Андроид. Операционная система. Мультимедиа. Социальные сети. Инструменты. Кодеки. Графика
Вы здесь: » »

Отключил usb в биосе. Запрет флешек системными средствами Windows

Во многих фирмах и организациях запрет на использования USB накопителей одна из первоочередных задач которые ставятся перед системным администратором предприятия, причина тому две беды – вынос информации (секретных документов и т.д.) и внос ее: вирусы, игры и тому подобное. На первый взгляд задача решается просто – через BIOS отключить USB порты, но это затронет и другие USB устройства – мышь, клавиатура, принтер или зарядку для телефона.

Запрет USB через групповые политики Windows server 2008

Готовая групповая политика запрета накопителей, появилась в серверных ОС, начиная с Windows server 2008, настроить их на контроллере можно через оснастку gpmc.msc, располагаются по тому же пути (Policy > Computer configuration > Policies > Administrative Templates > System > Removable storage access). Работает она безотказно, но применятся только на операционные системы Windows Vista, 7 и 8.

Несколько сложнее, обстоят дела с Windows XP, несмотря на заявления Microsoft о прекращении поддержки XP весной 2014 , она по-прежнему занимает не малую часть операционных систем, используемых в корпоративном секторе. Не беда, настроим как и локальную, но только через ГПО. Запускаем gpmc.msc, создаем объект групповой политики и начинаем его редактировать.


Пользователь ПК никогда не может быть всегда осторожен, когда дело доходит для хранения данных в безопасности. Представьте себе, что дома или в офисе, когда вы не ждете опасности в Интернете, опасность может исходить от ваших близких и коллег. Ведь можно просто вставить флшеку с вирусом в USB-порт и похитить ваши данные или испортить систему. Отключение USB-накопителей вашего компьютера может помочь сохранить ваши файлы в безопасности. Есть несколько методов, которые вы можете выбрать для себя, если решили деактивировать USB порты.

Как отключить или включить USB-порты в Windows 10

1. С помощью редактора реестра

Нажмите сочетание кнопок Win + R и введите regedit . В реестре перейдите по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR и найдите справа параметр Start . Нажмите на нем два щелчка мышкой и задайте значение 4 , чтобы отключить USB порты. Если Вам понадобится повторно включить USB порты, то измените на значение по умолчанию 3 .

2. С помощью групповой политики

Примечание: редактор групповой политики есть в версиях Pro и выше. В версии HOME его нет, воспользуйтесь способом через реестр, если у вас версия home. Вы также можете сделать редактор по ссылке.

Нажмите сочетание кнопок Win + R и введите gpedit.msc , чтобы открыть редактор групповых политик. Далее перейдите по параметрам "Конфигурация компьютера " > "Административные шаблоны "> "Система " > "Доступ к съемным запоминающим устройствам " и справа найдите два параметра Съемные диски: Запретить чтение и Съемные диски: Запретить запись . Щелкните по ним два раза мышкой, чтобы открыть параметры и выберите Включено . Таким образом USB порты будут отключены, чтобы включить их обратно просто проделайте в точности наоборот.

На самом деле эта функция доступна ещё со времён Windows 7 и по большему счёту порядок действий с тех пор не изменился. Рассмотрим его на примере актуальной версии Windows 10. Как правило, по умолчанию функция временного отключения USB-порта активирована как минимум для режима энергосбережения. Собственно с целью экономии заряда система и приостанавливает работу USB-портов в моменты простоя, поэтому соответствующие настройки можно найти в разделе «Электропитание» системной Панели управления.

О том, как открыть панель управления в Windows 10 Creators Update, мы уже , удобнее всего использовать поисковую строку на панели задач, где достаточно набрать «Панель управления», в которой перейти в раздел «Электропитания» (если включён режим отображения категорий, то сначала необходимо нажать на пункт «Оборудование и звук»). В открывшемся окне перейти к настройкам нужной схемы электропитания.

Не следующем экране необходимо нажать на пункт «Изменить дополнительные параметры питания».

Откроется новое окно с полным списком дополнительных параметров, в котором необходимо найти пункт «Параметры USB» > «Параметр временного отключения USB-порта» и установить значение «Запрещено» , после чего нажать ОК для сохранения внесённых изменений. Аналогичным образом функция включается обратно.

Стоит отметить, что приведённый выше пример — не панацея от всех возможных проблем, связанных с работой USB-устройств, причины могут быть самыми разными, но тем не менее может помочь в тех ситуациях, когда проблема связана с работой этой функции.

Из всех найденных не долгим поиском методов в моём случае не подошёл ни один:)

Даже вариант с ограничением прав для пользователей в реестре не дал результата (удалил даже права для системы и администратора - т.е. все права полностью для всех - не помогло).

В итоге комбинировал свой вариант (сборка из двух разных).

В моём случае обычный пользователь не имеет никаких привелегий в системе (прям мечта!) и разумеется потребовался максимальный функционал - т.е. использование определённых (зарегистрированных) носителей на отдельных ПК.

Для этого используем всего две процедуры (действия):

  1. Удаляем из реестра информацию о всех использованных (зарегистрированных в реестре) запоминающих устройствах USB любым удобным методом (на Ваш вкус).
    Мне быстрее и проще всего оказалось воспользоваться простенькой утилитой После чего удаляем из системы файлы %Windows%\inf\Usbstor.pnf и Usbstor.inf .
  2. В дальнейшем, при необходимости добавить (зарегистрировать) запоминающее устройство добавляем указанные файлы в систему, затем подключаем (переподключаем) USB накопитель и он полноценно определяется (регистрируется) в системе. После регистрации в системе опять удаляем указанные файлы, что вновь блокирует любые попытки определить системой новый USB накопитель.

В случае, когда права в ОС распределены и "обычная" работа выполняется пользователем с ограниченными правами данный метод полностью блокирует возможность подключить к ОС не зарегистрированный (системным администратором) "Флешки".

Удаление и добавление файлов Usbstor.pnf и Usbstor.inf можно осуществлять с помощью файлов.bat примерно следующего вида:

удаление

del /f /s /q C:\WINDOWS\inf\usbstor.inf C:\WINDOWS\inf\usbstor.PNF

восстановить (при условии, что файлы лежат рядом с bat-файлом)

xcopy ".\usbstor.inf" "C:\WINDOWS\inf\"
xcopy ".\usbstor.PNF" "C:\WINDOWS\inf\"

Внимание! Для Windows 7 и выше все.bat файлы нужно запускать от имени администратора ("Запустить от имени администратора" в контекстном меню).

Ниже приведены другие способы ограничения доступа к данным устройствам (у меня по отдельности не сработали).

Управление компьютером->диспетчер устройств->контроллеры универсальной последовательной шины USB->(корневые USB концентраторы) -> "применение устройства: [отключено]

Например, если принтер подключен к какому-либо концентратору, то его можно не отключать.

примечание 1. Диспетчер устройств можно запустить из командной строки start devmgmt.msc .

примечание 2. Интересное свойство диспетчера устройств из консоли выполнить две команды:

Set devmgr_show_nonpresent_devices=1
start devmgmt.msc

Тогда в Диспетчере устройств отобразятся скрытые устройства.

Если не требуется USB - отключение контролеров USB.

Запретить использование всем, кроме избранных через "Управление компьютером -> Запоминающие устройства -> СъемныеЗУ -> Свойства -> Безопасность.

Недостаток

Здесь есть некие подводные камни, например, запрет на использование группе USER. Но администратор может входить в группу USER.

Впрочем, это равносильно изменению параметра
HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR "Start"
"Start"=dword:00000004 - запретить;
"Start"=dword:00000003 - разрешить.

примечание. Запустить службу можно из командной строки
net start "Съемные ЗУ"

Идем в папку %Windows%\inf (папка имеет атрибут hidden) , в ней есть два файла - Usbstor.pnf и Usbstor.inf.

Запрещаем доступ к этим файлам, кроме группы администраторов или конкретного пользователя.

Зачем запрещать USB совсем, когда можно запретить только запись?

HKLM\SYSTEM\CurrentControlSet\control\StorageDevicePolicies.

Параметр WriteProtect, скорей всего его нет. Тогда его нужно создать с типом dword и присвоить значение 1.

И не забыть перегрузить компьютер. Чтобы восстановить - присвоить значение 0.

Итак, по шагам (разумеется, нужно обладать правами локального администратора):

  1. Win+R (аналог Пуск -> Выполнить), regedit.
  2. . Этот ключ хранит информацию о всех когда-либо подключенных USB-носителях.
  3. Даем себе полный доступ на USBSTOR (правая клавиша мыши -> Разрешения, отметить пункт Полный доступ у группы ВСЕ).
  4. Удаляем все содержимое USBSTOR.
  5. Подключаем одобренную фэшку, убеждаемся в том, что она определилась. Внутри USBSTOR должен появиться ключ типа Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07 (F5 для обновления списка).
  6. Опять ПКМ на USBSTOR, Разрешения. Убираем Полный доступ у группы ВСЕ, право на чтение оставляем.
  7. Те же самые права нужно назначить пользователю SYSTEM, но напрямую это сделать не получится. Сначала нужно нажать кнопку Дополнительно, убрать галку Наследовать от родительского обьекта…, в появившемся окне Безопасность сказать Копировать. После очередного нажатия на ОК права пользователя SYSTEM станут доступны для изменения.
  8. Для закрепления эффекта нажимаем кнопку Дополнительно еще раз и отмечаем пункт Заменить разрешения для всех дочерних объектов… Подтверждаем выполнение.

Чего же мы добились в итоге?Разрешенная флешка подключается и отключается без проблем. При попытке же несанкционированного подключения Windows определит устройство, но установить его не сможет, ругнувшись следующим образом:

Причем, в USBSTOR"е будет создан новый ключ, который недвусмысленно укажет на попытку подключения неодобренного USB-накопителя.

USB-порты могут перестать функционировать в случае, если слетели драйвера, настройки в BIOS или разъёмы получили механическое повреждение. Второй случай часто встречается у владельцев недавно купленного или собранного компьютера, а также у тех, кто решил установить дополнительный USB-порт в материнскую плату или тех, кто ранее производил сброс настроек BIOS.

BIOS подразделяется на несколько версий и разработчиков, следовательно, в каждой из них может значительно отличаться интерфейс, но функционал в большинстве своём остаётся одинаковым.

Вариант 1: Award BIOS

Это самый распространённый разработчик базовых систем ввода-вывода со стандартным интерфейсом. Инструкция для него выглядит таким образом:


Вариант 2: Phoenix-Award & AMI BIOS

Версии BIOS от таких разработчиков как Phoenix-Award и AMI имеют похожий функционал, поэтому они будут рассмотрены в одном варианте. Инструкция по настройке USB-портов в этом случае выглядит так:


Вариант 3: UEFI-интерфейс

UEFI — это более современный аналог BIOS с графическим интерфейсом и возможностью управления при помощи мыши, но в целом их функционал очень схож. Инструкция под UEFI будет выглядеть таким образом:


Подключить USB-порты не составит никакого труда, вне зависимости от версии BIOS. После их подключения вы сможете подсоединить к компьютеру USB-мышь и клавиатуру. Если они были подключены до этого, то их работа станет более стабильной.

Рубрика: Операционные Системы
Поделиться