6 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как запретить использование USB флешки и других съемных накопителей в Windows

Содержание

Как запретить использование USB флешки и других съемных накопителей в Windows

Если вам требуется, чтобы к компьютеру или ноутбуку с Windows 10, 8.1 или Windows 7 никто не мог подключить USB-накопители, вы можете запретить использование флешек, карт памяти и жестких дисков используя встроенные средства системы. Мышки, клавиатуры и другая периферия, не являющаяся хранилищем, продолжит работать.

В этой инструкции о том, как заблокировать использование USB флешек и других съемных накопителей с помощью редактора локальной групповой политики или редактора реестра. Также в разделе с дополнительной информацией о блокировке доступа через USB к устройствам MTP и PTP (камера, Android телефон, плеер). Во всех случаях для выполнения описываемых действий вы должны иметь права администратора в Windows. См. также: Запреты и блокировки в Windows, Как поставить пароль на флешку в BitLocker.

Настройка конфигурации:

Отключение доступа к Bluetooth-устройствам

Нужно включить пункт Запретить отправку файлов по Bluetooth.

Теперь передача данных на устройства Bluetooth и обратно будет невозможна.

Настраиваемое ограничение доступа к Flash-накопителям

Включите пункт Контроль доступа к съёмным устройствам по правилу. Далее переходим к полю Правила.

Здесь мы создаем правила доступа к USB накопителям, исходя из их серийного номера, VID и PID. Для того чтобы узнать серийный номер, VID и PID накопителя, установите программу ChipGenius.

Получив информацию о серийном номере, VID и PID, мы можем запретить запись информации на нашу флешку или съемный диск.

Для этого необходимо написать следующее правило:

знак «*» в данном случае означает любой VID и PID; это можно сделать для экономии времени, так как серийный номер достаточно уникален, а VID и PID часто одинаковы. Пустота после = означает, что для данного накопителя на этом компьютере неприменимы никакие действия со стороны пользователя — ни чтение, ни запись, ни форматирование.

Если нужно наоборот, разрешить чтение и запись только на один накопитель, то следует установить такое правило:

Если следует запретить только запись на накопитель, то пишем

Внимание: с параметром «r» невозможна только запись новых данных, а удаление старых и форматирование возможны, так что будьте осторожны!

Команда, касающаяся всех остальных накопителей, должна идти последней в списке.

*:*:*= // означает для всех остальных все запрещено.

*:*:*=r // означает для всех остальных разрешено только чтение.

*:*:*=rw // означает для всех остальных — без ограничений.

Пример работы программы: Попытка записать данные на USB носитель

Запрет на подключение накопителей по MTP-протоколу

Включите галочку Запретить доступ к смартфонам и камерам по USB.

Функция не позволяет пользователям переписывать данные на телефоны, камеры, плееры, и другие устройства, подключаемые через USB порт. Устройства недоступны для чтения и записи.

Запрет записи на CD/DVD накопители

Включите пункт Запретить запись на CD / DVD.

Программа запрещает запись на CD и DVD непосредственно из проводника, а также через различные программы прожига.

Пример работы программы: Попытка перенести на DVD диск данные методом drug-and-drop

Пример работы программы: Попытка скопировать данные на DVD диск

Контролируемый запрет отправки файлов на внешние ресурсы

Включите пункт Контроль отправки файлов на внешние ресурсы по правилу.
В поле Правила вы можете ввести один из трёх (либо несколько сразу через точку с запятой без пробелов) поддерживаемых нашей системой браузеров: Google Chrome (chrome), Internet Explorer/Edge (iexplore), Mozilla Firefox (firefox). Отправка на внешние ресурсы через выбранные браузеры будет запрещена.

Читать еще:  Вы заметили, что Windows тормозит после обновлений?

Запрет доступа к папкам в локальной сети

Включите пункт Запретить доступ к общим папкам.

Теперь запись файлов и папок на ресурсы локальной сети (в том числе и по FTP) будет запрещена. Чтение файлов по-прежнему остаётся доступным.

Запрет загрузки и запуска приложений из Интернета и внешних устройств

Включите пункт Запретить загрузку приложений из Интернета. Этот модуль запретит скачивание приложений из Интернет, разархивирование исполняемых файлов, а также установку новых программ. Кроме этого будет запрещено несанкционированное удаление агента StaffCounter DLP из операционной системы. В случае необходимости деинсталляции нашего продукта вам нужно будет сначала отключить этот параметр.

Стоит отметить, что отключить функции защиты и внести изменения по умолчанию может только тот пользователь, который имеет доступ к Панели Управления на StaffCounter. Другие юзеры (даже с правами администратора) не имеют полномочий менять конфигурацию модуля.

2. Создайте и примените политику ограничений в Windows Server 2016

Шаг 1
Для этого анализа мы создали организационную единицу под названием Solvetic_USB . В редакторе групповой политики мы отобразим наш домен, чтобы увидеть эту организационную единицу.

Шаг 2
Там мы щелкните правой кнопкой мыши организационную единицу «Solvetic_USB» и выберите опцию «Создать объект групповой политики» в этом домене и свяжите его здесь.

Шаг 3
Нажав указанную опцию, появится следующее окно, где мы должны присвоить имя, в этом случае мы выбираем «Solvetic_Restriccion».

Шаг 4
Нажмите Принять, и мы увидим, что наша политика создана правильно. Теперь мы щелкнем правой кнопкой мыши по политике и выберем опцию Edit.

Шаг 5
Откроется следующее окно:

Шаг 6
Мы должны пойти по следующему маршруту:

  • Директива Solvetic_Restriction
  • Конфигурация оборудования
  • Директивы
  • Административные шаблоны
  • система
  • Доступ к съемному хранилищу

Шаг 7
Справа мы увидим, что у нас есть несколько вариантов редактирования политики, которые являются наиболее важными:

Запретить доступ к исполнению

Если мы включим эту политику, мы запретим доступ к любому съемному носителю, который подключается к компьютеру в домене.

Запретить доступ для чтения

С помощью этой опции мы можем позволить пользователю записывать или копировать информацию о USB, но не читать его содержимое.

Запретить доступ для записи

Эта опция позволяет пользователю читать информацию USB, но не вносить в нее изменения.

Все виды съемных носителей: запретить доступ ко всему: если мы включим эту опцию, мы запретим пользователю использовать любые виды съемных носителей, таких как USB, DVD, сотовый телефон, MP4, MP5 и т. Д.

Таким же образом мы можем настроить ограничения для CD-дисков, кассет, удаленных сеансов и т. Д.

Шаг 8
В этом примере мы ограничим доступ к USB-накопителям только путем выбора опции «Съемные диски: запретить доступ во время выполнения», и мы увидим следующее окно:

Шаг 9
Там мы должны выбрать опцию Включено, чтобы применить эту политику к выбранной организационной единице. Нажмите Применить, а затем Принять, чтобы подтвердить политику.

Мы подтверждаем, что политика включена в подразделении Solvetic_Restriccion.

Ограничение доступа к USB портам

Рассмотрим 7 способов, с помощью которых можно заблокировать USB порты:

  1. Отключение USB через настройки БИОС
  2. Изменение параметров реестра для USB-устройств
  3. Отключение USB портов в диспетчере устройств
  4. Деинсталляция драйверов контроллера USB
  5. Использование Microsoft Fix It 50061
  6. Использование дополнительных программ
  7. Физическое отключение USB портов

1. Отключение USB портов через настройки BIOS

  1. Войдите в настройки BIOS.
  2. Отключите все пункты, связанные с контроллером USB (например, USB Controller или Legacy USB Support).
  3. После того как вы сделали эти изменения, нужно сохранить настройки и выйти из БИОС. Обычно это делается с помощью клавиши F10.
  4. Перезагрузите компьютер и убедитесь, что USB порты отключены.

2. Включение и отключение USB-накопителей с помощью редактора реестра

Если отключение через БИОС вам не подходит, можете закрыть доступ непосредственно в самой ОС Windows с помощью реестра.

Приведенная ниже инструкция позволяет закрыть доступ для различных USB-накопителей (например флешек), но при этом другие устройства, такие как клавиатуры, мыши, принтеры, сканеры все равно будут работать.

  1. Откройте меню Пуск -> Выполнить, введите команду «regedit» и нажмите ОК, чтобы открыть редактор реестра.
  2. Перейдите к следующему разделу

HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services USBSTOR

Нажмите кнопку «ОК», закройте редактор реестра и перезагрузите компьютер.

Читать еще:  Как увидеть список устройств Windows из консоли ?

! Вышеописанный способ работает только при установленном драйвере USB контроллера. Если по соображениям безопасности драйвер не был установлен, значение параметра «Start» может быть автоматически сброшено на значение «3», когда пользователь подключит накопитель USB и Windows установит драйвер.

3. Отключение USB портов в диспетчере устройств

  1. Нажмите правой кнопкой мыши на значке «Компьютер» и выберете в контекстном меню пункт «Свойства». Откроется окно в левой части которого нужно нажать на ссылку «Диспетчер устройств».
  2. В дереве диспетчера устройств найдите пункт «Контроллеры USB» и откройте его.
  3. Отключите контроллеры путем нажатия правой кнопки мыши и выбора пункта меню «Отключить».

Этот способ не всегда работает. В примере, приведенном на рисунке выше отключение контроллеров (2 первых пункта) не привело к желаемому результату. Отключение 3-го пункта (Запоминающее устройство для USB) сработало, но это дает возможность отключить лишь отдельный экземпляр USB-накопителя.

4. Удаление драйверов контроллера USB

Как вариант для отключения портов можно просто деинсталлировать драйвер USB контроллера. Но недостатком этого способа является то, что при подключении пользователем USB-накопителя, Windows будет проверять наличие драйверов и при их отсутствии предложит установить драйвер. Это в свою очередь откроет доступ к USB-устройству.

5. Запрет пользователям подключение USB-устройств хранения данных с помощью приложения от Microsoft

Еще один способ запрета доступа к USB-накопителям – это использование Microsoft Fix It 50061 (http://support.microsoft.com/kb/823732/ru — ссылка может открываться около митуты). Суть это способа заключается в том, что рассматриваются 2 условия решения задачи:

  • USB-накопитель еще не был установлен на компьютер
  • USB-устройство уже подключено к компьютеру

В рамках данной статьи не будем детально рассматривать этот метод, тем более, что вы можете подробно его изучить на сайте Microsoft, используя ссылку приведенную выше.

Еще следует учесть, что данный способ подходит не для всех версий ОС Windows.

6. Использование программ для отключения/включения доступа к USB-устройствам хранения данных

Существует много программ для установки запрета доступа к USB портам. Рассмотрим одну из них — программу USB Drive Disabler.

Программа обладает простым набором настроек, которые позволяют запрещать/разрешать доступ к определенным накопителям. Также USB Drive Disabler позволяет настраивать оповещения и уровни доступа.

7. Отключение USB от материнской платы

Хотя физическое отключение USB портов на материнской плате является практически невыполнимой задачей, можно отключить порты, находящиеся на передней или верхней части корпуса компьютера, отсоединив кабель, идущий к материнской плате. Этот способ полностью не закроет доступ к USB портам, но уменьшит вероятность использования накопителей неопытными пользователями и теми, кто просто поленится подключать устройства к задней части системного блока.

! Дополнение

Как отключить порты USB в BIOS

Еще один способ запретить использование флешек — это отключить порты USB в BIOS. Сделать это не сложно . Однако, с моей точки зрения, не достаточно эффективно. Хотя, если учесть, что большинство пользователей понятия не имеют не просто о том, что там можно порты отключить, а еще и о том, как туда зайти, то может быть это — удобный и быстрый способ.

Итак, зайдите в БИОС. На большинстве компьютеров это кнопка «F2». Однако в зависимости от марки, и способ отличается. В сети есть куча информации по этой теме, и я не буду подробно на этом останавливаться.

Теперь все делается буквально в два шага: переходим на вкладку «Configuration», отключаем функцию «USB Legacy». Сохраняем и выходим.

Как отключить порты USB в BIOS

Все вышеописанные методы не стопроцентно защитят Ваш компьютер. Их тоже можно обойти, а как именно это сделать, смотрите в статье: «Как обойти запрет флешки»

Однако есть целый программный комплекс, обойти который будет не так просто. Он называется DeviceLock DLP. Именно об этом способе запрета флешки и пойдет речь в статье «Запрет USB».

Еще отмечу, что есть и другие простейшие программы типа: Ratool, USB Lock Standard и другие. Но они скорее скрипты с визуальным интерфейсом, которые реализуют метод реестра.

Управление работой USB портов через диспетчер устройств

Данный способ не является универсальным, всё зависит от аппаратной реализации конкретного USB контроллера, что установлен в компьютер или ноутбук. В некоторых случаях даже после отключения всех указанных пунктов, работа того или иного USB порта может сохраняться.

Читать еще:  Как включить или выключить автоподключение дисков?

И да, отключение USB таким способом приведёт и к отключению работы подключенной периферии (мышка, клавиатура, принтер и т.д.). Будьте внимательны.

  1. Откройте Диспетчер устройств. Более подробно о том, как это сделать, написано в материале «Открываем диспетчер устройств в Windows (7, 8, 10)».
  2. В открывшемся окне следует кликнуть по пункту с именем Контроллеры USB, дабы он был развёрнут.

В данном списке отобразятся аппаратные элементы, отвечающие за работу USB. Наведите мышку, кликните правой клавишей и в отобразившемся меню выберите Отключить устройство.

Проделайте аналогичную процедуру со всеми находящимися там пунктами.

Политики управления доступом к внешним носителям в Windows

В ОС Windows начиная с Windows 7 / Vista появилась возможность достаточно гибкая возможность управления доступом к внешним накопителям (USB, CD / DVD и др.) с помощью групповых политик. Теперь вы можете программно запретить использование USB накопителей, не затрагивая такие USB устройства, как мышь, клавиатура, принтер и т.д.

Политика блокировки USB устройств будет работать, если инфраструктура вашего домена AD соответствует следующим требованиям:

  • Версия схемы Active Directory — Windows Server 2008 или выше [alert]Примечание. Набор политик, позволяющий полноценно управлять установкой и использованием съемных носителей в Windows, появился только в этой версии AD (версия схемы 44).[/alert]
  • Клиентские ОС – Windows Vista, Windows 7 и выше

Точка отсчета

«Защита» собственности – это обеспечение возможности владельцу распоряжаться ею по своему усмотрению, а всем остальным – действовать в соответствии с назначенными для них владельцем правами.

Защищенные устройства или системы – это такие, пользоваться которыми могут не все.

Это касается не только информационной сферы, но также и помещений или, скажем, автомобилей. Защита интересов владельца – это защита его приоритетного положения по отношению к своей собственности.

Что же это означает применительно к защите флеш-памяти в формате USB-устройства?

Это означает, что точкой отсчета при выстраивании системы защищенной работы с USB-flash-дисками должен быть владелец системы. Только он должен определять, на каких компьютерах сотрудник сможет, а на каких не сможет применять свое устройство.

Дополнительная информация

Некоторые дополнительные нюансы блокировки доступа к USB накопителям, которые могут оказаться полезными:

  • Описанные выше способы работают для съемных USB флешек и дисков, однако не работают для устройств, подключенных по протоколу MTP и PTP (например, хранилище Android телефона продолжит быть доступным). Для отключения доступа по этим протоколам, в редакторе локальной групповой политики в том же разделе используйте параметры «WPD-устройства» для запрета чтения и записи. В редакторе реестра это будет выглядеть как подразделы , и в политиках RemovableStorageDevices (как описывалось выше) с параметрами Deny_Read и/или Deny_Write.
  • Для того, чтобы в дальнейшем вновь включить возможность использования USB накопителей, просто удалите созданные параметры из реестра или установите «Выключено» в измененных ранее политиках доступа к съемным запоминающим устройствам.
  • Еще один способ блокировки USB накопителей — отключение соответствующей службы: в разделе реестраизмените значение Start на 4 и перезагрузите компьютер. При использовании этого способа подключенные флешки даже не будут появляться в проводнике.

Помимо встроенных средств системы, есть сторонние программы для блокировки подключения различного рода USB устройств к компьютеру, в том числе и продвинутые инструменты наподобие USB-Lock-RP.

А вдруг и это будет интересно:

  • Windows 10
  • Настройка роутера
  • Всё про Windows
  • Загрузочная флешка
  • Лечение вирусов
  • Восстановление данных
  • Установка с флешки
  • В контакте
  • Одноклассники
  • Android

Почему бы не подписаться?

Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)

17.12.2019 в 07:34

с групповыми политиками отрубается доступ к диску D хотя он не съемный

17.12.2019 в 07:38

И в проводнике как обычный локальный диск отображается?
На материнке никакие функции горячей замены sata не включены?

10.01.2020 в 22:00

Здравствуйте!
Как обеспечить выборочное подключение USB-флешек в Windows 10 (1903 и 1909)?
Т.е. необходимо обеспечить обмен информацией только с определенной групой USB-флешек.
Для XP, 7 и ранних версий 10 еще работал механизм запрета для пользователя system на создание подраздела в MACHINESYSTEMCurrentControlSetEnumUSBSTOR:
очищалась система от следов подключения флешек, подключались необходимые флешки, устанавливался вышеупомянутый запрет.
Для в Windows 10 (1903 и 1909) это не работает.
Решение мною так и не найдено.
Очень надеюсь на совет.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector