Как запретить использование USB флешки и других съемных накопителей в Windows

Запрет использования USB накопителей с помощью групповых политик (GPO) Windows

При подключении нового USB устройства к компьютеру, Windows автоматически определяет устройство и устанавливает подходящий драйвер, в результате чего пользователь практически сразу может использовать подключенное USB устройство или накопитель. В некоторых организациях для предотвращения утечки конфиденциальных данных и проникновения в сеть вирусов, возможность использования USB накопителей (флешки, USB HDD, SD-карты и т.п) блокируют из соображений безопасности. В этой статье мы покажем, как с помощью групповых политик (GPO) заблокировать возможность использовать внешних USB накопителей в Windows, запретить запись данных на подключенные флешки и запуск исполняемых файлов.

Политики управления доступом к внешним носителям в Windows

В ОС Windows начиная с Windows 7 / Vista появилась возможность достаточно гибкая возможность управления доступом к внешним накопителям (USB, CD / DVD и др.) с помощью групповых политик. Теперь вы можете программно запретить использование USB накопителей, не затрагивая такие USB устройства, как мышь, клавиатура, принтер и т.д.

Политика блокировки USB устройств будет работать, если инфраструктура вашего домена AD соответствует следующим требованиям:

  • Версия схемы Active Directory — Windows Server 2008 или выше [alert]Примечание. Набор политик, позволяющий полноценно управлять установкой и использованием съемных носителей в Windows, появился только в этой версии AD (версия схемы 44).[/alert]
  • Клиентские ОС – Windows Vista, Windows 7 и выше

Настройка GPO для блокировки USB носителей и других внешних накопителей

Итак, мы планируем ограничить использование USB накопителей на всех компьютерах в определенном контейнере (OU) домена (можно применить политику запрета использования USB ко всему домену, но это затронет в том числе сервера и другие технологические устройства). Предположим, мы хотим распространить действие политики на OU с именем Workstations. Для этого, откройте консоль управления доменными GPO (gpmc.msc) и, щелкнув ПКМ по OU Workstations, создайте новую политику (Create a GPO in this domain and Link it here).

Назовем политику Disable USB Access.

Затем отредактируем ее параметры (Edit).

Настройки блокировки внешних запоминающих устройства присутствуют в пользовательском и компьютерных разделах GPO:

  • User Configuration-> Policies-> Administrative Templates-> System->Removable Storage Access (Конфигурация пользователя -> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам)
  • Computer Configuration-> Policies-> Administrative Templates-> System-> Removable Storage Access (Конфигурация компьютера-> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам)

Если нужно заблокировать USB накопители для всех пользователей доменного компьютера, нужно редактировать политики в разделе «Конфигурация компьютера». Разверните его.

В разделе «Доступ к съемным запоминающим устройствам” (Removable Storage Access) есть несколько политик, позволяющих отключить возможность использования различных классов устройств хранения: CD/DVD дисков, флоппи дисков (FDD), USB устройств, ленты и т.д.

  • Компакт-диски и DVD-диски: Запретить выполнение (CD and DVD: Deny execute access).
  • Компакт-диски и DVD-диски: Запретить чтение (CD and DVD: Deny read access).
  • Компакт-диски и DVD-диски: Запретить запись (CD and DVD: Deny write access).
  • Специальные классы: Запретить чтение (Custom Classes: Deny read access).
  • Специальные классы: Запретить запись (Custom Classes: Deny write access).
  • Накопители на гибких дисках: Запретить выполнение (Floppy Drives: Deny execute access).
  • Накопители на гибких дисках: Запретить чтение (Floppy Drives: Deny read access).
  • Накопители на гибких дисках: Запретить запись (Floppy Drives: Deny write access).
  • Съемные диски: Запретить выполнение (Removable Disks: Deny execute access).
  • Съемные диски: Запретить чтение (Removable Disks: Deny read access).
  • Съемные диски: Запретить запись (Removable Disks: Deny write access).
  • Съемные запоминающие устройства всех классов: Запретить любой доступ (All Removable Storage classes: Deny all access).
  • Все съемные запоминающие устройства: разрешение прямого доступа в удаленных сеансах (All Removable Storage: Allow direct access in remote sessions).
  • Ленточные накопители: Запретить выполнение (Tape Drives: Deny execute access).
  • Ленточные накопители: Запретить чтение (Tape Drives: Deny read access).
  • Ленточные накопители: Запретить запись (Tape Drives: Deny write access).
  • WPD-устройства: Запретить чтение (WPD Devices: Deny read access) – это класс портативных устройств (Windows Portable Device). Включает в себя смартфоны, планшеты, плееры и т.д.
  • WPD-устройства: Запретить запись (WPD Devices: Deny write access).

Как вы видите, для каждого класса устройств вы можете запретить запуск исполняемых файлов (защита от вирусов), запретить чтение данных и запись/редактирование информации на внешнем носителе.

Наиболее «суровая» ограничительная политика — All Removable Storage Classes: Deny All Access (Съемные запоминающие устройства всех классов: Запретить любой доступ) – позволяет полностью отключить доступ к любым типам внешних устройств хранения данных. Чтобы включить эту политику, откройте ее и переведите в состояние Enable.

После активации политики и обновления ее на клиентах (gpupdate /force) внешние подключаемые устройства (не только USB устройства, но и любые внешние накопители) определяются системой, но при попытке их открыть появляется ошибка доступа:

Location is not available

Drive is not accessible. Access is denied

В этом же разделе политик можно настроить более гибкие ограничение на использование внешних USB накопителей.

К примеру, чтобы запретить запись данных на USB флешки, и другие типы USB накопителей, достаточно включить политику Removable Disk: Deny write access (Съемные диски: Запретить запись).

В этом случае пользователи смогут читать данные с флешки, но при попытке записать на нее информацию, получат ошибку доступа:

Destination Folder Access Denied

You need permission to perform this action

С помощью политики Removable Disks: Deny execute access (Съемные диски: Запретить выполнение) можно запретить запуск с USB дисков исполняемых файлов и файлов сценариев.

Как запретить использовать USB накопители определенным пользователям

Довольно часто необходимо запретить использовать USB диски всем пользователям в домене, кроме, например, администраторов.

Проще всего это реализуется с помощью использования Security Filtering в GPO. Например, чтобы запретить применять политику блокировки USB к группе администраторов домена.

  1. Выберите в консоли Group Policy Management вашу политику Disable USB Access.
  2. В разделе Security Filtering добавьте группуDomain Admins.
  3. Перейдите на вкладку Delegation, нажмите на кнопкуAdvanced. В редакторе настроек безопасности, укажите что, группе Domain Admins запрещено применять данную GPO (Apply group policy – Deny).

Если задача стоит по-другому: нужно разрешить использовать USB диски всем, кроме определённой группы пользователей, нужно в настройках безопасности политики добавить вашу группу пользователей с разрешениями на чтение и применение GPO, а у группы Authenticated Users или Domain Computers оставить только разрешение на чтение (сняв галку у пункта Apply group policy).

Блокирование доступа к USB накопителям через реестр и GPP

Более гибко управлять доступом к внешним устройствам можно с помощью настройки параметров реестра, которые задаются рассмотренными выше политиками через механизм Group Policy Preferences (GPP). Всем указанным выше политикам соответствуют определенные ключи реестра в ветке HKLM (или HKCU) SOFTWAREPoliciesMicrosoftWindowsRemovableStorageDevices (по умолчанию этого раздела в реестре нет). Чтобы включить ту или иную политику нужно создать в указанном ключе новую подветку с именем класса устройств, доступ к которым нужно заблокировать (столбец 2) и REG_DWORD параметром с типом ограничения Deny_Read или Deny_Write. Если значение ключа равно 1— ограничение активно, если – запрет использования данного класса устройств не действует.

Имя политикиПодветка с именем Device Class GUIDИмя параметра реестра
Floppy Drives:
Deny read access
Deny_Read
Floppy Drives:
Deny write access
Deny_Write
CD and DVD:
Deny read access
Deny_Read
CD and DVD:
Deny write access
Deny_Write
Removable Disks:
Deny read access
Deny_Read
Removable Disks:
Deny write access
Deny_Write
Tape Drives:
Deny read access
Deny_Read
Tape Drives:
Deny write access
Deny_Write
WPD Devices:
Deny read access
<6AC27878-A6FA-4155-BA85-F98F491D4F33>

Deny_Read
WPD Devices:
Deny write access
<6AC27878-A6FA-4155-BA85-F98F491D4F33>

Deny_Write

Таким образом с помощью данных ключей реестра и возможностями нацеливания политик GPP с помощью Item-level targeting вы сможете гибко применять политики, ограничивающие использование внешних устройств хранения, к определённым группам безопасности AD, сайтам, версиям ОС, OU и другим характеристикам компьютеров, вплоть до WMI запросов. Таким образом можно сделать так, чтобы политики блокировки USB применялись только к компьютерам, которые входят (не входят) в определенную группу AD.

Как запретить использование USB флешки и других съемных накопителей в Windows

Во многих фирмах и организациях запрет на использования USB накопителей одна из первоочередных задач которые ставятся перед системным администратором предприятия, причина тому две беды – вынос информации (секретных документов и т.д.) и внос ее: вирусы, игры и тому подобное. На первый взгляд задача решается просто – через BIOS отключить USB порты, но это затронет и другие USB устройства – мышь, клавиатура, принтер или зарядку для телефона.

Оглавление

Итак, необходимо программно запретить использование флешек, при этом не задев полезных USB устройств. Вариантов решения несколько, давайте рассмотрим их по подробнее:

Отключить USB Windows 7, 8, Vista

Начиная с Windows Vista в локальных групповых политиках (gpedit.msc) появился очень полезный куст, находится в Политика “Локальный компьютер” > Конфигурация компьютера > Административные шаблоны > Система > Доступ к съемным запоминающим устройствам. В нем можно гибко настроить запреты чтения, записи и выполнения на различные классы съемных устройств.

Отключить USB Windows XP

Чтобы запретить съемные запоминающие устройства USB в Windows XP, нужно немного подправить реестр и настроить права доступа к файлам драйвера:

  1. Учетной записи SYSTEM выставить разрешение “Запретить” для следующих файлов:
    • %SystemRoot%InfUsbstor.pnf
    • %SystemRoot%InfUsbstor.inf

Тут описано более подробно, первоисточник – http://support.microsoft.com/kb/823732

Создайте фаил с расширением – .bat и с копируйте один из вариантов кода
Батники, для автоматизации отключения:

on-USB.bat

off-USB.bat

Запрет USB через групповые политики Windows server 2003

По умолчанию Групповые Политики в Windows server 2003 не предоставляют возможности простого способа отключения устройств использования сменных носителей, таких как порты USB, дисководы CD-ROM, Floppy дисководы. Не смотря на это, Групповые Политики могут быть расширены для использования соответствующих настроек посредством ADM шаблона.

ADM шаблон представленный ниже позволит администратору отключить соответствующее устройство. Импортируйте этот административный шаблон в Групповые Политики как .adm файл.
В C:WINDOWSinf создаем файл nodev.adm с содержимым:

ВАЖНО! В случае если добавленные политики не отображаются в редакторе групповых политик проделайте следующее:
1. В правой части окна редактора политик нажмите правую клавишу мыши, перейдите в пункт меню Вид и нажмите Фильтрация…
2. Снимите отметку с пункта “Показывать только управляемые параметры политики”
3. Нажмите ОК
После этого добавленные политики будут отображены в правой части окна редактора групповых политик.

Детальная информация на оф.сайте

Запрет USB через групповые политики Windows server 2008

Готовая групповая политика запрета накопителей, появилась в серверных ОС, начиная с Windows server 2008, настроить их на контроллере можно через оснастку gpmc.msc, располагаются по тому же пути (Policy > Computer configuration > Policies > Administrative Templates > System > Removable storage access). Работает она безотказно, но применятся только на операционные системы Windows Vista, 7 и 8.

Несколько сложнее, обстоят дела с Windows XP, несмотря на заявления Microsoft о прекращении поддержки XP весной 2014 , она по-прежнему занимает не малую часть операционных систем, используемых в корпоративном секторе. Не беда, настроим как и локальную, но только через ГПО. Запускаем gpmc.msc, создаем объект групповой политики и начинаем его редактировать.

  1. Реестр Computer Configuration > Preferences >Windows Settings > Registry – создать “Элемент реестра” (HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR) значение Start установить 4.
  2. Права к файлам драйвера USB накопителей. Computer Configuration > Policies > Windows Settings > Security Settings > File System – добавить файлы %SystemRoot%InfUsbstor.pnf и%SystemRoot%InfUsbstor.inf, выставить запрет для группы SYSTEM или Users.

Запрет флешек системными средствами Windows

Как осуществить запрет флешек в ОС Windows?

На самом деле способов довольно много. Каждый из них имеет свои преимущества, а некоторые и вовсе не заменимы.

В первую очередь администраторам. А также в случае если компьютер используется несколькими пользователями.

Для безопасности, для конфиденциальности, для ограничения возможностей других пользователей.

Мой материал, как обычно, делится на две части: системные средства и сторонние программы (плюс небольшие вкрапления моего личного мнения).

Также рекомендую почитать предыдущую мою статью, близкую по теме: «Как запретить запуск программы в Windows»

Запрет флешек

Как запретить использование флешек?

Непосредственно в ОС Windows эту задачу можно выполнить с помощью Редактора групповых политик (GPO) и реестра. Кроме этого, можно выключить сами порты в BIOS. К этому всему еще в плюс внешнее программное обеспечение, о котором я расскажу в конце.

Неэффективные способы запрета флешек

Дабы потом не останавливаться на этом, сразу укажу несколько способов, которые явно неэффективны, хотя информации в сети о них полно.

  • Физическое отключение портов. Это, конечно, классно, но есть же и другие порты, и переходники к ним. К тому же, почему-то все забывают о мышке, клавиатуре, колонках и т.п.
  • Удаление драйверов на USB – от этого эффекта ноль. Система сама предложит их установить, или из сети, или с самого накопителя.
  • Запрет флешек в редакторе групповых политик (просто запрещать каждое новое устройство по ID). Лучше запретить все, а нужные разрешить, как именно я покажу ниже.

Я, пожалуй, начну с Редактора групповых политик, так как считаю этот способ наиболее удобным и эффективным среди остальных системных.

Кстати, я также рекомендую отключить автозапуск флешки и других USB-носителей. Это частично решит проблему автоустановки вирусов.

Запрет флешек в Редакторе групповых политик

Нам нужно перейти в GPO. Открываете командную строку (вводите в поиске «cmd», кликаете правой кнопкой мыши, запускаете от имени администратора).

В командной строке вводите gpedit.msc и нажимаете Enter.

Откроется окно GPO. Теперь перейдем в раздел, где настраиваются нужные нам политики – «Доступ к съемным запоминающим устройствам». Нажмите на него – справа появятся существующие политики.

В данном случае нас интересуют политики касающееся съемных носителей. Однако здесь можно настроить работу с дисками (компакт, DVD, гибкими), ленточными накопителями и другими устройствами.

Также, очень удобно, это возможность выбрать, что именно необходимо запретить. Например, в целях сохранения информации, можно запретить запись.

Для этого нажмите на соответствующую политику правой кнопкой мыши и выберите «Изменить».

Теперь выберите команду «Включить» и нажмите «Применить».

При попытке скопировать любой файл на съемный диск, пользователь не сможет этого сделать (если он не состоит в группе «Администраторы»). Он увидит это сообщение.

По такому же принципу применяются и другие функции (чтение, запуск).

Здесь же есть и политика отключающая все классы устройств. Она так и называется.

Доступ только определенных устройств

Способ выше – наиболее простой. Однако, если у Вас есть лишь несколько носителей, которые используются в работе с ПК, то можно создать и белый список.

Для этого нужно:

  • знать GUID устройства
  • применить две политики в GPO

Находим GUID USB-накопителя

Сначала установите устройство в USB-порт, затем по команде показанной ниже, перейдите в «Диспетчер устройств» (ну, или как обычно – через «Панель управления»).

Найдите Ваше устройство в пункте «Переносные устройства» и откройте его свойства.

Перейдите на вкладку «Свойства», выберите из списка свойство «GUID» класса и скопируйте его значение.

Настраиваем нужные политики. Теперь перейдем к GPO. Откройте тот же каталог, что и выше – «Система». Но теперь перейдите к пункту «Установка устройств – Ограничение на установку устройств».

В списке политик нам нужны две выделенные. Вторую просто включаете.

В первой, еще и задаете значения GUID устройств, которые разрешены.

Сюда скопируйте значение GUID (для появления курсора, кликните в поле 2 раза).

Теперь только эти устройства смогут запускаться. В случае, если Вы вставите другие устройства – их попросту не будет видно.

Запрет флешек в Реестре Windows

Запрет использования флешек также можно осуществить с помощью Реестра Windows. Хотелось бы сразу отметить, что данный способ работает только при установленном драйвере на USB. В случае, если вы проделаете все, описанное ниже, когда он еще не установлен, то при подключении любого накопителя, Вам будет предложено установить этот драйвер. И значение, измененное ранее, изменится обратно, к стандартным настройкам.

Этот способ работает на всех ОС Windows. Однако наиболее актуальным он является для ОС Windows XP, так как там нет Редактора групповых политик. Поэтому пример будет показан в среде данной системы. Итак, продолжим.

Для начала откройте реестр. В командной строке введите «regedit» и нажмите «Enter».

Теперь перейдите в эту ветку реестра:

Как видите, там есть несколько параметров. Один из них «Start». Он определяет каким образом доступен USB-накопитель (для любых операций, для чтения, записи и т.д.). На данный момент установлено значение 3. Если изменить его на 4, то накопители станут вообще недоступными. Это нам и нужно.

Кликаете 2 раза и меняете значение на 4.

Теперь при подключении устройство просто не будет отображаться.

Как отключить порты USB в BIOS

Еще один способ запретить использование флешек — это отключить порты USB в BIOS. Сделать это не сложно . Однако, с моей точки зрения, не достаточно эффективно. Хотя, если учесть, что большинство пользователей понятия не имеют не просто о том, что там можно порты отключить, а еще и о том, как туда зайти, то может быть это — удобный и быстрый способ.

Итак, зайдите в БИОС. На большинстве компьютеров это кнопка «F2». Однако в зависимости от марки, и способ отличается. В сети есть куча информации по этой теме, и я не буду подробно на этом останавливаться.

Теперь все делается буквально в два шага: переходим на вкладку «Configuration», отключаем функцию «USB Legacy». Сохраняем и выходим.

Как отключить порты USB в BIOS

Все вышеописанные методы не стопроцентно защитят Ваш компьютер. Их тоже можно обойти, а как именно это сделать, смотрите в статье: «Как обойти запрет флешки»

Однако есть целый программный комплекс, обойти который будет не так просто. Он называется DeviceLock DLP. Именно об этом способе запрета флешки и пойдет речь в статье «Запрет USB».

Еще отмечу, что есть и другие простейшие программы типа: Ratool, USB Lock Standard и другие. Но они скорее скрипты с визуальным интерфейсом, которые реализуют метод реестра.

5 Способов включения или отключения USB-накопителей в Windows 10

Хотите защитить данные на своем компьютере под управлением Windows 10, заблокировав или отключив USB-накопители на вашем ПК? В этом руководстве мы рассмотрим пять простых способов включения или отключения USB-накопителей в Windows 10.

Блокировка USB-накопителей в Windows 10 может быть выполнена разными способами. Вы можете использовать Реестр, BIOS или сторонние утилиты для включения или отключения USB-накопителей в системе Windows 10.

Ниже приведено пять способов включения или отключения USB-накопителей в Windows 10.

Включение и отключение USB-накопителей в Windows 10 с помощью реестра

Если вам удобно вносить изменения в реестр Windows, вы можете включить или отключить USB-накопители в Windows 10, вручную отредактировав реестр. Вот как это сделать.

Шаг 1: Откройте редактор реестра

Шаг 2: Перейдите к следующему разделу:

Шаг 3: Теперь с правой стороны дважды кликните параметр «Start» и измените его значение на 4, чтобы отключить USB-накопители на вашем ПК с Windows 10. Измените значение Start на 3, чтобы включить USB-накопители и устройства хранения данных на вашем ПК.

Способ 2 из 5

Включение и отключение USB-портов через диспетчер устройств

Знаете ли вы, что вы можете отключить все порты USB с помощью диспетчера устройств? Отключив USB-порты, вы запрещаете пользователям использовать USB-порты для подключения USB-накопителей к вашему компьютеру.

Когда вы отключите USB-порты, USB на вашем ПК не будут работать, и, следовательно, никто не сможет подключать USB-накопители. Вам нужно будет снова включить USB-порты для подключения устройств через USB. Вот как включить или отключить порты USB с помощью диспетчера устройств.

ВАЖНО: Мы рекомендуем создать точку восстановления системы перед отключением USB-портов, чтобы вы могли легко включить их снова, когда захотите.

Шаг 1: Кликните правой кнопкой мыши на кнопке «Пуск» на панели задач и выберите «Диспетчер устройств».

Шаг 2: Разверните Контроллеры USB. Кликните правой кнопкой мыши на все записи оду за другой, и нажмите «Отключить устройство». Нажмите кнопку «Да», когда вы увидите диалоговое окно подтверждения.

Способ 3 из 5

Используйте USB Drive Disabler для включения или отключения USB-накопителей

Если вы не хотите редактировать реестр вручную, вы можете использовать бесплатный инструмент под названием USB Drive Disabler для быстрого включения или отключения USB-накопителей на вашем ПК. Просто загрузите USB Disabler, запустите его, а затем выберите «Включить USB-диски» или «Отключить USB-диски», чтобы включить или отключить USB-накопители на вашем ПК.

Способ 4 из 5

Отключить или включить USB-порты в BIOS

Некоторые производители предлагают опцию в BIOS / UEFI для отключения или включения USB-портов. Загрузите BIOS / UEFI и проверьте, есть ли опция для отключения или включения USB-портов. Проверьте руководство пользователя вашего ПК, чтобы узнать, присутствует ли опция включения или отключения USB-портов в BIOS / UEFI.

Способ 5 из 5

Включение и отключение USB-накопителей с USB Guard

Nomesoft USB Guard – еще одна бесплатная утилита для блокировки USB-накопителей на компьютерах под управлением Windows 10 и более ранних версий Windows. Вы должны использовать эту программу как администратор для включения или отключения USB-накопителей.

Если вы хотите защитить накопители USB, обратитесь к следующей статье для получения подробной информации:
Как включить защиту от записи для USB накопителей в Windows 10

Защита от записи USB дисков- может быть полезной в качестве дополнительной опции безопасности.

Защита от записи на USB-накопители информации

Многие задавались вопросом как подключать съемные носители информации в режиме защиты от записи (readonly). Это может потребоваться:

  • для предотвращения утечки информации из компании через флешки или USB-диски
  • для проведения исследования флешки или жесткого диска при подключении их через USB-интерфейс, когда нежелательно модификация данных, в том числе изменение времени последнего достапа к файлам (у NTFS)

Когда существуют аппаратные переключатели — нет проблем, в Unix-овых системах тоже все просто, добавляешь параметр -o ro или -r и диски монтируются в нужном режиме (readonly). В системах семейства Windows подключение разделов происходит в режиме записи и автоматически, при этом система несанкционировано пользователем начинает писать на раздел служебную информацию, тем самым нарушаю целостность данных (что критично при производстве технических экспертиз носителей информации).

В Windows за режим монтирования съемных носителей информации отвечает параметр WriteProtect [dword] в разделе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlStorageDevicePolicies:

  • 1 — режим защиты от записи (readonly)
  • — режим записи

А за идентификацию и автоматическое подключение USB-дисков параметр Start [dword] в разделе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR:

  • 4 — блокировка USB-утсройств хранения информации
  • 3 — стандартные режим (без блокировок)

Компании сами выбирают какие политики безопасности устанавливать: некоторые борятся чтобы не приносили сторонние программы (игрухи и т.п.) некоторые — чтобы ничего не уносили (особенно охраняемую информацию). Иногда бездумно просто запрещают все USB-устройства а пользователям для обмена необходимой служебной информацией (когда отсутствует общая ЛВС) приходится изрядно поизощрятся действуя в рамках политик (записывать данный на CD и перенос через комп администратора сети у которого возможно чтение флешек и т.п.). На мой взгляд если главная цель чтобы данные не утекли -установить (определенным группам) режим работы с флешками readonly.

Существует несколько продуктов позволяющих устанавливать режимы работы с USB накопителями:

  • DeviceLock www.devicelock.com
  • Lumension Device Control www.lumension.com (мне очень нравится)
  • GFILANguard www.gfi.com

все они отлично справляются со своими функциями, умеют работать централизовано с AD. Основной минус — дороговато. Как слабая альтернатива может сгодится и скрипт в групповой политике:

SET WSHShell = CreateObject(«WScript.Shell»)
WSHShell.RegWrite «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlStorageDevicePoliciesWriteProtect», «00000001», «REG_DWORD»

или
SET WSHShell = CreateObject(«WScript.Shell»)
WSHShell.RegWrite «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTORStart», «00000004», «REG_DWORD»

UPD. Также, для отключение USB можно воспользоваться следующим методом: (за метод спасибо damnet) (данный метод работает если USB-устройство хранения данных еще не установлено в компьютер.)

1. Назначте пользователю или группе запрещающие права на следующие файлы:
%SystemRoot%InfUsbstor.pnf
%SystemRoot%InfUsbstor.inf

Для этого во вкладке Безопасность файла ставим галочка напротив Полный доступ — Запретить, жмем применить.
2. Назначте для этих файлов запрещающие права учетной записи SYSTEM.

Для удобства в переключении режимов доступа к USB storage device сворганил небольшую програмку USBWriteProtect. Кому нужно можете использовать в свое удовольствие. Скачать тут place.ifolder.ru/15535906

В дальнейшем планирую нарастить функционал программы, но будет это не скоро.
UPD. Для программы требуется Microsoft Visual C++ 2005 Redistibutable Package.

Для уверенности что Windows ничего все-таки не ухитряется записать на USB-диск — программу протестировал:
1. Считаем контрольную сумму USB-диска с NTFS-разделом
md5sum /dev/sdb
215820fe569e57201c9b02b1fb37a272

2. Подключаем к компьютеру Windows XP с режимом работы с флешками readonly
3. Просматриваем файлы и катологи на флешке, работаем с другими приложениями.
4. Отключаем диск и проверяем контрольную сумму
md5sum /dev/sdb
215820fe569e57201c9b02b1fb37a272

5. Ура! Радуемся, readonly режим работает.
6. Подключаем к компьютеру Windows XP со стандартным режимом работы с флешками (write read)
7. Практически сразу отключаем диск и проверяем контрольную сумму
md5sum /dev/sdb
db9c636c35b352dbf024a73cd195c84f

8. А Windows таки успел нам данные модифицировать )))

Управление USB портами (включение, отключение) – обзор способов

Приветствую!

Отключение USB портов может понадобиться в самых различных целях и сценариях. Одной из наиболее часто встречающихся причин отключения ЮСБ порта или портов можно назвать предотвращение «утечки» каких-либо важных и конфиденциальных данных с компьютера. Также стоит отметить и безопасность (зловредное программное обеспечение, вирусы никто не отменял), которая повышается, если отключить возможность подключения каких-либо съёмных накопителей (флеш-дисков, портативных HDD и иных устройств, имеющих интерфейс USB).

Мы рассмотрим множество актуальных способов, которые позволят ограничить использование USB портов на стационарном компьютере или ноутбуке.

Содержание:

Управление работой USB через BIOS

Этот способ позволяет эффективно отключить работу всех USB портов на компьютере или ноутбуке. Однако стоит учесть, что при этом будет отключена работа периферии, что подключена к USB портам. И если у вас подключена клавиатура с мышкой через USB порт, то при использовании данного способа оные перестанут работать.

  1. Необходимо войти в сам BIOS. Универсальной инструкции по входу нет, т.к. на разных компьютерах шаги могут слегка отличаться. Где-то необходимо нажать сразу при включении клавишу F2, а где-то F10 или даже комбинацию из нескольких клавиш. А на ноутбуках и вовсе для этого может быть предусмотрена специальная кнопка, которую можно нажать лишь при наличии скрепки. Конкретную клавишу, комбинацию таковых или возможное наличие отдельной кнопки можно выяснить, если обратиться к документации к вашему компьютеру.
  2. Войдя в BIOS, там будет множество меню. Вам необходимо будет найти все пункты, которые так или иначе отвечают за работу USB. Их название может быть различно, к примеру – USB Controller, USB Functions, а может Legacy USB Support. А в современных UEFI BIOS может присутствовать отдельное меню, где перечислены все USB порты и, соответственно, можно отключить как все, так и только определённые порты.

Найдя их, следует воспользоваться переключателем напротив и выбрать пункт Disabled (Отключить).

На изображении ниже показано, как это может примерно выглядеть.

  • После того, как вы найдёте и отключите все опции, что отвечают за работу USB, следует сохранить изменения. Для этого следует воспользоваться либо клавишей, либо соответствующим меню в БИОС. Если говорить о клавише, то зачастую таковой является F10, а если о пункте, то оное обычно зовётся – Save and Exit (Сохранить и Выйти).
  • Будет произведён выход из БИОС и начнётся загрузка операционной системы, где вы сможете убедиться в том, что USB порты отключены.
  • Выключаем или включаем USB через групповую политику

    Данный способ хорош тем, что отключается возможность работы с подключаемыми съёмными носителями через USB, однако периферия при этом не затрагивается. Если у вас подключён принтер, клавиатура, мышка и т.д., то оные так и будут продолжать работать после проведённой манипуляции.

    Однако стоит отметить, что инструмент групповой политики присутствует не во всех версиях Windows. Если при попытке его открыть вы видите сообщение об ошибке, то переходите к следующему способу, а именно через реестр. Он аналогичен.

    1. Для открытия окна групповой политики воспользуемся комбинацией клавиш Win + R. Нажав оную, будет выведено окно, в которое следует вписать «gpedit.msc» (без кавычек) и далее нажать по кнопке OK.


    В открывшемся окне, в левой его части следует перейти в раздел, что находится по пути:

    И в правой части окна среди прочих будет располагаться пункт с именем Съемные диски: Запретить чтение – осуществите двойной клик по нему.


    В открывшемся окне переключите настройку в вариант Включено и нажмите OK.

  • Готово. Перезагрузите компьютер.
  • Отключение или включение USB через реестр

    Как и предыдущий способ, оный так же не затрагивает работу периферии. Отключается только возможность работы со съёмными накопителями.

    1. Следует открыть редактор реестра. Для этого существует несколько способов, одним из которых является следующий: нажав на клавиатуре комбинацию клавиш Win + R, следует далее в открывшемся окошке ввести команду «regedit» (без кавычек) и нажать OK.


    Будет открыто окно редактора реестра. В нём необоримо перейти по следующему пути:

    И далее в правой части окна следует осуществить двойной клик мышкой по пункту с именем Start.


    В отобразившемся окне необходимо заменить вписанное там значение, а именно цифру 3 заменить на цифру 4.

    И сделав это, нажмите по клавише OK.
    Вам останется только перезагрузить компьютер и проверить результат.

    Если в будущем вам необходимо будет вернуть возможность работы со съёмными накопителями, что подключается через USB, то осуществите описанную процедуру и впишите первоначальное значение, а именно цифру 3.

    Надстройка управления доступом к USB с использованием программ

    Существует целый ряд программ, ограничивающих работу для подключаемых USB носителей данных.

    Среди таковых можно отметить: USB Block, USB Disabler Pro, MyUSBOnly, Gilisoft USB Lock. Всё они обладают англоязычным интерфейсом, возможностью настройки «белого списка» подключаемых накопителей и некоторыми другими возможностями.

    Приведённые решения не являются бесплатными, но если необходимо ограничить доступ к USB на компьютерах в организации, то данный вариант можно рассмотреть.

    Управление работой USB портов через диспетчер устройств

    Данный способ не является универсальным, всё зависит от аппаратной реализации конкретного USB контроллера, что установлен в компьютер или ноутбук. В некоторых случаях даже после отключения всех указанных пунктов, работа того или иного USB порта может сохраняться.

    И да, отключение USB таким способом приведёт и к отключению работы подключенной периферии (мышка, клавиатура, принтер и т.д.). Будьте внимательны.

    1. Откройте Диспетчер устройств. Более подробно о том, как это сделать, написано в материале «Открываем диспетчер устройств в Windows (7, 8, 10)».
    2. В открывшемся окне следует кликнуть по пункту с именем Контроллеры USB, дабы он был развёрнут.

    В данном списке отобразятся аппаратные элементы, отвечающие за работу USB. Наведите мышку, кликните правой клавишей и в отобразившемся меню выберите Отключить устройство.

    Проделайте аналогичную процедуру со всеми находящимися там пунктами.

    Аппаратное отключение USB

    В данном случае речь идёт об отключении USB кабеля на материнской плате, который отвечает за подключение USB портов на лицевой стороне системного блока.

    USB порты сзади, которые непосредственно размещены на материнской плате, отключить таким способом, естественно, не получится.

    То же касается и ноутбуков.

    Деинсталляция драйвера USB для отключения работы

    Данный способ не является рациональным. Это связанно с тем, что впоследствии операционная система восстанавливает удалённые драйвера (обычно после перезагрузки компьютера), т.к. видит, что физически компонент в системе присутствует.

    Более того, если удалить драйвер, то нарушается работа всех подключенных USB устройств.

    В свою очередь, Вы тоже можете нам очень помочь.

    Просто поделитесь статьей в социальных сетях с друзьями.

    Поделившись результатами труда автора, вы окажете неоценимую помощь как ему самому, так и сайту в целом. Спасибо!

    Читайте также:  Не работает поиск Windows 10 — как исправить проблему
    Ссылка на основную публикацию