Ограничение доступа к USB портам
Рассмотрим 7 способов, с помощью которых можно заблокировать USB порты:
2. Включение и отключение USB-накопителей с помощью редактора реестра
Если отключение через БИОС вам не подходит, можете закрыть доступ непосредственно в самой ОС Windows с помощью реестра.
Нажмите кнопку «ОК», закройте редактор реестра и перезагрузите компьютер.
! Вышеописанный способ работает только при установленном драйвере USB контроллера. Если по соображениям безопасности драйвер не был установлен, значение параметра «Start» может быть автоматически сброшено на значение «3», когда пользователь подключит накопитель USB и Windows установит драйвер.
4. Удаление драйверов контроллера USB
Как вариант для отключения портов можно просто деинсталлировать драйвер USB контроллера. Но недостатком этого способа является то, что при подключении пользователем USB-накопителя, Windows будет проверять наличие драйверов и при их отсутствии предложит установить драйвер. Это в свою очередь откроет доступ к USB-устройству.
Еще один способ запрета доступа к USB-накопителям – это использование Microsoft Fix It 50061 (http://support.microsoft.com/kb/823732/ru — ссылка может открываться около митуты). Суть это способа заключается в том, что рассматриваются 2 условия решения задачи:
В рамках данной статьи не будем детально рассматривать этот метод, тем более, что вы можете подробно его изучить на сайте Microsoft, используя ссылку приведенную выше.
Еще следует учесть, что данный способ подходит не для всех версий ОС Windows.
Существует много программ для установки запрета доступа к USB портам. Рассмотрим одну из них — программу USB Drive Disabler.
Программа обладает простым набором настроек, которые позволяют запрещать/разрешать доступ к определенным накопителям. Также USB Drive Disabler позволяет настраивать оповещения и уровни доступа.
7. Отключение USB от материнской платы
Хотя физическое отключение USB портов на материнской плате является практически невыполнимой задачей, можно отключить порты, находящиеся на передней или верхней части корпуса компьютера, отсоединив кабель, идущий к материнской плате. Этот способ полностью не закроет доступ к USB портам, но уменьшит вероятность использования накопителей неопытными пользователями и теми, кто просто поленится подключать устройства к задней части системного блока.
! Дополнение
Ограничение доступа к USB портам
Рассмотрим 7 способов, с помощью которых можно заблокировать USB порты:
- Отключение USB через настройки БИОС
- Изменение параметров реестра для USB-устройств
- Отключение USB портов в диспетчере устройств
- Деинсталляция драйверов контроллера USB
- Использование Microsoft Fix It 50061
- Использование дополнительных программ
- Физическое отключение USB портов
1. Отключение USB портов через настройки BIOS
- Войдите в настройки BIOS.
- Отключите все пункты, связанные с контроллером USB (например, USB Controller или Legacy USB Support).
- После того как вы сделали эти изменения, нужно сохранить настройки и выйти из БИОС. Обычно это делается с помощью клавиши F10.
- Перезагрузите компьютер и убедитесь, что USB порты отключены.
2. Включение и отключение USB-накопителей с помощью редактора реестра
Если отключение через БИОС вам не подходит, можете закрыть доступ непосредственно в самой ОС Windows с помощью реестра.
- Откройте меню Пуск -> Выполнить, введите команду «regedit» и нажмите ОК, чтобы открыть редактор реестра.
- Перейдите к следующему разделу
- В правой части окна найдите пункт «Start» и два раза щелкните по нему, чтобы отредактировать. Введите значение «4» для блокировки доступа к USB-накопителям. Соответственно если вы введете опять значение «3», доступ будет вновь открыт.
Нажмите кнопку «ОК», закройте редактор реестра и перезагрузите компьютер.
! Вышеописанный способ работает только при установленном драйвере USB контроллера. Если по соображениям безопасности драйвер не был установлен, значение параметра «Start» может быть автоматически сброшено на значение «3», когда пользователь подключит накопитель USB и Windows установит драйвер.
3. Отключение USB портов в диспетчере устройств
- Нажмите правой кнопкой мыши на значке «Компьютер» и выберете в контекстном меню пункт «Свойства». Откроется окно в левой части которого нужно нажать на ссылку «Диспетчер устройств».
- В дереве диспетчера устройств найдите пункт «Контроллеры USB» и откройте его.
- Отключите контроллеры путем нажатия правой кнопки мыши и выбора пункта меню «Отключить».
4. Удаление драйверов контроллера USB
Как вариант для отключения портов можно просто деинсталлировать драйвер USB контроллера. Но недостатком этого способа является то, что при подключении пользователем USB-накопителя, Windows будет проверять наличие драйверов и при их отсутствии предложит установить драйвер. Это в свою очередь откроет доступ к USB-устройству.
Еще один способ запрета доступа к USB-накопителям – это использование Microsoft Fix It 50061 (http://support.microsoft.com/kb/823732/ru — ссылка может открываться около митуты). Суть это способа заключается в том, что рассматриваются 2 условия решения задачи:
- USB-накопитель еще не был установлен на компьютер
- USB-устройство уже подключено к компьютеру
В рамках данной статьи не будем детально рассматривать этот метод, тем более, что вы можете подробно его изучить на сайте Microsoft, используя ссылку приведенную выше.
Еще следует учесть, что данный способ подходит не для всех версий ОС Windows.
Существует много программ для установки запрета доступа к USB портам. Рассмотрим одну из них — программу USB Drive Disabler.
Программа обладает простым набором настроек, которые позволяют запрещать/разрешать доступ к определенным накопителям. Также USB Drive Disabler позволяет настраивать оповещения и уровни доступа.
7. Отключение USB от материнской платы
Хотя физическое отключение USB портов на материнской плате является практически невыполнимой задачей, можно отключить порты, находящиеся на передней или верхней части корпуса компьютера, отсоединив кабель, идущий к материнской плате. Этот способ полностью не закроет доступ к USB портам, но уменьшит вероятность использования накопителей неопытными пользователями и теми, кто просто поленится подключать устройства к задней части системного блока.
!Дополнение
Запрет USB через групповые политики Windows server 2008
Готовая групповая политика запрета накопителей, появилась в серверных ОС, начиная с Windows server 2008, настроить их на контроллере можно через оснастку gpmc.msc, располагаются по тому же пути (Policy > Computer configuration > Policies > Administrative Templates > System > Removable storage access). Работает она безотказно, но применятся только на операционные системы Windows Vista, 7 и 8.
Несколько сложнее, обстоят дела с Windows XP, несмотря на заявления Microsoft о прекращении поддержки XP весной 2014 , она по-прежнему занимает не малую часть операционных систем, используемых в корпоративном секторе. Не беда, настроим как и локальную, но только через ГПО. Запускаем gpmc.msc, создаем объект групповой политики и начинаем его редактировать.
- Реестр Computer Configuration > Preferences >Windows Settings > Registry — создать «Элемент реестра» (HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR) значение Start установить 4.
- Права к файлам драйвера USB накопителей. Computer Configuration > Policies > Windows Settings > Security Settings > File System — добавить файлы %SystemRoot%InfUsbstor.pnf и%SystemRoot%InfUsbstor.inf, выставить запрет для группы SYSTEM или Users.
Гибкое управление доступом к USB накопителям через реестр и GPO
Более гибко управлять доступом к внешним устройствам можно с помощью настройки параметров реестра, которые задаются рассмотренными выше политиками через механизм Group Policy Preferences (GPP). Всем указанным выше политикам соответствуют определенные ключи реестра в ветке HKLM (или HKCU) \SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices (по умолчанию этого раздела в реестре нет).
Чтобы включить ту или иную политику нужно создать в указанном ключе новую ветку с именем класса устройств, доступ к которым нужно заблокировать (столбец 2) и параметром REG_DWORD с типом ограничения Deny_Read (запрет чтения), Deny_Write (запрет записи) или Deny_Execute (запрет выполнения).
Если значение параметра равно 1— ограничение активно, если 0 – запрет использования данного класса устройств не действует.
Имя политики | Подветка с именем Device Class GUID | Имя параметра реестра |
Floppy Drives:Deny read access | Deny_Read | |
Floppy Drives:Deny write access | Deny_Write | |
CD and DVD:Deny read access | Deny_Read | |
CD and DVD:Deny write access | Deny_Write | |
Removable Disks:Deny read access | Deny_Read | |
Removable Disks:Deny write access | Deny_Write | |
Tape Drives:Deny read access | Deny_Read | |
Tape Drives:Deny write access | Deny_Write | |
WPD Devices:Deny read access | Deny_Read | |
WPD Devices:Deny write access | Deny_Write |
Указанные ключи реестра и параметры можно создать вручную. На скриншоте ниже я создал ключ RemovableStorageDevices, а в нем подраздел с именем . С помощью REG_DWORD параметров я запретил запись и запуск исполняемых файлов с USB накопителей.
Как обойти запрет на запуск флешки?
Одним из препятствий для использования флешки может быть отключение админом портов USB на вашем компьютере. Запретить использование флешек можно разными способами, поэтому и методы противодействия требуются разные.
Запрет флешки как обойти?
- Порты физически отключены
- Порты отключены в BIOS/UEFI
- Удалены драйверы контроллера USB
- Заблокированы отдельные устройства USB
- USB-накопители запрещены через групповую политику
- Ограничены права на чтение файлов
- Программы для контроля подключений по USB
Порты физически отключены
Такое возможно только с дополнительными портами, которые подключаются кабелем к материнской плате. Задние порты распаяны на самой материнке, и их минимум две штуки. Поэтому принесите из дома копеечный хаб, воткните его вместо мышки или клавиатуры и подключайте всю штатную периферию через него. Второй порт оставьте для загрузочной флешки.
Порты отключены в BIOS/UEFI
Админ может отключить как порты вообще (редкий случай), так и отдельную опцию USB Boot. Именно она отвечает за возможность загрузки с USB-носителей. Как входить в настройки BIOS, мы уже разобрали, а отыскать нужную опцию не составит труда.
Удалены драйверы контроллера USB
Хитрые админы просто сносят драйверы USB через диспетчер устройств, но вас это не остановит. Загрузиться с флешки отсутствие драйверов не помешает. Став локальным дмином, вы легко доустановите отсутствующие драйверы — Windows сама предложит это сделать.
Заблокированы отдельные устройства USB
Более тонкий метод — запрет использования именно USB-накопителей. При этом другие типы устройств с интерфейсом USB продолжают работать. Задается ограничение через ветку реестра:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ USBSTOR
При значении параметра Start 0x00000004 использование флешек и внешних дисков запрещено, а при 0x00000003 — разрешено. Бороться с этим можно тем же методом, что и в предыдущем пункте: загружаемся с флешки и меняем секцию USBSTOR через офлайновый редактор реестра.
USB-накопители запрещены через групповую политику
Редактор групповых политик позволяет задать административный шаблон, запрещающий доступ к съемным запоминающим устройствам. Вновь загружаемся с флешки, узнаем пароль локального админа (или сбрасываем, если не удалось узнать), попутно активируем учетку, если она была отключена. После этого запускаем gpedit.msc и отключаем запрет USB.
Ограничены права на чтение файлов
Ограничены права на чтение файлов usbstor.inf и usbstor.pnf в каталоге \Windows\Inf
Очередной трюк с правами NTFS. Если невозможно обратиться к этим файлам в ограниченной учетной записи, то не будут подключаться флешки. Используем права локального админа либо просто перемещаем эти файлы через WinPE на том FAT32. После обратного перемещения в \inf\ права доступа слетят.
Программы для контроля подключений по USB
Подключение устройств по USB контролируется отдельной программой. В помощь админам было написано множество утилит для ограничения использования флешек и внешних дисков. Большинство таких программ просто меняет значение упомянутой выше ветки реестра, но есть и продвинутые варианты. Такие умеют запоминать разрешенные флешки по номеру тома (VSN — Volume Serial Number) и блокировать остальные. Можно просто выгрузить процессы этих программ из памяти или подменить VSN. Это 32-битное значение, которое присваивается тому при его форматировании по значению текущей даты и времени.
Узнать VSN доверенной флешки можно командой vol или dir. С помощью программы Volume Serial Number Changer присваиваете такой же номер своей флешке и свободно ей пользуетесь. Для надежности замените еще и метку тома (просто через свойства диска).
Неожиданное препятствие для использования флешек возникает на компах с посредственным блоком питания (читай — на большинстве дешевых рабочих машин) безо всяких стараний админа. Дело в том, что шина 5 В просаживается настолько, что флешке не хватает питания. В таком случае отключите другое устройство из соседнего (парного) USB-порта или используйте активный хаб с собственным блоком питания. Через него можно запитать хоть внешний винчестер.
Дополнительная информация
Некоторые дополнительные нюансы блокировки доступа к USB накопителям, которые могут оказаться полезными:
- Описанные выше способы работают для съемных USB флешек и дисков, однако не работают для устройств, подключенных по протоколу MTP и PTP (например, хранилище Andro >Помимо встроенных средств системы, есть сторонние программы для блокировки подключения различного рода USB устройств к компьютеру, в том числе и продвинутые инструменты наподобие USB-Lock-RP.
А вдруг и это будет интересно:
Почему бы не подписаться?
Примечание: после отправки комментария он не появляется на странице сразу. Всё в порядке — ваше сообщение получено. Ответы на комментарии и их публикация выполняются ежедневно днём, иногда чаще. Возвращайтесь.
В настоящее время большинство системных администраторов блокируют USB порты на компьютерах, это делается в целях безопасности, да и неплохая защита от вирусов. В первую очередь отключают порты на лицевой крышке, путем отсоединения шлейфа от материнской платы, затем блокируют изменением определенного ключа в реестре,так-же меняют групповые политики, и напоследок отключают в BIOS. В данном посте приведены самые распространённые методы блокировки USB портов. Пример включения буду приводить на Windows 7, на XP все идентично. Первым делом узнаем как отключены usb порты, а для этого делаем по инструкции ниже:
Внимание! Требуются права Администратора. 1
Вставьте рабочую флешку в USB разъем (на компьютере вставляем сзади, на случай отключения портов на передней крышке)
1. Вставьте рабочую флешку в USB разъем (на компьютере вставляем сзади, на случай отключения портов на передней крышке)
2. Откройте Компьютер .
3. В открывшемся окне Компьютер смотрим как отображается наша флешка, если нет тогда делаем по Варианту 2 . Если флешка отображается тогда пробуем ее открыть.
При возникновении ошибки Отказано в доступе делаем по варианту 1 .
Вариант 1:
В окне Выполнить (клавиши WIN+R) открыть редактор групповых политик gpedit.msc
Откроется окно редактора групповых политик, в котором необходимо открыть раздел Политика “Локальный компьютер” –> Конфигурация компьютера –>Административные шаблоны –>Система –> Доступ к съемным запоминающим устройствам.
В правой колонке обращаем внимание на Состояние Включена (на примере включена политика Съемные диски: Запретить чтение), двойным нажатием кликаем по включённой политике
В открывшемся окне Отключаем или ставим на Не задано .
Вариант 2:
1) Делаем следующие: нажимаем правой кнопкой мыши на Компьютер , в открывшемся окне нажимаем С войства .
2) В запущенном окне нажимаем на Диспетчер устройств .
3) В запустившемся Диспетчер устройств кликаем на вкладку Контроллеры USB .
4) Тут мы применим заготовленную флешку, вставляем ее в рабочий USB порт. Если порты отключены в реестре произойдет следующее:
Теперь включаем USB порты, для этого открываем редактор реестра ( «Пуск»->»Все программы»->»Стандартные»->»Выполнить» или сочетанием клавиш Windows+R )в запустившемся окне вводим regedit и нажимаем ОК .
Теперь двигаемся по ветке HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesUSBSTOR напротив значения Start мы должны увидеть значение 4.
Затем двойным нажатием по Start меняем значение на 3 и жмем ОК . 3 включить USB 4 отключить USB
На самом деле способов довольно много. Каждый из них имеет свои преимущества, а некоторые и вовсе не заменимы.
В первую очередь администраторам. А также в случае если компьютер используется несколькими пользователями.
Для безопасности, для конфиденциальности, для ограничения возможностей других пользователей.
Мой материал, как обычно, делится на две части: системные средства и сторонние программы (плюс небольшие вкрапления моего личного мнения).
Также рекомендую почитать предыдущую мою статью, близкую по теме: «Как запретить запуск программы в Windows»
Как заблокировать USB флешку на Windows 10?
USB флешки, как и другие ПК-устройства, могут хранить важную информацию, которую необходимо защитить от несанкционированного доступа. Ниже описаны несколько способов, которые помогут вам заблокировать USB флешку на Windows 10.
Способ 1. Отключение устройства в «Услуги»
Вы можете лишить доступ к USB-шинам через управление сервисами Windows. Перейдите в «Услуги» через Пуск и остановите все службы, отвечающие за управление USB-устройствами.
Способ 2. Использование дополнительных программ
Вы можете установить специальное программное обеспечение, которое позволит вам защитить свою информацию от несанкционированного использования. Некоторые из них могут даже не позволять любое USB-устройство работать на вашем компьютере.
Способ 3. Блокирование устройства через реестр
С помощью изменения реестра вы можете отключить USB-устройства для всех пользователей на компьютере. Однако будьте осторожны при работе с этим способом, так как неверные изменения реестра могут повредить систему.
В любом случае, прежде чем блокировать USB флешку на Windows 10, убедитесь, что это не навредит вашей работе или работе других пользователей на компьютере. Лучше всего, если вы уверены, что никто не может иметь доступ к вашему компьютеру без вашего разрешения.
Дополнительная информация
Некоторые дополнительные нюансы блокировки доступа к USB накопителям, которые могут оказаться полезными:
- Описанные выше способы работают для съемных USB флешек и дисков, однако не работают для устройств, подключенных по протоколу MTP и PTP (например, хранилище Andro >Помимо встроенных средств системы, есть сторонние программы для блокировки подключения различного рода USB устройств к компьютеру, в том числе и продвинутые инструменты наподобие USB-Lock-RP.
А вдруг и это будет интересно:
Почему бы не подписаться?
Примечание: после отправки комментария он не появляется на странице сразу. Всё в порядке — ваше сообщение получено. Ответы на комментарии и их публикация выполняются ежедневно днём, иногда чаще. Возвращайтесь.
На самом деле способов довольно много. Каждый из них имеет свои преимущества, а некоторые и вовсе не заменимы.
В первую очередь администраторам. А также в случае если компьютер используется несколькими пользователями.
Для безопасности, для конфиденциальности, для ограничения возможностей других пользователей.
Мой материал, как обычно, делится на две части: системные средства и сторонние программы (плюс небольшие вкрапления моего личного мнения).
Также рекомендую почитать предыдущую мою статью, близкую по теме: «Как запретить запуск программы в Windows»
Использование
Устанавливать Media Transfer Protocol нужно в том случае, если при попытке передачи данных на или из портативного устройства вы сталкиваетесь с проблемами. Также данный драйвер необходим для работы некоторых менеджеров Android девайсов. Что правда, в случае с менеджерами, Media Transfer Protocol зачастую устанавливается в комплекте с самой программой, так что отдельная загрузка драйвера также не не требуется. Ну и третий «кейс» использования Media Transfer Protocol — это работа с различными «прошивальщиками» (программами, предназначенными для установки новых «прошивок» на устройства из ROM-файла). Вот они, чаще всего, не устанавливают «сопутствующее» драйвера самостоятельно. Так что тут пользователю приходится скачивать и выполнять установку драйвера MPT «вручную».
Основные методы
Следует сразу отметить, что все перечисленное обратимо. Т. е. вы можете в любой момент вернуть параметры и политики в исходное состояние, тем самым сняв ограничение запрета флешек и других съемных носителей. При этом для неопытных пользователей убрать установленный запрет будет тяжело.
Локальная групповая политика
Данный вариант считается предпочтительным, т. к. он куда более безопасен, чем работа с реестром, и не требует серьезных временных затрат. Вдобавок, этот способ проще в освоении, что полезно для новичков. Однако у него есть существенный недостаток: редактор недоступен при наличии редакции Home.
Если вы не знаете, какая у вас редакция, то просто зайдите в параметры ОС (можно открыть, одновременно зажав клавиши Win и I) в самый первый раздел. Во вкладке «О системе» можно увидеть основную информацию. Редакция указана в строке «Выпуск»:
Итак, перейдем к самому способу. Для начала нужно открыть утилиту, отвечающую за политики. Делается это в несколько простых шагов:
- Следует зажать клавиши Win и R.
- В единственную строку необходимо написать «gpedit.msc».
- Далее остается лишь кликнуть по кнопке «OK» или нажать на Enter.
Дальнейшие действия зависят от того, хотите ли вы заблокировать доступ всем пользователям или только текущему. В первом случае перейдите в раздел, именуемый «Конфигурация компьютера». Во втором нужно напротив выбрать пользователя. Последующий путь одинаковый:
В правой части окна потребуется найти следующие политики:
Их можно активировать. Для этого дважды нажмите на пункт ЛКМ. Откроется большое окно, в верхнем левом углу которого нужно поставить «Включено».
После этого обязательно нажмите на «OK», чтобы сохранить изменения.
Важно также отметить, что достаточно будет включить одну из политик по своему усмотрению. Например, та, что отвечает за чтение, ответственна и за другие действия: она не позволяет открывать приложения с накопителей
Увидеть изменения можно без перезагрузки ПК. Несмотря на это, если съемный накопитель уже подключен, то ограничения на него действовать не будут: нужно подключить его повторно, чтобы проверить результат.
Реестр
Такой вариант подходит для любых редакций, но он сложнее. Категорически не рекомендуется изменять и удалять какие-либо параметры/разделы, если этого не указано в инструкции! В противном случае операционная система может работать некорректно. Заключается процедура в следующем:
- Следует открыть редактор. Для экономии времени рекомендуется просто ввести название утилиты в поиск на панели задач.
- Как и в предыдущем случае, нужно определиться, хотите вы ограничить использование для одного конкретного аккаунта (тот, что активен на данный момент) или всех. Первый подчеркнутый раздел – для этой учетной записи, а второй – для всех пользователей.
- Далее путь будет идентичным:
- Нужно создать папку. Для этого кликните по свободному пространству ПКМ и в контекстном меню выберите «Раздел». Назвать его нужно следующим образом:
- Потом понадобится еще одна папка. В этот раз она будет называться «{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}» (без кавычек).
- В указанном подразделе остается лишь создать и включить параметры. Фактически, это будут все те же политики, о которых упоминалось ранее. Нажмите ПКМ и в меню выберите DWORD (независимо от битности вашей системы). Назовите все параметры, как указано на изображении ниже, и в строке «Значение» поставьте 1.
Аналогично предыдущему методу, перезагрузка не потребуется: изменения вступят в силу сразу же.