и запись/редактирование информации на внешнем носителе.
Максимальная ограничительная политика — All Removable Storage Classes: Deny All Access (Съемные запоминающие устройства всех классов: Запретить любой доступ) – позволяет полностью запретить доступ к любым типам внешних устройств хранения. Чтобы включить эту политику, откройте ее и переведите в состояние Enable.
После настройки политики и обновления параметров GPO на клиентах (gpupdate /force) внешние подключаемые устройства (не только USB устройства, но и любые внешние накопители) будут определять ОС, но при попытке их открыть появится ошибка доступа:
В этом же разделе политик можно настроить более гибкие ограничения на использование внешних USB накопителей.
К примеру, вы можете запретить запись данных на USB флешки, и другие типы USB накопителей. Для этого включите политику Removable Disk: Deny write access (Съемные диски: Запретить запись).
После этого пользователи смогут читать данные с USB флешки, но при попытке записать на нее информацию, получат ошибку доступа:
С помощью политики Removable Disks: Deny execute access (Съемные диски: Запретить выполнение) можно запретить запуск исполняемых файлов и скриптов с USB дисков.
Как заблокировать USB накопители только определенным пользователям?
Довольно часто необходимо запретить использовать USB диски всем пользователям компьютера, кроме администраторов.
Проще всего сделать исключение в политике с помощью Security Filtering GPO. Например, вы хотите запретить применять политику блокировки USB к группе администраторов домена.
- Найдите вашу политику Disable USB Access в консоли Group Policy Management;
- В разделе Security Filtering добавьте группу Domain Admins;
- Перейдите на вкладку Delegation, нажмите на кнопкуAdvanced. В редакторе настроек безопасности, укажите что, группе Domain Admins запрещено применять настройки этой GPO (Apply group policy – Deny).
Может быть другая задача — нужно разрешить использование внешних USB накопителей всем, кроме определённой группы пользователей. Создайте группу безопасности “Deny USB” и добавьте эту группу в настройках безопасности политики. Для этой группы выставите разрешения на чтение и применение GPO, а у группы Authenticated Users или Domain Computers оставить только разрешение на чтение (сняв галку у пункта Apply group policy).
Добавьте пользователей, которым нужно заблокировать доступ к USB флешкам и дискам в эту группу AD.
Запрет доступа к USB накопителям через реестр и GPO
Вы можете более гибко управлять доступом к внешним устройствам с помощью настройки параметров реестра через механизм Group Policy Preferences (GPP). Всем указанным выше политикам соответствуют определенные ключи реестра в ветке HKLM (или HKCU) SOFTWAREPoliciesMicrosoftWindowsRemovableStorageDevices (по умолчанию этого раздела в реестре нет).
- Чтобы включить ту или иную политику нужно создать в указанном ключе новую ветку с именем класса устройств, доступ к которым нужно заблокировать (столбец
- В новой ветке реестра нужно создать REG_DWORD параметром с именем ограничения, которое вы хотите внедрить:
Deny_Read — запретить чтения данных с носителя;
Deny_Write – запретить запись данных;
Deny_Execute — запрет запуска исполняемых файлов. - Задайте значение параметра:
1 — заблокировать указанный тип доступа к устройствам этого класса;
– разрешить использования данного класса устройств.
Название параметра GPO | Подветка с именем Device Class GUID | Имя параметра реестра |
Floppy Drives: Deny read access |
Deny_Read | |
Floppy Drives: Deny write access |
Deny_Write | |
CD and DVD: Deny read access |
Deny_Read | |
CD and DVD: Deny write access |
Deny_Write | |
Removable Disks: Deny read access |
Deny_Read | |
Removable Disks: Deny write access |
Deny_Write | |
Tape Drives: Deny read access |
Deny_Read | |
Tape Drives: Deny write access |
Deny_Write | |
WPD Devices: Deny read access |
<6ac27878-a6fa-4155-ba85-f98f491d4f33> | Deny_Read |
WPD Devices: Deny write access |
<6ac27878-a6fa-4155-ba85-f98f491d4f33> | Deny_Write |
Вы можете создать эти ключи реестра и параметры вручную. На скриншоте ниже я создал ключ RemovableStorageDevices, а в нем подраздел с именем . С помощью REG_DWORD параметров я запретил запись и запуск исполняемых файлов с USB накопителей.
Чтобы быстро заблокировать чтение и запись данных на USBнакопители в Windows, можно выполнить такой PowerShell скрипт:
$regkey=’HKLM:SoftwarePoliciesMicrosoftWindowsRemovableStorageDevices<53f5630d-b6bf-11d0-94f2-00a0c91efb8b>‘
$exists = Test-Path $regkey
if (!$exists) <
New-Item -Path ‘HKLM:SoftwarePoliciesMicrosoftWindowsRemovableStorageDevices’ -Name ‘<53f5630d-b6bf-11d0-94f2-00a0c91efb8b>‘ -Force | Out-Null
>
New-ItemProperty -Path $regkey -Name ‘Deny_Read -Value 1 -PropertyType ‘DWord’ -Force | Out-Null
New-ItemProperty -Path $regkey -Name ‘Deny_Write’ -Value 1 -PropertyType ‘DWord’ -Force | Out-Null
В доменной среде эти параметры реестра можно централизованно распространить на компьютеры пользователей с помощью GPP. Подробнее настройка параметров реестра через GPO описана в статье Настройка параметров реестра на компьютерах с помощью групповых политик.
Данные ключи реестра и возможности нацеливания политик GPP с помощью Item-level targeting позволят вам гибко применять политики, ограничивающие использование внешних устройств хранения. Вы можете применять политики к определённым группам безопасности AD, сайтам, версиям ОС, OU и другим характеристикам компьютеров (в том числе можно выбирать компьютеры через WMI фильтры).
Полное отключение драйвера USB накопителей в Windows
Вы можете полностью отключить драйвер USBSTOR (USB Mass Storage Driver), который необходим для корректного определения и монтирования USB устройств хранения.
На отдельно стоящем компьютере вы можете отключить этот драйвер, изменив значение параметра Start (тип запуска) с 3 на 4. Можно это сделать через PowerShell командой:
Set-ItemProperty «HKLM:SYSTEMCurrentControlSetservicesUSBSTOR» -name Start -Value 4
Перезагрузите компьютер и попробуйте подключить USB накопитель. Теперь он не должен появиться в проводнике или консоли управления дисками, а в диспетчере устройств вы увидите ошибку установки драйвера устройства.
С помощью Group Policy Preferences вы можете отключить запуск драйвера USBSTOR на компьютерах домена. Для этого нужно внести изменения в реестр через GPO.
Эти настройки можно распространить на все компьютеры. Создайте новую групповую политику, назначьте ее на OU с компьютерами и в разделе Computer Configuration -> Preferences -> Windows Settings -> Registry создайте новый параметр со значениями:
- Action: Update
- Hive: HKEY_LOCAK_MACHINE
- Key path: SYSTEMCurrentControlSetServicesUSBSTOR
- Value name: Start
- Value type: REG_DWORD
- Value data: 00000004
История подключения USB накопителей в Windows
В некоторых случая при анализе работы блокирующих политик вам нужно получить информацию об истории подключения USB накопителей к компьютеру.
Чтобы вывести список USB накопителей, подключенных к компьютеру прямо сейчас, выполните такую команду PowerShell:
Get-PnpDevice -PresentOnly | Where-Object
Status OK указывает, что данное устройство подключено и работает нормально.
Журнал событий Windows позволяет отслеживать события подключения/отключения USB накопителей.
- Эти события находятся в журнале Event Viewer -> Application and Services Logs -> Windows -> Microsoft-Windows-DriverFrameworks-UserMode -> Operational;
- По умолчанию Windows не сохраняет историю об подключениях. Поэтому вам придется включить вручную (Enable Log) или через GPO;
- После этого вы можете использовать событие с EventID 2003 (Pnp or Power Management operation to a particular device) для получения информации о времени подключения USB накопителя и Event ID 2102 (Pnp or Power Management operation to a particular device) о времени отключения флешки:
Также вы можете использовать бесплатную утилиту USBDriveLog от Nirsoft которая позволяет вывести в удобном виде всю историю подключения USB флешек и дисков к компьютеру пользователю (выводится информацию об устройстве, серийный номер, производитель, время подключения/отключения, и device id).
Разрешить подключение только определенной USB флешки
В Windows вы можете разрешить подключение только определенных (одобренных) USB флешки к компьютеру.
При подключении любого USB накопителя к компьютеру, драйвер USBSTOR устанавливает устройство и создает в ветке реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTOR отдельную ветку. в которой содержится информация о накопителе (например, Disk&Ven_Kingstom&Prod_DT_1010_G2&Rev_1.00 ).
Get-ItemProperty –Path HKLM:SYSTEMCurrentControlSetEnumUSBSTOR**| select FriendlyName
Удалите все записи для подключенных ранее USB флешек, кроме тех, которые вам нужны. Затем нужно изменить разрешения на ветку реестра USBSTOR так, чтобы у всех пользователей, в том числе SYSTEM и администраторов, были только права на чтение. В результате при подключении любой USB накопителя, кроме разрешенного, Windows не сможет установить устройство.
Также можно создать и привязать задания планировщика к EventID подключения USB диска к компьютеру и выполнить определенное действие/скрипт (пример запуска процесса при появлении события в Event Viewer).
Например, вы можете сделать простой PowerShell скрипт, который автоматически отключает любые USB накопителя, если серийный номер не совпадает с заданной в скрипте:
$usbdev = get-wmiobject win32_volume | where<$_.DriveType -eq ‘2’>
If ($usbdev.SerialNumber –notlike “32SM32846AD”)
<
$usbdev.DriveLetter = $null
$usbdev.Put()
$usbdev.Dismount($false,$false) | Out-Null
>
Таким образом можно организовать простейшую проверку подключаемых ко компьютеру USB флешек.
Источник