Как запретить использование USB флешки и других съемных накопителей в Windows

Управление USB портами (включение, отключение) – обзор способов

Приветствую!

Отключение USB портов может понадобиться в самых различных целях и сценариях. Одной из наиболее часто встречающихся причин отключения ЮСБ порта или портов можно назвать предотвращение «утечки» каких-либо важных и конфиденциальных данных с компьютера. Также стоит отметить и безопасность (зловредное программное обеспечение, вирусы никто не отменял), которая повышается, если отключить возможность подключения каких-либо съёмных накопителей (флеш-дисков, портативных HDD и иных устройств, имеющих интерфейс USB).

Мы рассмотрим множество актуальных способов, которые позволят ограничить использование USB портов на стационарном компьютере или ноутбуке.

Содержание:

  • Управление работой USB через BIOS
  • Выключаем или включаем USB через групповую политику
  • Отключение или включение USB через реестр
  • Надстройка управления доступом к USB с использованием программ
  • Управление работой USB портов через диспетчер устройств
  • Аппаратное отключение USB
  • Деинсталляция драйвера USB для отключения работы

Управление работой USB через BIOS

Этот способ позволяет эффективно отключить работу всех USB портов на компьютере или ноутбуке. Однако стоит учесть, что при этом будет отключена работа периферии, что подключена к USB портам. И если у вас подключена клавиатура с мышкой через USB порт, то при использовании данного способа оные перестанут работать.

  1. Необходимо войти в сам BIOS. Универсальной инструкции по входу нет, т.к. на разных компьютерах шаги могут слегка отличаться. Где-то необходимо нажать сразу при включении клавишу F2, а где-то F10 или даже комбинацию из нескольких клавиш. А на ноутбуках и вовсе для этого может быть предусмотрена специальная кнопка, которую можно нажать лишь при наличии скрепки. Конкретную клавишу, комбинацию таковых или возможное наличие отдельной кнопки можно выяснить, если обратиться к документации к вашему компьютеру.
  2. Войдя в BIOS, там будет множество меню. Вам необходимо будет найти все пункты, которые так или иначе отвечают за работу USB. Их название может быть различно, к примеру – USB Controller, USB Functions, а может Legacy USB Support. А в современных UEFI BIOS может присутствовать отдельное меню, где перечислены все USB порты и, соответственно, можно отключить как все, так и только определённые порты.

Найдя их, следует воспользоваться переключателем напротив и выбрать пункт Disabled (Отключить).

На изображении ниже показано, как это может примерно выглядеть.

  • После того, как вы найдёте и отключите все опции, что отвечают за работу USB, следует сохранить изменения. Для этого следует воспользоваться либо клавишей, либо соответствующим меню в БИОС. Если говорить о клавише, то зачастую таковой является F10, а если о пункте, то оное обычно зовётся – Save and Exit (Сохранить и Выйти).
  • Будет произведён выход из БИОС и начнётся загрузка операционной системы, где вы сможете убедиться в том, что USB порты отключены.
  • Выключаем или включаем USB через групповую политику

    Данный способ хорош тем, что отключается возможность работы с подключаемыми съёмными носителями через USB, однако периферия при этом не затрагивается. Если у вас подключён принтер, клавиатура, мышка и т.д., то оные так и будут продолжать работать после проведённой манипуляции.

    Однако стоит отметить, что инструмент групповой политики присутствует не во всех версиях Windows. Если при попытке его открыть вы видите сообщение об ошибке, то переходите к следующему способу, а именно через реестр. Он аналогичен.

      Для открытия окна групповой политики воспользуемся комбинацией клавиш Win + R. Нажав оную, будет выведено окно, в которое следует вписать «gpedit.msc» (без кавычек) и далее нажать по кнопке OK.


    В открывшемся окне, в левой его части следует перейти в раздел, что находится по пути:

    И в правой части окна среди прочих будет располагаться пункт с именем Съемные диски: Запретить чтение – осуществите двойной клик по нему.


    В открывшемся окне переключите настройку в вариант Включено и нажмите OK.

  • Готово. Перезагрузите компьютер.
  • Отключение или включение USB через реестр

    Как и предыдущий способ, оный так же не затрагивает работу периферии. Отключается только возможность работы со съёмными накопителями.

    1. Следует открыть редактор реестра. Для этого существует несколько способов, одним из которых является следующий: нажав на клавиатуре комбинацию клавиш Win + R, следует далее в открывшемся окошке ввести команду «regedit» (без кавычек) и нажать OK.


    Будет открыто окно редактора реестра. В нём необоримо перейти по следующему пути:

    И далее в правой части окна следует осуществить двойной клик мышкой по пункту с именем Start.


    В отобразившемся окне необходимо заменить вписанное там значение, а именно цифру 3 заменить на цифру 4.

    И сделав это, нажмите по клавише OK.
    Вам останется только перезагрузить компьютер и проверить результат.

    Если в будущем вам необходимо будет вернуть возможность работы со съёмными накопителями, что подключается через USB, то осуществите описанную процедуру и впишите первоначальное значение, а именно цифру 3.

    Надстройка управления доступом к USB с использованием программ

    Существует целый ряд программ, ограничивающих работу для подключаемых USB носителей данных.

    Среди таковых можно отметить: USB Block, USB Disabler Pro, MyUSBOnly, Gilisoft USB Lock. Всё они обладают англоязычным интерфейсом, возможностью настройки «белого списка» подключаемых накопителей и некоторыми другими возможностями.

    Приведённые решения не являются бесплатными, но если необходимо ограничить доступ к USB на компьютерах в организации, то данный вариант можно рассмотреть.

    Управление работой USB портов через диспетчер устройств

    Данный способ не является универсальным, всё зависит от аппаратной реализации конкретного USB контроллера, что установлен в компьютер или ноутбук. В некоторых случаях даже после отключения всех указанных пунктов, работа того или иного USB порта может сохраняться.

    И да, отключение USB таким способом приведёт и к отключению работы подключенной периферии (мышка, клавиатура, принтер и т.д.). Будьте внимательны.

    1. Откройте Диспетчер устройств. Более подробно о том, как это сделать, написано в материале «Открываем диспетчер устройств в Windows (7, 8, 10)».
    2. В открывшемся окне следует кликнуть по пункту с именем Контроллеры USB, дабы он был развёрнут.

    В данном списке отобразятся аппаратные элементы, отвечающие за работу USB. Наведите мышку, кликните правой клавишей и в отобразившемся меню выберите Отключить устройство.

    Проделайте аналогичную процедуру со всеми находящимися там пунктами.

    Аппаратное отключение USB

    В данном случае речь идёт об отключении USB кабеля на материнской плате, который отвечает за подключение USB портов на лицевой стороне системного блока.

    USB порты сзади, которые непосредственно размещены на материнской плате, отключить таким способом, естественно, не получится.

    То же касается и ноутбуков.

    Деинсталляция драйвера USB для отключения работы

    Данный способ не является рациональным. Это связанно с тем, что впоследствии операционная система восстанавливает удалённые драйвера (обычно после перезагрузки компьютера), т.к. видит, что физически компонент в системе присутствует.

    Более того, если удалить драйвер, то нарушается работа всех подключенных USB устройств.

    В свою очередь, Вы тоже можете нам очень помочь.

    Просто поделитесь статьей в социальных сетях и мессенджерах с друзьями.

    Поделившись результатами труда автора, вы окажете неоценимую помощь как ему самому, так и сайту в целом. Спасибо!

    Как запретить использование USB флешки и других съемных накопителей в Windows

    Если вам требуется, чтобы к компьютеру или ноутбуку с Windows 10, 8.1 или Windows 7 никто не мог подключить USB-накопители, вы можете запретить использование флешек, карт памяти и жестких дисков используя встроенные средства системы. Мышки, клавиатуры и другая периферия, не являющаяся хранилищем, продолжит работать.

    В этой инструкции о том, как заблокировать использование USB флешек и других съемных накопителей с помощью редактора локальной групповой политики или редактора реестра. Также в разделе с дополнительной информацией о блокировке доступа через USB к устройствам MTP и PTP (камера, Android телефон, плеер). Во всех случаях для выполнения описываемых действий вы должны иметь права администратора в Windows. См. также: Запреты и блокировки в Windows, Как поставить пароль на флешку в BitLocker.

    Запрет подключения USB флешек с помощью редактора локальной групповой политики

    Первый способ более простой и предполагает использование встроенной утилиты «Редактор локальной групповой политики». Следует учитывать, что эта системная утилита недоступна в Домашней редакции Windows (если у вас такая версия ОС, используйте следующий способ).

    Шаги по блокировке использования USB накопителей будут следующими:

    1. Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter, откроется редактор локальной групповой политики.
    2. Если требуется запретить использование USB накопителей для всех пользователей компьютера, перейдите к разделу Конфигурация компьютера — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам. Если требуется заблокировать доступ только для текущего пользователя, откройте аналогичный раздел в «Конфигурация пользователя».
    3. Обратите внимание на пункты «Съемные диски: Запретить выполнение», «Съемные диски: Запретить запись», «Съемные диски: Запретить чтение». Все они отвечают за блокировку доступа к USB-накопителям. При этом запрет чтения запрещает не только просмотр содержимого флешки или копирование с неё, но и остальные операции (на накопитель нельзя будет что-либо записать, запуск программ с него также не будет выполняться).
    4. Для того, чтобы, например, запретить чтение с USB накопителя, дважды нажмите по параметру «Съемные диски: Запретить чтение», установите значение «Включено» и примените настройки. Выполните то же самое для других требующихся вам пунктов.

    На этом процесс будет завершен, а доступ к USB заблокирован. Перезагрузка компьютера не требуется, однако, если на момент включения ограничений накопитель уже был подключен, изменения для него вступят в силу только после отключения и повторного подключения.

    Как заблокировать использование USB флешки и других съемных накопителей с помощью редактора реестра

    Если на вашем компьютере отсутствует редактор локальной групповой политики, ту же блокировку можно выполнить и с помощью редактора реестра:

    1. Нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter.
    2. В редакторе реестра перейдите к одному из разделов: первый — для запрета использования USB накопителей для всех пользователей. Второй — только для текущего пользователя
    3. Создайте подраздел RemovableStorageDevices, а в нем — подраздел с именем
    4. В этом подразделе создайте нужные параметры DWORD32 (даже для Windows x64) — с именем Deny_Read для запрета чтения и других операций, Deny_Execute — для запрета выполнения, Deny_Write — для запрета записи на USB накопитель.
    5. Установите значение 1 для созданных параметров.

    Запрет использования USB флешек и других съемных накопителей вступит в силу сразу после внесения изменения (если на момент блокировки накопитель уже был подключен к компьютеру или ноутбуку, он будет доступен до отключения и повторного подключения).

    Дополнительная информация

    Некоторые дополнительные нюансы блокировки доступа к USB накопителям, которые могут оказаться полезными:

    • Описанные выше способы работают для съемных USB флешек и дисков, однако не работают для устройств, подключенных по протоколу MTP и PTP (например, хранилище Android телефона продолжит быть доступным). Для отключения доступа по этим протоколам, в редакторе локальной групповой политики в том же разделе используйте параметры «WPD-устройства» для запрета чтения и записи. В редакторе реестра это будет выглядеть как подразделы , и в политиках RemovableStorageDevices (как описывалось выше) с параметрами Deny_Read и/или Deny_Write.
    • Для того, чтобы в дальнейшем вновь включить возможность использования USB накопителей, просто удалите созданные параметры из реестра или установите «Выключено» в измененных ранее политиках доступа к съемным запоминающим устройствам.
    • Еще один способ блокировки USB накопителей — отключение соответствующей службы: в разделе реестраизмените значение Start на 4 и перезагрузите компьютер. При использовании этого способа подключенные флешки даже не будут появляться в проводнике.

    Помимо встроенных средств системы, есть сторонние программы для блокировки подключения различного рода USB устройств к компьютеру, в том числе и продвинутые инструменты наподобие USB-Lock-RP.

    5 Способов включения или отключения USB-накопителей в Windows 10

    Публикация: 22 September 2017 Обновлено: 25 February 2018

    Хотите защитить данные на своем компьютере под управлением Windows 10, заблокировав или отключив USB-накопители на вашем ПК? В этом руководстве мы рассмотрим пять простых способов включения или отключения USB-накопителей в Windows 10.

    Блокировка USB-накопителей в Windows 10 может быть выполнена разными способами. Вы можете использовать Реестр, BIOS или сторонние утилиты для включения или отключения USB-накопителей в системе Windows 10.

    Ниже приведено пять способов включения или отключения USB-накопителей в Windows 10.

    Включение и отключение USB-накопителей в Windows 10 с помощью реестра

    Если вам удобно вносить изменения в реестр Windows, вы можете включить или отключить USB-накопители в Windows 10, вручную отредактировав реестр. Вот как это сделать.

    Шаг 1: Откройте редактор реестра

    Шаг 2: Перейдите к следующему разделу:

    Шаг 3: Теперь с правой стороны дважды кликните параметр «Start» и измените его значение на 4, чтобы отключить USB-накопители на вашем ПК с Windows 10. Измените значение Start на 3, чтобы включить USB-накопители и устройства хранения данных на вашем ПК.

    Способ 2 из 5

    Включение и отключение USB-портов через диспетчер устройств

    Знаете ли вы, что вы можете отключить все порты USB с помощью диспетчера устройств? Отключив USB-порты, вы запрещаете пользователям использовать USB-порты для подключения USB-накопителей к вашему компьютеру.

    Когда вы отключите USB-порты, USB на вашем ПК не будут работать, и, следовательно, никто не сможет подключать USB-накопители. Вам нужно будет снова включить USB-порты для подключения устройств через USB. Вот как включить или отключить порты USB с помощью диспетчера устройств.

    ВАЖНО: Мы рекомендуем создать точку восстановления системы перед отключением USB-портов, чтобы вы могли легко включить их снова, когда захотите.

    Шаг 1: Кликните правой кнопкой мыши на кнопке «Пуск» на панели задач и выберите «Диспетчер устройств».

    Шаг 2: Разверните Контроллеры USB. Кликните правой кнопкой мыши на все записи оду за другой, и нажмите «Отключить устройство». Нажмите кнопку «Да», когда вы увидите диалоговое окно подтверждения.

    Способ 3 из 5

    Используйте USB Drive Disabler для включения или отключения USB-накопителей

    Если вы не хотите редактировать реестр вручную, вы можете использовать бесплатный инструмент под названием USB Drive Disabler для быстрого включения или отключения USB-накопителей на вашем ПК. Просто загрузите USB Disabler, запустите его, а затем выберите «Включить USB-диски» или «Отключить USB-диски», чтобы включить или отключить USB-накопители на вашем ПК.

    Способ 4 из 5

    Отключить или включить USB-порты в BIOS

    Некоторые производители предлагают опцию в BIOS / UEFI для отключения или включения USB-портов. Загрузите BIOS / UEFI и проверьте, есть ли опция для отключения или включения USB-портов. Проверьте руководство пользователя вашего ПК, чтобы узнать, присутствует ли опция включения или отключения USB-портов в BIOS / UEFI.

    Способ 5 из 5

    Включение и отключение USB-накопителей с USB Guard

    Nomesoft USB Guard – еще одна бесплатная утилита для блокировки USB-накопителей на компьютерах под управлением Windows 10 и более ранних версий Windows. Вы должны использовать эту программу как администратор для включения или отключения USB-накопителей.

    Если вы хотите защитить накопители USB, обратитесь к следующей статье для получения подробной информации:
    Как включить защиту от записи для USB накопителей в Windows 10

    Защита от записи USB дисков- может быть полезной в качестве дополнительной опции безопасности.

    Предотвращение использования USB-устройств хранения данных

    Описание проблемы

    Допустим, что необходимо предотвратить подключение к USB-устройству хранения данных, которое подключено к компьютеру под управлением Windows XP, Windows Server 2003 или Windows 2000. В данной статье описаны соответствующие два метода.

    Способ

    Чтобы предотвратить использование USB-устройств хранения данных пользователями, используйте одну из следующих процедур, соответствующих вашей ситуации, или несколько.

    USB-устройство хранения данных еще не установлено на компьютере

    Если USB-устройство хранения данных еще не установлено на компьютере, назначьте разрешения Запретить для пользователя или группы и локальной учетной записи SYSTEM в следующих файлах:

    После этого пользователи не смогут установить USB-устройство хранения данных в компьютер. Чтобы назначить пользователю или группе запрещающие разрешения на файлы Usbstor.pnf и Usbstor.inf, выполните следующие действия.

    Запустите проводник Windows и найдите папку %SystemRoot%Inf.

    Щелкните правой кнопкой мыши файл Usbstor.pnf и выберите пункт Свойства.

    Откройте вкладку Безопасность.

    В списке Группы или пользователи добавьте пользователя или группу, для которых необходимо установить разрешения Запретить.

    В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив пункта Полный доступ.

    Примечание. Также добавьте в список Запретить учетную запись System.

    В списке Группы или пользователи выберите учетную запись SYSTEM.

    В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив пункта Полный доступ и нажмите кнопку ОК.

    Щелкните правой кнопкой мыши файл Usbstor.inf и выберите пункт Свойства.

    Откройте вкладку Безопасность.

    В списке Группы или пользователи добавьте пользователя или группу, для которых необходимо установить разрешения Запретить.

    В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив пункта Полный доступ.

    В списке Группы или пользователи выберите учетную запись SYSTEM.

    В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив пункта Полный доступ и нажмите кнопку ОК.

    Если USB-устройство хранения данных уже подключено к компьютеру

    Если USB-устройство хранения данных уже подключено к компьютеру, можно изменить реестр, чтобы оно не работало, когда пользователь подключается к компьютеру.

    РешениеВнимание! В этом разделе, описании метода или задачи содержатся сведения о внесении изменений в реестр. Но его неправильное изменение может привести к возникновению серьезных проблем. Поэтому такие действия необходимо выполнять с осторожностью. В качестве дополнительной защитной меры перед изменением реестра необходимо создать его архивную копию. Это позволит восстановить реестр при возникновении неполадок. Дополнительные сведения об архивации и восстановлении реестра см. в следующей статье базы знаний Майкрософт:

    322756 Как создать резервную копию и восстановить реестр в Windows Если USB-устройство хранения данных уже установлено на компьютере, присвойте параметру Start значение 4 в следующем разделе реестра:

    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor После этого USB-устройства хранения данных не будут работать при подключении к компьютеру. Чтобы изменить значение параметра Start, выполните следующие действия.

    Нажмите кнопку Пуск и выберите пункт Выполнить.

    В поле Открыть введите команду regedit и нажмите кнопку ОК.

    Найдите и выделите следующий раздел реестра:

    Дважды щелкните в области сведений параметр Start.

    В поле Значение введите 4, выберите Шестнадцатеричная (если этот вариант не выбран) и нажмите кнопку OK.

    Закройте редактор реестра.

    Проблема устранена?

    Проверьте, устранена ли проблема. Если это так, пропустите дальнейшие сведения, приведенные в статье. Если нет, обратитесь в службу технической поддержки.

    Дополнительные сведения

    Для получения сведений о наличии новых драйверов обратитесь к поставщику USB-устройства. Сведения об изготовителях оборудования см. на веб-сайте корпорации Майкрософт по следующему адресу:

    Запрет использования USB накопителей с помощью групповых политик (GPO) Windows

    При подключении нового USB устройства к компьютеру, Windows автоматически определяет устройство и устанавливает подходящий драйвер. В результате пользователь практически сразу может использовать подключенное USB устройство или накопитель. В некоторых организациях для предотвращения утечки конфиденциальных данных и заражения компьютеров вирусами, возможность использования переносных USB накопителей (флешки, USB HDD, SD-карты и т.п) блокируют из соображений безопасности. В этой статье мы покажем, как с помощью групповых политик (GPO) заблокировать возможность использования внешних USB накопителей в Windows, запретить запись данных на подключенные флешки и запуск исполняемых файлов.

    • Настройка групповых политик управления доступом к внешним USB носителям в Windows
    • Как заблокировать USB накопители только определенным пользователям?
    • Гибкое управление доступом к USB накопителям через реестр и GPO
    • Полное отключение USB Storage Driver через реестр
    • Разрешить подключение только определенной USB флешки

    Настройка групповых политик управления доступом к внешним USB носителям в Windows

    Во всех версиях Windows, начиная с Windows 7, вы можете гибко управлять доступом к внешним накопителям (USB, CD / DVD и др.) с помощью групповых политик (мы не рассматриваем радикальный способ отключения USB портов через настройки BIOS). Возможно программное запретить использование только USB накопителей. При этом вы можете использовать другие USB устройства такие как мышь, клавиатура, принтер и т.д, которые не определяются как съемный диск.

    Групповые политики блокировки USB устройств будут работать, если инфраструктура вашего домена Active Directory соответствует следующим требованиям:

    Итак, мы планируем запретить использование USB накопителей на всех компьютерах в определенном контейнере (OU) домена (можно применить политику запрета использования USB ко всему домену, но это затронет в том числе сервера и другие технологические устройства). Предположим, мы хотим распространить действие политики на OU с именем Workstations. Для этого, откройте консоль управления доменными GPO (gpmc.msc) и, щелкнув ПКМ по OU Workstations, создайте новую политику (Create a GPO in this domain and Link it here).

    Задайте имя политики — Disable USB Access.

    Перейдите в режим редактирования GPO (Edit).

    Настройки блокировки внешних запоминающих устройства есть как в пользовательском, так и в компьютерных разделах GPO:

    • UserConfiguration-> Policies-> AdministrativeTemplates-> System->RemovableStorageAccess (Конфигурация пользователя -> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам);
    • ComputerConfiguration-> Policies-> AdministrativeTemplates-> System-> RemovableStorageAccess (Конфигурация компьютера-> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам).

    Если нужно заблокировать USB накопители для всех пользователей компьютера, нужно настроить параметры в разделе “Конфигурация компьютера”.

    В разделе “Доступ к съемным запоминающим устройствам” (Removable Storage Access) есть несколько политик, позволяющих отключить возможность использования различных классов устройств хранения: CD/DVD дисков, флоппи дисков (FDD), USB устройств, ленты и т.д.

    • Компакт-диски и DVD-диски: Запретить выполнение (CD and DVD: Deny execute access).
    • Компакт-диски и DVD-диски: Запретить чтение (CD and DVD: Deny read access).
    • Компакт-диски и DVD-диски: Запретить запись (CD and DVD: Deny write access).
    • Специальные классы: Запретить чтение (Custom Classes: Deny read access).
    • Специальные классы: Запретить запись (Custom Classes: Deny write access).
    • Накопители на гибких дисках: Запретить выполнение (Floppy Drives: Deny execute access).
    • Накопители на гибких дисках: Запретить чтение (Floppy Drives: Deny read access).
    • Накопители на гибких дисках: Запретить запись (Floppy Drives: Deny write access).
    • Съемные диски: Запретить выполнение (Removable Disks: Deny execute access).
    • Съемные диски: Запретить чтение (Removable Disks: Deny read access).
    • Съемные диски: Запретить запись (Removable Disks: Deny write access).
    • Съемные запоминающие устройства всех классов: Запретить любой доступ (All Removable Storage classes: Deny all access).
    • Все съемные запоминающие устройства: разрешение прямого доступа в удаленных сеансах (All Removable Storage: Allow direct access in remote sessions).
    • Ленточные накопители: Запретить выполнение (Tape Drives: Deny execute access).
    • Ленточные накопители: Запретить чтение (Tape Drives: Deny read access).
    • Ленточные накопители: Запретить запись (Tape Drives: Deny write access).
    • WPD-устройства: Запретить чтение (WPD Devices: Deny read access) – это класс портативных устройств (Windows Portable Device). Включает в себя смартфоны, планшеты, плееры и т.д.
    • WPD-устройства: Запретить запись (WPD Devices: Deny write access).

    Как вы видите, для каждого класса устройств вы можете запретить запуск исполняемых файлов (защита от вирусов), запретить чтение данных и запись/редактирование информации на внешнем носителе.

    Максимальная ограничительная политика — All Removable Storage Classes: Deny All Access (Съемные запоминающие устройства всех классов: Запретить любой доступ) – позволяет полностью заблокировать доступ с компьютера к любым типам внешних устройств хранения. Чтобы включить эту политику, откройте ее и переведите в состояние Enable.

    После активации политики и обновления ее на клиентах (gpupdate /force) внешние подключаемые устройства (не только USB устройства, но и любые внешние накопители) будут определять ОС, но при попытке их открыть появится ошибка доступа:

    В этом же разделе политик можно настроить более гибкие ограничения на использование внешних USB накопителей.

    К примеру, чтобы запретить запись данных на USB флешки, и другие типы USB накопителей, достаточно включить политику Removable Disk: Deny write access (Съемные диски: Запретить запись).

    В этом случае пользователи смогут читать данные с флешки, но при попытке записать на нее информацию, получат ошибку доступа:

    С помощью политики Removable Disks: Deny execute access (Съемные диски: Запретить выполнение) можно запретить запуск с USB дисков исполняемых файлов и файлов сценариев.

    Как заблокировать USB накопители только определенным пользователям?

    Довольно часто необходимо запретить использовать USB диски всем пользователям компьютера, кроме администраторов (или другие исключения в политики блокировки USB накопителей).

    Проще всего это реализуется с помощью использования Security Filtering в GPO. Например, запретить применять политику блокировки USB к группе администраторов домена.

    1. Выберите в консоли Group Policy Management вашу политику Disable USB Access;
    2. В разделе Security Filtering добавьте группуDomain Admins;
    3. Перейдите на вкладку Delegation, нажмите на кнопкуAdvanced. В редакторе настроек безопасности, укажите что, группе Domain Admins запрещено применять данную GPO (Apply group policy – Deny).

    Может быть другая задача — нужно разрешить использование внешних USB накопителей всем, кроме определённой группы пользователей. Создайте группу безопасности “Deny USB” и в настройках безопасности политики добавить эту группу. Для этой группы выставите разрешения на чтение и применение GPO, а у группы Authenticated Users или Domain Computers оставить только разрешение на чтение (сняв галку у пункта Apply group policy).

    Гибкое управление доступом к USB накопителям через реестр и GPO

    Более гибко управлять доступом к внешним устройствам можно с помощью настройки параметров реестра, которые задаются рассмотренными выше политиками через механизм Group Policy Preferences (GPP). Всем указанным выше политикам соответствуют определенные ключи реестра в ветке HKLM (или HKCU) SOFTWAREPoliciesMicrosoftWindowsRemovableStorageDevices (по умолчанию этого раздела в реестре нет).

    Чтобы включить ту или иную политику нужно создать в указанном ключе новую ветку с именем класса устройств, доступ к которым нужно заблокировать (столбец 2) и параметром REG_DWORD с типом ограничения Deny_Read (запрет чтения), Deny_Write (запрет записи) или Deny_Execute (запрет выполнения).

    Если значение параметра равно 1— ограничение активно, если 0 – запрет использования данного класса устройств не действует.

    Имя политики Подветка с именем Device Class GUID Имя параметра реестра
    Floppy Drives:
    Deny read access
    Deny_Read
    Floppy Drives:
    Deny write access
    Deny_Write
    CD and DVD:
    Deny read access
    Deny_Read
    CD and DVD:
    Deny write access
    Deny_Write
    Removable Disks:
    Deny read access
    Deny_Read
    Removable Disks:
    Deny write access
    Deny_Write
    Tape Drives:
    Deny read access
    Deny_Read
    Tape Drives:
    Deny write access
    Deny_Write
    WPD Devices:
    Deny read access
    <6AC27878-A6FA-4155-BA85-F98F491D4F33> Deny_Read
    WPD Devices:
    Deny write access
    <6AC27878-A6FA-4155-BA85-F98F491D4F33> Deny_Write

    Указанные ключи реестра и параметры можно создать вручную. На скриншоте ниже я создал ключ RemovableStorageDevices, а в нем подраздел с именем . С помощью REG_DWORD параметров я запретил запись и запуск исполняемых файлов с USB накопителей.

    С помощью данных ключей реестра и возможностями нацеливания политик GPP с помощью Item-level targeting вы сможете гибко применять политики, ограничивающие использование внешних устройств хранения. Вы можете применять политики к определённым группам безопасности AD, сайтам, версиям ОС, OU и другим характеристикам компьютеров (вплоть до возможности выборки компьютеров через WMI фильтры). Например, можно создать доменную группу Storage-Devices-Restrict и добавьте в нее учетные записи компьютеров, на которых нужно ограничить исопльзование USB накопителей. Эта группа указывается в вашей политике GPP в секции Item Level Targeting -> Security Group с опцией Computer in Group. В результате политика блокировки USB будет применяться к компьютерам, добавленным в эту группу AD.

    Полное отключение USB Storage Driver через реестр

    Вы можете полностью отключить драйвер USBSTOR (USB Mass Storage Driver), который необходим для корректного определения и монтирования USB устройств хранения.

    На отдельно стоящем компьютере вы можете отключить этот драйвер, изменив значение параметра Start (тип запуска) с 3 на 4. Можно это сделать через PowerShell командой:

    Set-ItemProperty “HKLM:SYSTEMCurrentControlSetservicesUSBSTOR” -name Start -Value 4

    Перезагрузите компьютер и попробуйте подключить USB накопитель. Теперь он не должен появиться в проводнике или консоли управления дисками, а в диспетчере устройств вы увидите ошибку установки драйвера устройства.

    С помощью Group Policy Preferences вы можете отключить запуск драйвера USBSTOR на компьютерах домена. Для этого нужно внести изменения в реестр через GPO.

    Эти настройки можно распространить на все компьютеры. Создайте новую групповую политику, назначьте ее на OU с компьютерами и в разделе Computer Configuration -> Preferences -> Windows Settings -> Registry создайте новый параметр со значениями:

    • Action: Update
    • Hive: HKEY_LOCAK_MACHINE
    • Key path: SYSTEMCurrentControlSetServicesUSBSTOR
    • Value name: Start
    • Value type: REG_DWORD
    • Value data: 00000004

    Разрешить подключение только определенной USB флешки

    С помощью определённой настройки реестра можно разрешить подключение только определённой (одобренной) USB флешки к компьютеру. Вкратце рассмотрим, как это можно настроить.

    При подключении любого USB накопителя к компьютеру, драйвер USBSTOR устанавливает устройство и создает в ветке реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTOR отдельную ветку. в которой содержится информация о накопителе (например, Disk&Ven_Kingstom&Prod_DT_1010_G2&Rev_1.00 ).

    Get-ItemProperty –Path HKLM:SYSTEMCurrentControlSetEnumUSBSTOR**| select FriendlyName

    Вы можете удалить все разделы реестра для подключенных ранее USB флешек, кроме тех, которые вам нужны.

    Затем нужно изменить разрешения на ветку реестра USBSTOR так, чтобы у всех (в том числе (SYSTEM и администраторов) были только права на чтение. В результате при подключении любой USB накопителя, кроме разрешенного, Windows не сможет установить устройство.

    Запрет флешек системными средствами Windows

    Как осуществить запрет флешек в ОС Windows?

    На самом деле способов довольно много. Каждый из них имеет свои преимущества, а некоторые и вовсе не заменимы.

    В первую очередь администраторам. А также в случае если компьютер используется несколькими пользователями.

    Для безопасности, для конфиденциальности, для ограничения возможностей других пользователей.

    Мой материал, как обычно, делится на две части: системные средства и сторонние программы (плюс небольшие вкрапления моего личного мнения).

    Также рекомендую почитать предыдущую мою статью, близкую по теме: «Как запретить запуск программы в Windows»

    Запрет флешек

    Как запретить использование флешек?

    Непосредственно в ОС Windows эту задачу можно выполнить с помощью Редактора групповых политик (GPO) и реестра. Кроме этого, можно выключить сами порты в BIOS. К этому всему еще в плюс внешнее программное обеспечение, о котором я расскажу в конце.

    Неэффективные способы запрета флешек

    Дабы потом не останавливаться на этом, сразу укажу несколько способов, которые явно неэффективны, хотя информации в сети о них полно.

    • Физическое отключение портов. Это, конечно, классно, но есть же и другие порты, и переходники к ним. К тому же, почему-то все забывают о мышке, клавиатуре, колонках и т.п.
    • Удаление драйверов на USB – от этого эффекта ноль. Система сама предложит их установить, или из сети, или с самого накопителя.
    • Запрет флешек в редакторе групповых политик (просто запрещать каждое новое устройство по ID). Лучше запретить все, а нужные разрешить, как именно я покажу ниже.

    Я, пожалуй, начну с Редактора групповых политик, так как считаю этот способ наиболее удобным и эффективным среди остальных системных.

    Кстати, я также рекомендую отключить автозапуск флешки и других USB-носителей. Это частично решит проблему автоустановки вирусов.

    Запрет флешек в Редакторе групповых политик

    Нам нужно перейти в GPO. Открываете командную строку (вводите в поиске «cmd», кликаете правой кнопкой мыши, запускаете от имени администратора).

    В командной строке вводите gpedit.msc и нажимаете Enter.

    Откроется окно GPO. Теперь перейдем в раздел, где настраиваются нужные нам политики – «Доступ к съемным запоминающим устройствам». Нажмите на него – справа появятся существующие политики.

    В данном случае нас интересуют политики касающееся съемных носителей. Однако здесь можно настроить работу с дисками (компакт, DVD, гибкими), ленточными накопителями и другими устройствами.

    Также, очень удобно, это возможность выбрать, что именно необходимо запретить. Например, в целях сохранения информации, можно запретить запись.

    Для этого нажмите на соответствующую политику правой кнопкой мыши и выберите «Изменить».

    Теперь выберите команду «Включить» и нажмите «Применить».

    При попытке скопировать любой файл на съемный диск, пользователь не сможет этого сделать (если он не состоит в группе «Администраторы»). Он увидит это сообщение.

    По такому же принципу применяются и другие функции (чтение, запуск).

    Здесь же есть и политика отключающая все классы устройств. Она так и называется.

    Доступ только определенных устройств

    Способ выше – наиболее простой. Однако, если у Вас есть лишь несколько носителей, которые используются в работе с ПК, то можно создать и белый список.

    Для этого нужно:

    • знать GUID устройства
    • применить две политики в GPO

    Находим GUID USB-накопителя

    Сначала установите устройство в USB-порт, затем по команде показанной ниже, перейдите в «Диспетчер устройств» (ну, или как обычно – через «Панель управления»).

    Найдите Ваше устройство в пункте «Переносные устройства» и откройте его свойства.

    Перейдите на вкладку «Свойства», выберите из списка свойство «GUID» класса и скопируйте его значение.

    Настраиваем нужные политики. Теперь перейдем к GPO. Откройте тот же каталог, что и выше – «Система». Но теперь перейдите к пункту «Установка устройств – Ограничение на установку устройств».

    В списке политик нам нужны две выделенные. Вторую просто включаете.

    В первой, еще и задаете значения GUID устройств, которые разрешены.

    Сюда скопируйте значение GUID (для появления курсора, кликните в поле 2 раза).

    Теперь только эти устройства смогут запускаться. В случае, если Вы вставите другие устройства – их попросту не будет видно.

    Запрет флешек в Реестре Windows

    Запрет использования флешек также можно осуществить с помощью Реестра Windows. Хотелось бы сразу отметить, что данный способ работает только при установленном драйвере на USB. В случае, если вы проделаете все, описанное ниже, когда он еще не установлен, то при подключении любого накопителя, Вам будет предложено установить этот драйвер. И значение, измененное ранее, изменится обратно, к стандартным настройкам.

    Этот способ работает на всех ОС Windows. Однако наиболее актуальным он является для ОС Windows XP, так как там нет Редактора групповых политик. Поэтому пример будет показан в среде данной системы. Итак, продолжим.

    Для начала откройте реестр. В командной строке введите «regedit» и нажмите «Enter».

    Теперь перейдите в эту ветку реестра:

    HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services USBSTOR

    Как видите, там есть несколько параметров. Один из них «Start». Он определяет каким образом доступен USB-накопитель (для любых операций, для чтения, записи и т.д.). На данный момент установлено значение 3. Если изменить его на 4, то накопители станут вообще недоступными. Это нам и нужно.

    Кликаете 2 раза и меняете значение на 4.

    Теперь при подключении устройство просто не будет отображаться.

    Как отключить порты USB в BIOS

    Еще один способ запретить использование флешек — это отключить порты USB в BIOS. Сделать это не сложно . Однако, с моей точки зрения, не достаточно эффективно. Хотя, если учесть, что большинство пользователей понятия не имеют не просто о том, что там можно порты отключить, а еще и о том, как туда зайти, то может быть это — удобный и быстрый способ.

    Итак, зайдите в БИОС. На большинстве компьютеров это кнопка «F2». Однако в зависимости от марки, и способ отличается. В сети есть куча информации по этой теме, и я не буду подробно на этом останавливаться.

    Теперь все делается буквально в два шага: переходим на вкладку «Configuration», отключаем функцию «USB Legacy». Сохраняем и выходим.

    Как отключить порты USB в BIOS

    Все вышеописанные методы не стопроцентно защитят Ваш компьютер. Их тоже можно обойти, а как именно это сделать, смотрите в статье: «Как обойти запрет флешки»

    Однако есть целый программный комплекс, обойти который будет не так просто. Он называется DeviceLock DLP. Именно об этом способе запрета флешки и пойдет речь в статье «Запрет USB».

    Еще отмечу, что есть и другие простейшие программы типа: Ratool, USB Lock Standard и другие. Но они скорее скрипты с визуальным интерфейсом, которые реализуют метод реестра.

    Как отключить или включить USB порты в Windows

    Иногда возникает необходимость отключить USB порты на компьютере или ноутбуке, чтобы ограничить доступ по подключению флешек, жестких дисков и других USB-устройств. Отключение портов USB поможет предотвратить подключение каких-либо накопителей, которые могут быть использованы для кражи важной информации или стать причиной заражения компьютера вирусом и распространения вредоносного программного обеспечения по локальной сети.

    1. Ограничение доступа к USB портам
    2. 1. Отключение USB портов через настройки BIOS
    3. 2. Включение и отключение USB-накопителей с помощью редактора реестра
    4. 3. Отключение USB портов в диспетчере устройств
    5. 4. Удаление драйверов контроллера USB
    6. 5. Запрет пользователям подключение USB-устройств хранения данных с помощью приложения от Microsoft
    7. 6. Использование программ для отключения/включения доступа к USB-устройствам хранения данных
    8. 7. Отключение USB от материнской платы
    9. Запрет доступа к съемным носителям через редактор групповой политики

    Ограничение доступа к USB портам

    Рассмотрим 7 способов, с помощью которых можно заблокировать USB порты:

    1. Отключение USB через настройки БИОС
    2. Изменение параметров реестра для USB-устройств
    3. Отключение USB портов в диспетчере устройств
    4. Деинсталляция драйверов контроллера USB
    5. Использование Microsoft Fix It 50061
    6. Использование дополнительных программ
    7. Физическое отключение USB портов

    1. Отключение USB портов через настройки BIOS

    1. Войдите в настройки BIOS.
    2. Отключите все пункты, связанные с контроллером USB (например, USB Controller или Legacy USB Support).
    3. После того как вы сделали эти изменения, нужно сохранить настройки и выйти из БИОС. Обычно это делается с помощью клавиши F10.
    4. Перезагрузите компьютер и убедитесь, что USB порты отключены.

    2. Включение и отключение USB-накопителей с помощью редактора реестра

    Если отключение через БИОС вам не подходит, можете закрыть доступ непосредственно в самой ОС Windows с помощью реестра.

    Приведенная ниже инструкция позволяет закрыть доступ для различных USB-накопителей (например флешек), но при этом другие устройства, такие как клавиатуры, мыши, принтеры, сканеры все равно будут работать.

    1. Откройте меню Пуск -> Выполнить, введите команду «regedit» и нажмите ОК, чтобы открыть редактор реестра.
    2. Перейдите к следующему разделу

    HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services USBSTOR

    Нажмите кнопку «ОК», закройте редактор реестра и перезагрузите компьютер.

    ! Вышеописанный способ работает только при установленном драйвере USB контроллера. Если по соображениям безопасности драйвер не был установлен, значение параметра «Start» может быть автоматически сброшено на значение «3», когда пользователь подключит накопитель USB и Windows установит драйвер.

    3. Отключение USB портов в диспетчере устройств

    1. Нажмите правой кнопкой мыши на значке «Компьютер» и выберете в контекстном меню пункт «Свойства». Откроется окно в левой части которого нужно нажать на ссылку «Диспетчер устройств».

    Этот способ не всегда работает. В примере, приведенном на рисунке выше отключение контроллеров (2 первых пункта) не привело к желаемому результату. Отключение 3-го пункта (Запоминающее устройство для USB) сработало, но это дает возможность отключить лишь отдельный экземпляр USB-накопителя.

    4. Удаление драйверов контроллера USB

    Как вариант для отключения портов можно просто деинсталлировать драйвер USB контроллера. Но недостатком этого способа является то, что при подключении пользователем USB-накопителя, Windows будет проверять наличие драйверов и при их отсутствии предложит установить драйвер. Это в свою очередь откроет доступ к USB-устройству.

    5. Запрет пользователям подключение USB-устройств хранения данных с помощью приложения от Microsoft

    Еще один способ запрета доступа к USB-накопителям – это использование Microsoft Fix It 50061 (http://support.microsoft.com/kb/823732/ru — ссылка может открываться около митуты). Суть это способа заключается в том, что рассматриваются 2 условия решения задачи:

    • USB-накопитель еще не был установлен на компьютер
    • USB-устройство уже подключено к компьютеру

    В рамках данной статьи не будем детально рассматривать этот метод, тем более, что вы можете подробно его изучить на сайте Microsoft, используя ссылку приведенную выше.

    Еще следует учесть, что данный способ подходит не для всех версий ОС Windows.

    6. Использование программ для отключения/включения доступа к USB-устройствам хранения данных

    Существует много программ для установки запрета доступа к USB портам. Рассмотрим одну из них — программу USB Drive Disabler.

    Программа обладает простым набором настроек, которые позволяют запрещать/разрешать доступ к определенным накопителям. Также USB Drive Disabler позволяет настраивать оповещения и уровни доступа.

    7. Отключение USB от материнской платы

    Хотя физическое отключение USB портов на материнской плате является практически невыполнимой задачей, можно отключить порты, находящиеся на передней или верхней части корпуса компьютера, отсоединив кабель, идущий к материнской плате. Этот способ полностью не закроет доступ к USB портам, но уменьшит вероятность использования накопителей неопытными пользователями и теми, кто просто поленится подключать устройства к задней части системного блока.

    ! Дополнение

    Запрет доступа к съемным носителям через редактор групповой политики

    В современных версиях Windows существует возможность ограничить доступ к съемным запоминающим устройствам (USB-накопителям в том числе) с помощью редактора локальной групповой политики.

    1. Запустите gpedit.msc через окно «Выполнить»(Win + R).
    2. Перейдите к следующей ветви «Конфигурация компьютера -> Административные шаблоны -> Система -> Доступ к съемным запоминающим устройствам»
    3. В правой части экрана найдите пункт «Съемные диски: Запретить чтение».
    4. Активируйте этот параметр (положение «Включить»).

    Данный раздел локальной групповой политики позволяет настраивать доступ на чтение, запись и выполнение для разных классов съемных носителей.

    Читайте также:
    Как поставить пароль на флешку и зашифровать ее содержимое без программ в Windows 10 и 8
    Рейтинг
    ( Пока оценок нет )
    Понравилась статья? Поделиться с друзьями:
    Добавить комментарий

    ;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: