• Запрещаем пользователям использовать USB flash накопителей. Как отключить или включить USB порты в Windows

    На самом деле способов довольно много. Каждый из них имеет свои преимущества, а некоторые и вовсе не заменимы.

    Кому это нужно?

    В первую очередь администраторам. А также в случае если компьютер используется несколькими пользователями.

    Зачем это нужно?

    Для безопасности, для конфиденциальности, для ограничения возможностей других пользователей.

    Мой материал, как обычно, делится на две части: системные средства и сторонние программы (плюс небольшие вкрапления моего личного мнения).

    Как запретить использование флешек?

    Непосредственно в ОС Windows эту задачу можно выполнить с помощью Редактора групповых политик (GPO) и реестра. Кроме этого, можно выключить сами порты в BIOS. К этому всему еще в плюс внешнее программное обеспечение, о котором я расскажу в конце.

    Неэффективные способы запрета флешек

    Дабы потом не останавливаться на этом, сразу укажу несколько способов, которые явно неэффективны, хотя информации в сети о них полно.

    • Физическое отключение портов. Это, конечно, классно, но есть же и другие порты, и переходники к ним. К тому же, почему-то все забывают о мышке, клавиатуре, колонках и т.п.
    • Удаление драйверов на USB – от этого эффекта ноль. Система сама предложит их установить, или из сети, или с самого накопителя.
    • Запрет флешек в редакторе групповых политик (просто запрещать каждое новое устройство по ID). Лучше запретить все, а нужные разрешить, как именно я покажу ниже.

    Я, пожалуй, начну с Редактора групповых политик, так как считаю этот способ наиболее удобным и эффективным среди остальных системных.

    Запрет флешек в Редакторе групповых политик

    Нам нужно перейти в GPO. Открываете командную строку (вводите в поиске «cmd», кликаете правой кнопкой мыши, запускаете от имени администратора).

    В командной строке вводите gpedit.msc и нажимаете Enter.

    Откроется окно GPO. Теперь перейдем в раздел, где настраиваются нужные нам политики – «Доступ к съемным запоминающим устройствам». Нажмите на него – справа появятся существующие политики.

    В данном случае нас интересуют политики касающееся съемных носителей. Однако здесь можно настроить работу с дисками (компакт, DVD, гибкими), ленточными накопителями и другими устройствами.

    Также, очень удобно, это возможность выбрать, что именно необходимо запретить. Например, в целях сохранения информации, можно запретить запись.

    Для этого нажмите на соответствующую политику правой кнопкой мыши и выберите «Изменить».

    Теперь выберите команду «Включить» и нажмите «Применить».

    При попытке скопировать любой файл на съемный диск, пользователь не сможет этого сделать (если он не состоит в группе «Администраторы»). Он увидит это сообщение.

    По такому же принципу применяются и другие функции (чтение, запуск).

    Здесь же есть и политика отключающая все классы устройств. Она так и называется.

    Доступ только определенных устройств

    Способ выше – наиболее простой. Однако, если у Вас есть лишь несколько носителей, которые используются в работе с ПК, то можно создать и белый список.

    Для этого нужно:

    • знать GUID устройства
    • применить две политики в GPO

    Находим GUID USB-накопителя

    Сначала установите устройство в USB-порт, затем по команде показанной ниже, перейдите в «Диспетчер устройств» (ну, или как обычно – через «Панель управления»).

    Найдите Ваше устройство в пункте «Переносные устройства» и откройте его свойства.

    Перейдите на вкладку «Свойства», выберите из списка свойство «GUID» класса и скопируйте его значение.

    Настраиваем нужные политики. Теперь перейдем к GPO. Откройте тот же каталог, что и выше – «Система». Но теперь перейдите к пункту «Установка устройств – Ограничение на установку устройств».

    В списке политик нам нужны две выделенные. Вторую просто включаете.

    В первой, еще и задаете значения GUID устройств, которые разрешены.

    Сюда скопируйте значение GUID (для появления курсора, кликните в поле 2 раза).

    Теперь только эти устройства смогут запускаться. В случае, если Вы вставите другие устройства – их попросту не будет видно.

    ПРИМЕЧАНИЕ. Еще можно кроме политики с глобальным идентификатором (GUID), использовать политику с обычным (ID). Однако у меня она почему-то не работала (предполагаю, что из-за версии ОС). На Windows 7 работает точно – сам использовал несколько лет назад.

    Запрет флешек в Реестре Windows

    Запрет использования флешек также можно осуществить с помощью Реестра Windows. Хотелось бы сразу отметить, что данный способ работает только при установленном драйвере на USB. В случае, если вы проделаете все, описанное ниже, когда он еще не установлен, то при подключении любого накопителя, Вам будет предложено установить этот драйвер. И значение, измененное ранее, изменится обратно, к стандартным настройкам.

    Этот способ работает на всех ОС Windows. Однако наиболее актуальным он является для ОС Windows XP, так как там нет Редактора групповых политик. Поэтому пример будет показан в среде данной системы. Итак, продолжим.

    Для начала откройте реестр. В командной строке введите «regedit» и нажмите «Enter».

    Теперь перейдите в эту ветку реестра:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR

    Как видите, там есть несколько параметров. Один из них «Start». Он определяет каким образом доступен USB-накопитель (для любых операций, для чтения, записи и т.д.). На данный момент установлено значение 3. Если изменить его на 4, то накопители станут вообще недоступными. Это нам и нужно.

    Кликаете 2 раза и меняете значение на 4.

    Теперь при подключении устройство просто не будет отображаться.

    ПОЛЕЗНО! На админских форумах многие пишут, что метод не работает. Однако, это нет так. Просто зачастую его пытаются использовать в доменных группах компьютеров организации. А там, как Вы можете догадаться, ОС на всех ПК не обновляют: на одних XP, на других семерка, а на некоторых вообще 2000. Так вот, в этих системах еще просто нет некоторых протоколов и средств, в результате, значение на админкомпе, а за ним и на всех остальных, сбрасывается к стандарту.

    Как отключить порты USB в BIOS

    Еще один способ запретить использование флешек — это отключить порты USB в BIOS. Сделать это не сложно. Однако, с моей точки зрения, не достаточно эффективно. Хотя, если учесть, что большинство пользователей понятия не имеют не просто о том, что там можно порты отключить, а еще и о том, как туда зайти, то может быть это — удобный и быстрый способ.

    Во многих фирмах и организациях запрет на использования USB накопителей одна из первоочередных задач которые ставятся перед системным администратором предприятия, причина тому две беды – вынос информации (секретных документов и т.д.) и внос ее: вирусы, игры и тому подобное. На первый взгляд задача решается просто – через BIOS отключить USB порты, но это затронет и другие USB устройства – мышь, клавиатура, принтер или зарядку для телефона.

    Итак, необходимо программно запретить использование флешек, при этом не задев полезных USB устройств. Вариантов решения несколько, давайте рассмотрим их по подробнее:

    Отключить USB Windows 7, 8, Vista

    Начиная с Windows Vista в локальных групповых политиках (gpedit.msc ) появился очень полезный куст, находится в Политика Локальный компьютер” > Конфигурация компьютера > Административные шаблоны > Система > Доступ к съемным запоминающим устройствам . В нем можно гибко настроить запреты чтения, записи и выполнения на различные классы съемных устройств.


    Отключить USB Windows XP

    Чтобы запретить съемные запоминающие устройства USB в Windows XP, нужно немного подправить реестр и настроить права доступа к файлам драйвера:

      1. Отключить службу USBSTOR (regedit.exe)

    “Start”=dword:00000004

    1. Учетной записи SYSTEM выставить разрешение “Запретить” для следующих файлов:
      • %SystemRoot%\Inf\Usbstor.pnf
      • %SystemRoot%\Inf\Usbstor.inf

    Тут описано более подробно, первоисточник – http://support.microsoft.com/kb/823732

    Создайте фаил с расширением – .bat и с копируйте один из вариантов кода
    Батники, для автоматизации отключения:

    on-USB.bat

    Rem 1) ACL cacls %SystemRoot%\inf\usbstor.inf /e /p "NT AUTHORITY\SYSTEM":F cacls %SystemRoot%\inf\usbstor.PNF /e /p "NT AUTHORITY\SYSTEM":F rem 2) Registry reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR /v Start /t REG_DWORD /d 00000003 /f

    off-USB.bat

    Rem ACL cacls %SystemRoot%\inf\usbstor.inf /e /p "NT AUTHORITY\SYSTEM":N cacls %SystemRoot%\inf\usbstor.PNF /e /p "NT AUTHORITY\SYSTEM":N rem registry reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR /v Start /t REG_DWORD /d 00000004 /f

    Запрет USB через групповые политики Windows server 2003

    По умолчанию Групповые Политики в Windows server 2003 не предоставляют возможности простого способа отключения устройств использования сменных носителей, таких как порты USB, дисководы CD-ROM, Floppy дисководы. Не смотря на это, Групповые Политики могут быть расширены для использования соответствующих настроек посредством ADM шаблона.

    ADM шаблон представленный ниже позволит администратору отключить соответствующее устройство. Импортируйте этот административный шаблон в Групповые Политики как.adm файл.
    В C:\WINDOWS\inf создаем файл nodev.adm с содержимым:

    CLASS MACHINE CATEGORY !!category CATEGORY !!categoryname POLICY !!policynameusb KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR" EXPLAIN !!explaintextusb PART !!labeltextusb DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 3 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY !!policynamecd KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom" EXPLAIN !!explaintextcd PART !!labeltextcd DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 1 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY !!policynameflpy KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk" EXPLAIN !!explaintextflpy PART !!labeltextflpy DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 3 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY !!policynamels120 KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy" EXPLAIN !!explaintextls120 PART !!labeltextls120 DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 3 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY END CATEGORY END CATEGORY category="Custom Policy Settings" categoryname="Restrict Drives" policynameusb="Disable USB" policynamecd="Disable CD-ROM" policynameflpy="Disable Floppy" policynamels120="Disable High Capacity Floppy" explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver" explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver" explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver" explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver" labeltextusb="Disable USB Ports" labeltextcd="Disable CD-ROM Drive" labeltextflpy="Disable Floppy Drive" labeltextls120="Disable High Capacity Floppy Drive" Enabled="Enabled" Disabled="Disabled"

    ВАЖНО! В случае если добавленные политики не отображаются в редакторе групповых политик проделайте следующее:
    1. В правой части окна редактора политик нажмите правую клавишу мыши, перейдите в пункт меню Вид и нажмите Фильтрация…
    2. Снимите отметку с пункта “Показывать только управляемые параметры политики”
    3. Нажмите ОК
    После этого добавленные политики будут отображены в правой части окна редактора групповых политик.

    Запрет USB через групповые политики Windows server 2008

    Готовая групповая политика запрета накопителей, появилась в серверных ОС, начиная с Windows server 2008, настроить их на контроллере можно через оснастку gpmc.msc, располагаются по тому же пути (Policy > Computer configuration > Policies > Administrative Templates > System > Removable storage access). Работает она безотказно, но применятся только на операционные системы Windows Vista, 7 и 8.

    Несколько сложнее, обстоят дела с Windows XP, несмотря на заявления Microsoft о прекращении поддержки XP весной 2014 , она по-прежнему занимает не малую часть операционных систем, используемых в корпоративном секторе. Не беда, настроим как и локальную, но только через ГПО. Запускаем gpmc.msc, создаем объект групповой политики и начинаем его редактировать.


    Если вкратце, то весь автозапуск заключается в том, что при подключении накопителя, система выполняет действия прописанные в файле autorun.inf. А это несет в себе некоторую угрозу. Ведь эти действия могут быть причиной установки вируса, копирования и отправки данных и т.п. Поэтому, на мой взгляд, лучше отключить функцию автозапуска.

    Что такое Autorun.inf?

    Autorun.inf — это файл, который используется для автоматического запуска программ с носителей информации, внешних дисков, флешки и т.п.

    Сам файл аutorun.inf не содержит вредоносного кода, в нем только команды для запуска программ и файлов, среди которых могут быть и вредоносные самораспространяющиеся черви или просто вирусы типа .

    Как отключить автозапуск флешки

    Отключить автозапуск флешки можно тремя способами: через Груповые политики (GPO), через реестр Windows и с помощью Панели управления. Я покажу, как это сделать через реестр и в Панели управления. Так как эти способы охватывают все версии операционной системы Windows.

    Отключение автозапуска флешки в реестре

    Данный способ отключения автозапуска флешки будет полезен пользователям операционных систем Windows7, 8, Vista, XP.

    С помощью комбинации клавиш WIN+ R и команды «regedit» зайдите в реестр.

    Следующие действия нужно будет выполнить в каждом из этих разделов реестра:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

    Покажу на примере первого раздела. Создайте новый параметр типа «DWORD (32 бита)». Для этого щелкните ПКМ (правым кликом мышки) в правом окне.

    Вот его имя и значения.

    Теперь во втором разделе проделайте тоже самое.

    Затем перезагрузите компьютер. Все, теперь автозапуск отключен для всех устройств.

    Отключение автозапуска флешки в панели управления

    Зайдите в «Панель управления».

    Как отключить автозапуск флешки

    Перейдите в раздел «Автозапуск».

    Тут Вы можете выбрать параметры по своему усмотрению. Чтобы полностью отключить автозапуск для всех устройств, снимите галочку с указанного пункта.

    На этом все. Теперь вы знаете как отключить автозапуск флешки в Windows 10, 8, 7, Vista, XP.

    Вам также может быть интересна статья «Запрет флешек», в которой мы рассказывали о всех способах запрета использования USB-носителей.

    Из всех найденных не долгим поиском методов в моём случае не подошёл ни один:)

    Даже вариант с ограничением прав для пользователей в реестре не дал результата (удалил даже права для системы и администратора - т.е. все права полностью для всех - не помогло).

    В итоге комбинировал свой вариант (сборка из двух разных).

    В моём случае обычный пользователь не имеет никаких привелегий в системе (прям мечта!) и разумеется потребовался максимальный функционал - т.е. использование определённых (зарегистрированных) носителей на отдельных ПК.

    Для этого используем всего две процедуры (действия):

    1. Удаляем из реестра информацию о всех использованных (зарегистрированных в реестре) запоминающих устройствах USB любым удобным методом (на Ваш вкус).
      Мне быстрее и проще всего оказалось воспользоваться простенькой утилитой После чего удаляем из системы файлы %Windows%\inf\Usbstor.pnf и Usbstor.inf .
    2. В дальнейшем, при необходимости добавить (зарегистрировать) запоминающее устройство добавляем указанные файлы в систему, затем подключаем (переподключаем) USB накопитель и он полноценно определяется (регистрируется) в системе. После регистрации в системе опять удаляем указанные файлы, что вновь блокирует любые попытки определить системой новый USB накопитель.

    В случае, когда права в ОС распределены и "обычная" работа выполняется пользователем с ограниченными правами данный метод полностью блокирует возможность подключить к ОС не зарегистрированный (системным администратором) "Флешки".

    Удаление и добавление файлов Usbstor.pnf и Usbstor.inf можно осуществлять с помощью файлов.bat примерно следующего вида:

    удаление

    del /f /s /q C:\WINDOWS\inf\usbstor.inf C:\WINDOWS\inf\usbstor.PNF

    восстановить (при условии, что файлы лежат рядом с bat-файлом)

    xcopy ".\usbstor.inf" "C:\WINDOWS\inf\"
    xcopy ".\usbstor.PNF" "C:\WINDOWS\inf\"

    Внимание! Для Windows 7 и выше все.bat файлы нужно запускать от имени администратора ("Запустить от имени администратора" в контекстном меню).

    Ниже приведены другие способы ограничения доступа к данным устройствам (у меня по отдельности не сработали).

    Управление компьютером->диспетчер устройств->контроллеры универсальной последовательной шины USB->(корневые USB концентраторы) -> "применение устройства: [отключено]

    Например, если принтер подключен к какому-либо концентратору, то его можно не отключать.

    примечание 1. Диспетчер устройств можно запустить из командной строки start devmgmt.msc .

    примечание 2. Интересное свойство диспетчера устройств из консоли выполнить две команды:

    Set devmgr_show_nonpresent_devices=1
    start devmgmt.msc

    Тогда в Диспетчере устройств отобразятся скрытые устройства.

    Если не требуется USB - отключение контролеров USB.

    Запретить использование всем, кроме избранных через "Управление компьютером -> Запоминающие устройства -> СъемныеЗУ -> Свойства -> Безопасность.

    Недостаток

    Здесь есть некие подводные камни, например, запрет на использование группе USER. Но администратор может входить в группу USER.

    Впрочем, это равносильно изменению параметра
    HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR "Start"
    "Start"=dword:00000004 - запретить;
    "Start"=dword:00000003 - разрешить.

    примечание. Запустить службу можно из командной строки
    net start "Съемные ЗУ"

    Идем в папку %Windows%\inf (папка имеет атрибут hidden) , в ней есть два файла - Usbstor.pnf и Usbstor.inf.

    Запрещаем доступ к этим файлам, кроме группы администраторов или конкретного пользователя.

    Зачем запрещать USB совсем, когда можно запретить только запись?

    HKLM\SYSTEM\CurrentControlSet\control\StorageDevicePolicies.

    Параметр WriteProtect, скорей всего его нет. Тогда его нужно создать с типом dword и присвоить значение 1.

    И не забыть перегрузить компьютер. Чтобы восстановить - присвоить значение 0.

    Итак, по шагам (разумеется, нужно обладать правами локального администратора):

    1. Win+R (аналог Пуск -> Выполнить), regedit.
    2. . Этот ключ хранит информацию о всех когда-либо подключенных USB-носителях.
    3. Даем себе полный доступ на USBSTOR (правая клавиша мыши -> Разрешения, отметить пункт Полный доступ у группы ВСЕ).
    4. Удаляем все содержимое USBSTOR.
    5. Подключаем одобренную фэшку, убеждаемся в том, что она определилась. Внутри USBSTOR должен появиться ключ типа Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07 (F5 для обновления списка).
    6. Опять ПКМ на USBSTOR, Разрешения. Убираем Полный доступ у группы ВСЕ, право на чтение оставляем.
    7. Те же самые права нужно назначить пользователю SYSTEM, но напрямую это сделать не получится. Сначала нужно нажать кнопку Дополнительно, убрать галку Наследовать от родительского обьекта…, в появившемся окне Безопасность сказать Копировать. После очередного нажатия на ОК права пользователя SYSTEM станут доступны для изменения.
    8. Для закрепления эффекта нажимаем кнопку Дополнительно еще раз и отмечаем пункт Заменить разрешения для всех дочерних объектов… Подтверждаем выполнение.

    Чего же мы добились в итоге?Разрешенная флешка подключается и отключается без проблем. При попытке же несанкционированного подключения Windows определит устройство, но установить его не сможет, ругнувшись следующим образом:

    Причем, в USBSTOR"е будет создан новый ключ, который недвусмысленно укажет на попытку подключения неодобренного USB-накопителя.


    Несомненно, автозапуск флешки или любых других съемных носителей информации очень удобен для пользователей. Достаточно просто вставить устройство в USB выход на компьютере или ноутбуке и вуаля, у вас сразу откроется его содержимое с файлами и папками. Тем самым вы избавляете себя от лишних кликов.

    Но автозапуск флешки будет безопасным и безвредным только в том случае, если на вашем компьютере установлен качественный антивирус. В противном случае вы рискуете заразить вашу систему вредоносными файлами и потерять множество данных из вашего жесткого диска.

    Также, если на вашей флешке очень много файлов, то во время автозапуска есть вероятность, что компьютер будет тормозить и глючить. Этот недочет касается только владельцев старых и слабых компьютеров или ноутбуков.

    Чтобы избежать проблем с вирусами и глюками я рекомендую вам отключать автозапуск флешек. Делается это очень легко, а при помощи этой инструкции вы вообще справитесь с поставленной задачей за считанные минуты. Давайте рассмотрим несколько способов, которые помогут вам в отключении автозапуска USB носителей данных.

    Способ первый

    Этот способ отключения автозапуска флешки подойдет для пользователей как Windows 7, так и Windows 8.

    Итак, откройте меню «Пуск». Затем в поисковую строку введите следующую фразу «Изменение групповой политики ». Ваша система отыщет соответствующий раздел в «Панели управления». Щелкните по нему.


    Для пользователей операционной системы Windows 8 советую установить такое же меню «Пуск», как у меня на компьютере. Как этой сделать можно прочесть .

    Откроется диалоговое окно «Редактор локальной групповой политики ». Слева вы увидите меню древовидной формы. Нажмите на папку «Административные шаблоны », затем «Политика автозапуска ». Справой стороны окна вы увидите 4 состояния. Вам необходимо открыть первое, которое именуется «Выключение автозапуска ».


    После чего откроется новое диалоговое окно «Выключение автозапуска». В верхнем левом углу вы 3 состояния этого параметра «Не задано », «Включено » и «Отключено ». Вы, наверное, уже догадались, что вам необходимо установить флажок напротив «Отключено ».


    Для того чтобы сохранить настройки нажмите кнопку «Применить ».


    Второй способ

    Этот способ поможет вам не просто отключить автозапуск флешки, а настроить его для определенного вида устройств. Ну, естественно и отключить все сразу вы тоже сможете.

    Для начала зайдите в «Панель управления ». Затем установите просмотр на «мелкие значки». Теперь отыщите параметр «Автозапуск ». Открываем его.


    И вот теперь вы получаете большое пространство для настройки ваших предпочтений. Здесь можно настроить автозапуск дисков, программного обеспечения, карт памяти и, конечно же, съемных носителей.

    Для тех, кто хочет просто отключить автозапуск флешек и других устройств рекомендую просто убрать флажок с пункта «Использовать автозапуск для всех носителей и устройств », который расположен в самом верху. Затем нажмите кнопку «Сохранить ».


    Третий способ

    Очень полезный инструмент, который способен заблокировать доступ вирусов к вашему компьютеру под средством автозапуска съемных носителей. И что самое главное эта утилита абсолютно бесплатная.

    Существует также аналогичная бесплатная программа Antirun. О платных я упоминать не буду, поскольку вы и так их можете отыскать.

    Четвертый способ

    Большинство антивирусов имеет функцию отключения автозапуска флешек. Обычно это установлено по умолчанию, но советую вам перестраховаться и полазить в настройках вашего антивируса.

    Вот мы и рассмотрели 4 самых простых и очень легких способа отключения такого параметра, как автозапуск флешки или любого другого съемного носителя. Надеюсь эта инструкция помогла вам.

    Читать еще: