Запрет использования USB flash накопителей в Windows.

no-usb-64x64.pngЗапрет использования USB накопителей во многих организациях необходим, чтобы предотвратить две беды – вынос информации (секретных документов и т.д.) и внос ее: вирусы, игры и тому подобное. Поэтому не удивительно, что такие заявки, часто поступают системному администратору. Казалось бы, задача решается просто – через БИОС отключить USB порты, но это затронет и другие USB устройства - мышь, клавиатура, принтер или зарядку для телефона. Итак, необходимо программно запретить использование флешек, при этом не задев полезных USB устройств.

Отключить USB Windows 7, 8, Vista

Начиная с Windows Vista в локальных групповых политиках (gpedit.msc) появился очень полезный куст, находится в Политика "Локальный компьютер" > Конфигурация компьютера > Административные шаблоны > Система > Доступ к съемным запоминающим устройствам. В нем можно гибко настроить запреты чтения, записи и выполнения на различные классы съемных устройств.
gpedit_win7_0.png

Отключить USB Windows XP

Чтобы запретить съемные запоминающие устройства USB в Windows XP, нужно немного подправить реестр и настроить права доступа к файлам драйвера:

  1. Отключить службу USBSTOR (regedit.exe)
  2. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Start"=dword:00000004
  3. Учетной записи SYSTEM выставить разрешение "Запретить" для следующих файлов:
    • %SystemRoot%\Inf\Usbstor.pnf
    • %SystemRoot%\Inf\Usbstor.inf
Тут описано более подробно, первоисточник - http://support.microsoft.com/kb/823732
Батники, для автоматизации отключения:
off-USB.bat
on-USB.bat

Запрет USB через групповые политики.

Готовая групповая политика запрета накопителей, появилась в серверных ОС, начиная с Windows server 2008, настроить их на контроллере можно через оснастку gpmc.msc, располагаются по тому же пути (Policy > Computer configuration > Policies > Administrative Templates > System > Removable storage access). Работает она безотказно, но применятся только на операционные системы Windows Vista, 7 и 8.
disable_usb_req_0.png

Несколько сложнее, обстоят дела с Windows XP, несмотря на заявления Microsoft о прекращении поддержки XP весной 2014 , она по-прежнему занимает не малую часть операционных систем, используемых в корпоративном секторе. Не беда, настроим как и локальную, но только через ГПО. Запускаем gpmc.msc, создаем объект групповой политики и начинаем его редактировать.

  1. Реестр Computer Configuration > Preferences >Windows Settings > Registry - создать "Элемент реестра" (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR) значение Start установить 4.
    disableUSBSTOR_0.png
  2. Права к файлам драйвера USB накопителей. Computer Configuration > Policies > Windows Settings > Security Settings > File System - добавить файлы%SystemRoot%\Inf\Usbstor.pnf и%SystemRoot%\Inf\Usbstor.inf, выставить запрет для группы SYSTEM или Users.
    filePermissions_0.png

И самое главное. В windows XP и server 2003 раздела Настройки (Preferences) в редакторе политик нет и следовательно изменения реестра не применятся. Чтобы добавился этот раздел, необходимо применить обновление KB943729 (Клиентские расширения предпочтений групповых политик) на WinXP машинах. Кстати, после обновления раздел настроек не виден оснастке локальной групповой политики, но изменения реестра через доменные политики применяются отлично!

Комментарии

Thanks!

правда при отправке коммента от капчи исходит угроза психического расстройства!!! :)

Да уж, исходит, но ботам чихать на нее, хоть как обходят.
Пришлось примодерирование комментов включить еще.

Очень полезная статья, благодарю. Как раз такая задача передо мной и стоит.

Аналогично!) Автору огромное спасибо!!)

Сейчас попробую. Дело в том, что мой твердотельный жёсткий диск показывается, как устройство, подверженное удалению. То есть, он кажется компьютеру флешкой. Прилагаю скриншот до того, как перезагружу компьютер (ваши советы из пункта "Отключить USB Windows 7" только что выполнил в Групповых политиках).
https://drive.google.com/file/d/0BwIw_diiBJhRc0JySFB0dWNGUTg

Сейчас попробую. Дело в том, что мой твердотельный жёсткий диск показывается, как устройство, подверженное удалению. То есть, он кажется компьютеру флешкой. Прилагаю скриншот до того, как перезагружу компьютер (ваши советы из пункта "Отключить USB Windows 7" только что выполнил в Групповых политиках).

обратно хер включите!

спасибо, работает

Спасибо автору статьи, столкнулся с проблемой, один из пользователей принес свой личный ноутбук и подключил к корпоротивной сети, после чего отказали USB порты, так настроены груповые политики, в данной статье нашел действенный способ для рещения данной проблемы, разумеется при повторном подключении все повторится, но я пользователя предупредил, и думаю отвадил его от этого.

Добавить комментарий

BBcode1

  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.
CAPTCHA
Регистр символов капчи не имеет значения.