Во многих фирмах и организациях запрет на использования USB накопителей одна из первоочередных задач которые ставятся перед системным администратором предприятия, причина тому две беды – вынос информации (секретных документов и т.д.) и внос ее: вирусы, игры и тому подобное. На первый взгляд задача решается просто – через BIOS отключить USB порты, но это затронет и другие USB устройства – мышь, клавиатура, принтер или зарядку для телефона.
Запрет USB через групповые политики Windows server 2008
Готовая групповая политика запрета накопителей, появилась в серверных ОС, начиная с Windows server 2008, настроить их на контроллере можно через оснастку gpmc.msc, располагаются по тому же пути (Policy > Computer configuration > Policies > Administrative Templates > System > Removable storage access). Работает она безотказно, но применятся только на операционные системы Windows Vista, 7 и 8.
Несколько сложнее, обстоят дела с Windows XP, несмотря на заявления Microsoft о прекращении поддержки XP весной 2014 , она по-прежнему занимает не малую часть операционных систем, используемых в корпоративном секторе. Не беда, настроим как и локальную, но только через ГПО. Запускаем gpmc.msc, создаем объект групповой политики и начинаем его редактировать.
Пользователь ПК никогда не может быть всегда осторожен, когда дело доходит для хранения данных в безопасности. Представьте себе, что дома или в офисе, когда вы не ждете опасности в Интернете, опасность может исходить от ваших близких и коллег. Ведь можно просто вставить флшеку с вирусом в USB-порт и похитить ваши данные или испортить систему. Отключение USB-накопителей вашего компьютера может помочь сохранить ваши файлы в безопасности. Есть несколько методов, которые вы можете выбрать для себя, если решили деактивировать USB порты.
Как отключить или включить USB-порты в Windows 10
1. С помощью редактора реестра
Нажмите сочетание кнопок Win + R и введите regedit . В реестре перейдите по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR и найдите справа параметр Start . Нажмите на нем два щелчка мышкой и задайте значение 4 , чтобы отключить USB порты. Если Вам понадобится повторно включить USB порты, то измените на значение по умолчанию 3 .
2. С помощью групповой политики
Примечание: редактор групповой политики есть в версиях Pro и выше. В версии HOME его нет, воспользуйтесь способом через реестр, если у вас версия home. Вы также можете сделать редактор по ссылке.
Нажмите сочетание кнопок Win + R и введите gpedit.msc , чтобы открыть редактор групповых политик. Далее перейдите по параметрам "Конфигурация компьютера " > "Административные шаблоны "> "Система " > "Доступ к съемным запоминающим устройствам " и справа найдите два параметра Съемные диски: Запретить чтение и Съемные диски: Запретить запись . Щелкните по ним два раза мышкой, чтобы открыть параметры и выберите Включено . Таким образом USB порты будут отключены, чтобы включить их обратно просто проделайте в точности наоборот.
На самом деле эта функция доступна ещё со времён Windows 7 и по большему счёту порядок действий с тех пор не изменился. Рассмотрим его на примере актуальной версии Windows 10. Как правило, по умолчанию функция временного отключения USB-порта активирована как минимум для режима энергосбережения. Собственно с целью экономии заряда система и приостанавливает работу USB-портов в моменты простоя, поэтому соответствующие настройки можно найти в разделе «Электропитание» системной Панели управления.
О том, как открыть панель управления в Windows 10 Creators Update, мы уже , удобнее всего использовать поисковую строку на панели задач, где достаточно набрать «Панель управления», в которой перейти в раздел «Электропитания» (если включён режим отображения категорий, то сначала необходимо нажать на пункт «Оборудование и звук»). В открывшемся окне перейти к настройкам нужной схемы электропитания.
Не следующем экране необходимо нажать на пункт «Изменить дополнительные параметры питания».
Откроется новое окно с полным списком дополнительных параметров, в котором необходимо найти пункт «Параметры USB» > «Параметр временного отключения USB-порта» и установить значение «Запрещено» , после чего нажать ОК для сохранения внесённых изменений. Аналогичным образом функция включается обратно.
Стоит отметить, что приведённый выше пример — не панацея от всех возможных проблем, связанных с работой USB-устройств, причины могут быть самыми разными, но тем не менее может помочь в тех ситуациях, когда проблема связана с работой этой функции.
Из всех найденных не долгим поиском методов в моём случае не подошёл ни один:)
Даже вариант с ограничением прав для пользователей в реестре не дал результата (удалил даже права для системы и администратора - т.е. все права полностью для всех - не помогло).
В итоге комбинировал свой вариант (сборка из двух разных).
В моём случае обычный пользователь не имеет никаких привелегий в системе (прям мечта!) и разумеется потребовался максимальный функционал - т.е. использование определённых (зарегистрированных) носителей на отдельных ПК.
Для этого используем всего две процедуры (действия):
- Удаляем из реестра информацию о всех использованных (зарегистрированных в реестре) запоминающих устройствах USB любым удобным методом (на Ваш вкус).
Мне быстрее и проще всего оказалось воспользоваться простенькой утилитой После чего удаляем из системы файлы %Windows%\inf\Usbstor.pnf и Usbstor.inf . - В дальнейшем, при необходимости добавить (зарегистрировать) запоминающее устройство добавляем указанные файлы в систему, затем подключаем (переподключаем) USB накопитель и он полноценно определяется (регистрируется) в системе. После регистрации в системе опять удаляем указанные файлы, что вновь блокирует любые попытки определить системой новый USB накопитель.
В случае, когда права в ОС распределены и "обычная" работа выполняется пользователем с ограниченными правами данный метод полностью блокирует возможность подключить к ОС не зарегистрированный (системным администратором) "Флешки".
Удаление и добавление файлов Usbstor.pnf и Usbstor.inf можно осуществлять с помощью файлов.bat примерно следующего вида:
удаление
del /f /s /q C:\WINDOWS\inf\usbstor.inf C:\WINDOWS\inf\usbstor.PNF
восстановить (при условии, что файлы лежат рядом с bat-файлом)
xcopy ".\usbstor.inf" "C:\WINDOWS\inf\"
xcopy ".\usbstor.PNF" "C:\WINDOWS\inf\"
Внимание! Для Windows 7 и выше все.bat файлы нужно запускать от имени администратора ("Запустить от имени администратора" в контекстном меню).
Ниже приведены другие способы ограничения доступа к данным устройствам (у меня по отдельности не сработали).
Управление компьютером->диспетчер устройств->контроллеры универсальной последовательной шины USB->(корневые USB концентраторы) -> "применение устройства: [отключено]
Например, если принтер подключен к какому-либо концентратору, то его можно не отключать.
примечание 1. Диспетчер устройств можно запустить из командной строки start devmgmt.msc .
примечание 2. Интересное свойство диспетчера устройств из консоли выполнить две команды:
Set devmgr_show_nonpresent_devices=1
start devmgmt.msc
Тогда в Диспетчере устройств отобразятся скрытые устройства.
Если не требуется USB - отключение контролеров USB.
Запретить использование всем, кроме избранных через "Управление компьютером -> Запоминающие устройства -> СъемныеЗУ -> Свойства -> Безопасность.
Недостаток
Здесь есть некие подводные камни, например, запрет на использование группе USER. Но администратор может входить в группу USER.
Впрочем, это равносильно изменению параметра
HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR "Start"
"Start"=dword:00000004 - запретить;
"Start"=dword:00000003 - разрешить.
примечание.
Запустить службу можно из командной строки
net start "Съемные ЗУ"
Идем в папку %Windows%\inf (папка имеет атрибут hidden) , в ней есть два файла - Usbstor.pnf и Usbstor.inf.
Запрещаем доступ к этим файлам, кроме группы администраторов или конкретного пользователя.
Зачем запрещать USB совсем, когда можно запретить только запись?
HKLM\SYSTEM\CurrentControlSet\control\StorageDevicePolicies.
Параметр WriteProtect, скорей всего его нет. Тогда его нужно создать с типом dword и присвоить значение 1.
И не забыть перегрузить компьютер. Чтобы восстановить - присвоить значение 0.
Итак, по шагам (разумеется, нужно обладать правами локального администратора):
- Win+R (аналог Пуск -> Выполнить), regedit.
- . Этот ключ хранит информацию о всех когда-либо подключенных USB-носителях.
- Даем себе полный доступ на USBSTOR (правая клавиша мыши -> Разрешения, отметить пункт Полный доступ у группы ВСЕ).
- Удаляем все содержимое USBSTOR.
- Подключаем одобренную фэшку, убеждаемся в том, что она определилась. Внутри USBSTOR должен появиться ключ типа Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07 (F5 для обновления списка).
- Опять ПКМ на USBSTOR, Разрешения. Убираем Полный доступ у группы ВСЕ, право на чтение оставляем.
- Те же самые права нужно назначить пользователю SYSTEM, но напрямую это сделать не получится. Сначала нужно нажать кнопку Дополнительно, убрать галку Наследовать от родительского обьекта…, в появившемся окне Безопасность сказать Копировать. После очередного нажатия на ОК права пользователя SYSTEM станут доступны для изменения.
- Для закрепления эффекта нажимаем кнопку Дополнительно еще раз и отмечаем пункт Заменить разрешения для всех дочерних объектов… Подтверждаем выполнение.
Чего же мы добились в итоге?Разрешенная флешка подключается и отключается без проблем. При попытке же несанкционированного подключения Windows определит устройство, но установить его не сможет, ругнувшись следующим образом:
Причем, в USBSTOR"е будет создан новый ключ, который недвусмысленно укажет на попытку подключения неодобренного USB-накопителя.
USB-порты могут перестать функционировать в случае, если слетели драйвера, настройки в BIOS или разъёмы получили механическое повреждение. Второй случай часто встречается у владельцев недавно купленного или собранного компьютера, а также у тех, кто решил установить дополнительный USB-порт в материнскую плату или тех, кто ранее производил сброс настроек BIOS.
BIOS подразделяется на несколько версий и разработчиков, следовательно, в каждой из них может значительно отличаться интерфейс, но функционал в большинстве своём остаётся одинаковым.
Вариант 1: Award BIOS
Это самый распространённый разработчик базовых систем ввода-вывода со стандартным интерфейсом. Инструкция для него выглядит таким образом:
Вариант 2: Phoenix-Award & AMI BIOS
Версии BIOS от таких разработчиков как Phoenix-Award и AMI имеют похожий функционал, поэтому они будут рассмотрены в одном варианте. Инструкция по настройке USB-портов в этом случае выглядит так:
Вариант 3: UEFI-интерфейс
UEFI — это более современный аналог BIOS с графическим интерфейсом и возможностью управления при помощи мыши, но в целом их функционал очень схож. Инструкция под UEFI будет выглядеть таким образом:
Подключить USB-порты не составит никакого труда, вне зависимости от версии BIOS. После их подключения вы сможете подсоединить к компьютеру USB-мышь и клавиатуру. Если они были подключены до этого, то их работа станет более стабильной.