I många företag och organisationer är förbudet mot användning av USB-enheter en av de prioriteringar som har fastställts tidigare systemadministratör företag, anledningen till detta är två problem - borttagning av information (hemliga dokument, etc.) och dess inträde: virus, spel och liknande. Vid första anblicken löses uppgiften enkelt - inaktivera via BIOS USB-portar, men andra USB-enheter som en mus, tangentbord, skrivare eller telefonladdare kommer också att påverkas.
Inaktivera USB via grupprincip Windows Server 2008
En färdig grupppolicy för att förbjuda enheter dök upp i serveroperativsystem, från och med Windows server 2008, du kan konfigurera dem på styrenheten via snapin-modulen gpmc.msc, som ligger på samma sökväg (Policy> Datorkonfiguration> Policies> Administrativa mallar> System> Åtkomst till flyttbar lagring) . Det fungerar felfritt, men det kommer endast att användas på operationssalar. Windows-system Vista 7 och 8. 
Lite mer komplicerat är det med Windows XP, trots Microsofts uttalanden om upphörande av stödet för XP våren 2014 så upptar det fortfarande inte en liten del av operativsystem används inom företagssektorn. Det spelar ingen roll, vi ställer in det precis som det lokala, men bara genom GPO. Kör gpmc.msc, skapa ett GPO och börja redigera det.
En PC-användare kan aldrig alltid vara försiktig när det gäller att hålla data säker. Föreställ dig att hemma eller på kontoret, när du inte förväntar dig fara på Internet, kan faran komma från dina nära och kära och kollegor. När allt kommer omkring kan du helt enkelt sätta in en flash-enhet med ett virus i en USB-port och stjäla dina data eller förstöra systemet. Att koppla bort datorns USB-enheter kan hjälpa till att skydda dina filer. Det finns flera metoder som du kan välja själv om du bestämmer dig för att inaktivera USB-portar.
Hur man inaktiverar eller aktiverar USB-portar i Windows 10
1. Använda registerredigeraren
Tryck kombination Vinn-knappar+ R och typ regedit. Gå till sökvägen i registret HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR och hitta parametern till höger Start. Dubbelklicka på den och ställ in värdet 4 för att inaktivera USB-portar. Om du behöver återaktivera USB-portar, ändra sedan till standardvärdet 3 .
2. Använda grupprincip
Notera: grupppolicyredigerare är med Pro-versioner och högre. Det är inte tillgängligt i HOME-versionen, använd registermetoden om du har hemversion. Du kan också skapa en editor från länken.
Tryck på knappkombinationen Win+R och typ gpedit.msc för att öppna editorn grupppolicyer. Gå sedan till alternativen " Datorkonfiguration" > "administrativa mallar"> "Systemet" > "Tillgång till flyttbara lagringsenheter" och till höger hittar du två parametrar Flyttbara enheter: Neka läsning och Flyttbara enheter: Inaktivera skrivning. Dubbelklicka på dem för att öppna alternativen och välj Ingår. Således kommer USB-portar att inaktiveras, för att aktivera dem igen gör precis tvärtom.
Faktum är att den här funktionen har varit tillgänglig sedan Windows 7s dagar, och i stort sett har proceduren inte ändrats sedan dess. Låt oss överväga det på exemplet med strömmen Windows-versioner 10. Som regel är USB-portens pausfunktion aktiverad för åtminstone energisparläget. För att spara ström stänger systemet faktiskt av USB-portar under inaktiva tider, så lämpliga inställningar kan hittas i avsnittet "Strömalternativ" på systemets kontrollpanel.
Hur man öppnar Kontrollpanelen i Windows 10 Uppdatering för skapare, vi redan , den mest bekväma att använda söksträng i aktivitetsfältet, där det räcker att skriva "Kontrollpanelen", där du går till avsnittet "Strömalternativ" (om kategorivisningsläget är aktiverat, måste du först klicka på "Hårdvara och ljud"). Gå till inställningarna i fönstret som öppnas önskat schema strömförsörjning.
På nästa skärm måste du klicka på objektet "Ändra avancerade ströminställningar".
Ett nytt fönster öppnas med komplett lista ytterligare parametrar där du behöver hitta objektet USB-inställningar > USB-pausalternativ och ställ in värdet "Förbjuden", klicka sedan på OK för att spara ändringarna. På samma sätt slås funktionen på igen.
Det bör noteras att exemplet ovan inte är ett universalmedel för alla eventuella problem relaterat till driften av USB-enheter kan orsakerna vara mycket olika, men det kan ändå hjälpa i situationer där problemet är relaterat till driften av denna funktion.
Av alla metoder som hittats utan en lång sökning, kom ingen av dem upp i mitt fall :)
Även alternativet med att begränsa rättigheterna för användare i registret fungerade inte (inte ens tagit bort rättigheterna för systemet och administratören - det vill säga alla rättigheter är helt för alla - hjälpte inte).
Som ett resultat kombinerade jag min version (en sammansättning av två olika).
I mitt fall har en vanlig användare inga privilegier i systemet (bara en dröm!) Och naturligtvis krävdes maximal funktionalitet - d.v.s. användning av vissa (registrerade) media på enskilda datorer.
För att göra detta använder vi bara två procedurer (åtgärder):
- Vi raderar från registret information om allt använt (registrerat i registret) minne USB-enheter på valfri lämplig metod (efter din smak).
Det visade sig vara det snabbaste och enklaste för mig att använda ett enkelt verktyg. Sedan tar vi bort filer från systemet %Windows%\inf\Usbstor.pnf och usbstor.inf . - I framtiden, om det behövs, lägg till (registrera) en lagringsenhet, lägg till de angivna filerna till systemet och anslut sedan (återanslut) USB sticka och det är helt fastställt (registrerat) i systemet. Efter registrering i systemet tar vi återigen bort de angivna filerna, vilket återigen blockerar alla försök att fastställa den nya USB-enheten av systemet.
I det fall då rättigheterna i operativsystemet är distribuerade och det "normala" arbetet utförs av en användare med begränsade rättigheter den här metoden blockerar helt möjligheten att ansluta till operativsystemet som inte är registrerat (av systemadministratören) "Flash-enheter".
Att ta bort och lägga till filerna Usbstor.pnf och Usbstor.inf kan göras med .bat-filer som liknar följande:
avlägsnande
del /f /s /q C:\WINDOWS\inf\usbstor.inf C:\WINDOWS\inf\usbstor.PNF
Återställ (förutsatt att filerna finns bredvid bat-filen)
xcopy ".\usbstor.inf" "C:\WINDOWS\inf\"
xcopy ".\usbstor.PNF" "C:\WINDOWS\inf\"
Uppmärksamhet! För Windows 7 och senare måste alla .bat-filer köras som administratör ("Kör som administratör" i snabbmenyn).
Nedan finns andra sätt att begränsa åtkomsten till dessa enheter (jag fungerade inte individuellt).
Datorhantering->Enhetshanteraren->Universal Serial Bus Controllers->(USB Root Hubs) -> "Enhetsapplikation: [Inaktiverad]
Om skrivaren till exempel är ansluten till en hubb kan den lämnas på.
anteckning 1. Enhetshanteraren kan startas från kommandorad starta devmgmt.msc.
anteckning 2. En intressant egenskap hos Enhetshanteraren från konsolen är att utföra två kommandon:
Ställ in devmgr_show_nonpresent_devices=1
starta devmgmt.msc
Då kommer dolda enheter att visas i Enhetshanteraren.
Om USB inte krävs, inaktivera USB-kontroller.
Neka användningen av alla utom ett fåtal utvalda genom "Datorhantering -> Lagringsenheter -> Flyttbar lagring -> Egenskaper -> Säkerhet.
Fel
Det finns några fallgropar här, till exempel ett förbud mot att använda gruppen USER. Men administratören kan vara medlem i gruppen USER.
Detta motsvarar dock att ändra parametern
HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR "Start"
"Start"=dword:00000004 - inaktivera;
"Start"=dword:00000003 - tillåt.
notera. Du kan starta tjänsten från kommandoraden
nätstart "Flyttbart minne"
Vi går till mappen %Windows%\inf (mappen har attributet dolt) , den har två filer - Usbstor.pnf och Usbstor.inf.
Vi nekar åtkomst till dessa filer, förutom för administratörsgruppen eller en specifik användare.
Varför förbjuda USB helt och hållet när du bara kan förbjuda inspelning?
HKLM\SYSTEM\CurrentControlSet\control\StorageDevicePolicies.
WriteProtect-parametern, troligen existerar den inte. Sedan måste den skapas med dword-typen och tilldelas värdet 1.
Och glöm inte att starta om datorn. För att återställa - tilldela värdet 0.
Så steg för steg (naturligtvis måste du ha lokala administratörsrättigheter):
- Win + R (liknande Start -> Kör), regedit.
- . Denna nyckel lagrar information om alla USB-enheter som någonsin anslutits.
- Vi ger oss själva full tillgång till USBSTOR (höger musknapp -> Behörigheter, kontrollera objektet Full kontroll i gruppen ALLA).
- Radera allt innehåll i USBSTOR.
- Vi ansluter den godkända fashka, vi ser till att den är bestämd. En nyckel som Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07 bör dyka upp i USBSTOR (F5 för att uppdatera listan).
- RMB igen på USBSTOR, behörigheter. Vi tar bort Full access från ALL-gruppen, vi lämnar rätten att läsa.
- Samma rättigheter måste tilldelas SYSTEM-användaren, men detta kan inte göras direkt. Först måste du klicka på knappen Avancerat, avmarkera rutan Ärv från överordnat objekt ... i säkerhetsfönstret som visas, säg Kopiera. Efter nästa klick på OK kommer rättigheterna för SYSTEM-användaren att bli tillgängliga för ändring.
- För att fixa effekten, tryck på knappen Avancerat igen och markera objektet Ersätt behörigheter för alla underordnade objekt ... Vi bekräftar exekveringen.
Vad uppnådde vi i slutändan?En tillåten flash-enhet kopplas in och ur utan problem. När du försöker en obehörig Windows-anslutningar kommer att upptäcka enheten, men kommer inte att kunna installera den, svär enligt följande:
Dessutom kommer en ny nyckel att skapas i USBSTOR, som entydigt indikerar ett försök att ansluta en ej godkänd USB-enhet.
USB-portar kan sluta fungera om drivrutinerna har kraschat, BIOS-inställningarna eller kontakterna har fått mekanisk skada. Det andra fallet finns ofta bland ägare av en nyligen köpt eller monterad dator, såväl som för dem som bestämmer sig för att installera en extra USB-port i moderkort eller de som tidigare har återställt BIOS-inställningarna.
BIOS är uppdelat i flera versioner och utvecklare, därför kan gränssnittet skilja sig betydligt i var och en av dem, men funktionaliteten förblir densamma för det mesta.
Alternativ 1: Tilldela BIOS
Detta är den vanligaste utvecklaren av grundläggande I/O-system med standardgränssnitt. Instruktionen för det ser ut så här:
Alternativ 2: Phoenix-Award & AMI BIOS
BIOS-versioner från utvecklare som Phoenix-Award och AMI har liknande funktionalitet, så de kommer att övervägas i en version. Instruktionerna för att ställa in USB-portar i det här fallet ser ut så här:
Alternativ 3: UEFI-gränssnitt
UEFI är mer modern analog BIOS med ett grafiskt gränssnitt och möjlighet att styra med hjälp av en mus, men i allmänhet är deras funktionalitet väldigt lika. Instruktionen under UEFI kommer att se ut så här:
Att ansluta USB-portar kommer inte att vara svårt, oavsett BIOS-versioner. När du har anslutit dem kan du ansluta en USB-mus och ett tangentbord till din dator. Om de var anslutna tidigare, kommer deras arbete att bli mer stabilt.
