Как запретить флешки на 2000
Часто требуется ограничить пути, по которым на компьютер с системой охраны попадают программы, совсем не предназначенные для охраны, и даже мешающие или вредящие работе охранной системы.
Это могут быть самые безобидные игры или самые злостные вирусы. В любом случае их присутствие нежелательно. Самым распространённым способом переноса вирусов и игр является простая USB флешка или любой другой USB накопитель. Для того чтобы ограничить использование в системе любых USB накопителей и оставить возможность подключать USB накопитель, одобренный руководством, воспользуйтесь следующей информацией:
Дано:
- Компьютер операторов производства (OC Windows7)
- Одобренная начальством USB-флешка для переноса данных с промышленных компьютеров на компьютер операторов
Требуется:
Обеспечить подключение только одной, одобренной начальством USB-флешки, запретив при этом подключение других, неодобренных.
Ход решения:
Можно полностью отключить использование USB накопителей воспользовавшись инструкцией, но в нашем случае этот способ не подходит, ибо одна флешка должна все-таки работать. Значит мы поступим по другому:
Итак, по шагам (разумеется, нужно обладать правами локального администратора):
- Win+R (аналог Пуск -> Выполнить), regedit.
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR]. Этот ключ хранит информацию о всех когда-либо подключенных USB-носителях.
- Даем себе полный доступ на USBSTOR (правая клавиша мыши -> Разрешения, отметить пункт Полный доступ у группы ВСЕ).
- Удаляем все содержимое USBSTOR.
- Подключаем одобренную фэшку, убеждаемся в том, что она определилась. Внутри USBSTOR должен появиться ключ типа Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07 (F5 для обновления списка).
- Опять правый клик на USBSTOR, Разрешения. Убираем Полный доступ у группы ВСЕ, право на чтение оставляем.
- Те же самые права нужно назначить пользователю SYSTEM, но напрямую это сделать не получится. Сначала нужно нажать кнопку Дополнительно, убрать галку Наследовать от родительского обьекта…, в появившемся окне Безопасность сказать Копировать. После очередного нажатия на кнопку "ОК" права пользователя SYSTEM станут доступны для изменения.
- Для закрепления эффекта нажимаем кнопку Дополнительно еще раз и отмечаем пункт Заменить разрешения для всех дочерних объектов… Подтверждаем выполнение.
Если вам требуется, чтобы к компьютеру или ноутбуку с Windows 10, 8.1 или Windows 7 никто не мог подключить USB-накопители, вы можете запретить использование флешек, карт памяти и жестких дисков используя встроенные средства системы. Мышки, клавиатуры и другая периферия, не являющаяся хранилищем, продолжит работать.
В этой инструкции о том, как заблокировать использование USB флешек и других съемных накопителей с помощью редактора локальной групповой политики или редактора реестра. Также в разделе с дополнительной информацией о блокировке доступа через USB к устройствам MTP и PTP (камера, Android телефон, плеер). Во всех случаях для выполнения описываемых действий вы должны иметь права администратора в Windows. См. также: Запреты и блокировки в Windows, Как поставить пароль на флешку в BitLocker.
Запрет подключения USB флешек с помощью редактора локальной групповой политики
Первый способ более простой и предполагает использование встроенной утилиты «Редактор локальной групповой политики». Следует учитывать, что эта системная утилита недоступна в Домашней редакции Windows (если у вас такая версия ОС, используйте следующий способ).
Шаги по блокировке использования USB накопителей будут следующими:
- Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter, откроется редактор локальной групповой политики.
- Если требуется запретить использование USB накопителей для всех пользователей компьютера, перейдите к разделу Конфигурация компьютера — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам. Если требуется заблокировать доступ только для текущего пользователя, откройте аналогичный раздел в «Конфигурация пользователя».
- Обратите внимание на пункты «Съемные диски: Запретить выполнение», «Съемные диски: Запретить запись», «Съемные диски: Запретить чтение». Все они отвечают за блокировку доступа к USB-накопителям. При этом запрет чтения запрещает не только просмотр содержимого флешки или копирование с неё, но и остальные операции (на накопитель нельзя будет что-либо записать, запуск программ с него также не будет выполняться).
- Для того, чтобы, например, запретить чтение с USB накопителя, дважды нажмите по параметру «Съемные диски: Запретить чтение», установите значение «Включено» и примените настройки. Выполните то же самое для других требующихся вам пунктов.
На этом процесс будет завершен, а доступ к USB заблокирован. Перезагрузка компьютера не требуется, однако, если на момент включения ограничений накопитель уже был подключен, изменения для него вступят в силу только после отключения и повторного подключения.
Как заблокировать использование USB флешки и других съемных накопителей с помощью редактора реестра
Если на вашем компьютере отсутствует редактор локальной групповой политики, ту же блокировку можно выполнить и с помощью редактора реестра:
- Нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter.
- В редакторе реестра перейдите к одному из разделов: первый — для запрета использования USB накопителей для всех пользователей. Второй — только для текущего пользователя
- Создайте подраздел RemovableStorageDevices, а в нем — подраздел с именем
- В этом подразделе создайте нужные параметры DWORD32 (даже для Windows x64) — с именем Deny_Read для запрета чтения и других операций, Deny_Execute — для запрета выполнения, Deny_Write — для запрета записи на USB накопитель.
- Установите значение 1 для созданных параметров.
Запрет использования USB флешек и других съемных накопителей вступит в силу сразу после внесения изменения (если на момент блокировки накопитель уже был подключен к компьютеру или ноутбуку, он будет доступен до отключения и повторного подключения).
Дополнительная информация
Некоторые дополнительные нюансы блокировки доступа к USB накопителям, которые могут оказаться полезными:
- Описанные выше способы работают для съемных USB флешек и дисков, однако не работают для устройств, подключенных по протоколу MTP и PTP (например, хранилище Android телефона продолжит быть доступным). Для отключения доступа по этим протоколам, в редакторе локальной групповой политики в том же разделе используйте параметры «WPD-устройства» для запрета чтения и записи. В редакторе реестра это будет выглядеть как подразделы , и в политиках RemovableStorageDevices (как описывалось выше) с параметрами Deny_Read и/или Deny_Write.
- Для того, чтобы в дальнейшем вновь включить возможность использования USB накопителей, просто удалите созданные параметры из реестра или установите «Выключено» в измененных ранее политиках доступа к съемным запоминающим устройствам.
- Еще один способ блокировки USB накопителей — отключение соответствующей службы: в разделе реестраизмените значение Start на 4 и перезагрузите компьютер. При использовании этого способа подключенные флешки даже не будут появляться в проводнике.
Помимо встроенных средств системы, есть сторонние программы для блокировки подключения различного рода USB устройств к компьютеру, в том числе и продвинутые инструменты наподобие USB-Lock-RP.
Смартфоны, флешки, SD-карты и даже фотоаппараты. Эти устройства объединяет то, что их можно легко подключить к компьютеру и скопировать на них конфиденциальную информацию. Они компактны, подключаются обычным USB шнурком. Если фотоаппараты и флешки надо специально с собой брать, то смартфон обычно всегда с собой.
В данной статье мы будем говорить о способах заблокировать несанкционированное подключение таких съемных носителей информации, а значит и о том, как защитить вашу конфиденциальную информацию.
Рассмотрим следующие способы контроля устройств:
Если брать полный список способов, через которые может быть похищена коммерческая тайна предприятия, то это:
- облачные хранилища, электронная почта, соц сети и мессенджеры
- подключаемые носители информации (в том числе USB накопители, телефоны, DVD-ROM)
- печать документов на принтер
- физическая кража оборудования (стационарных дисков компьютера или его целиком)
Каждому из данных каналов утечки конфиденциальной информации мы посвятим отдельную статью.
Итак, подключаемые носители информации.
Традиционно, есть два подхода к решению вопроса:
- можно блокировать использование сотрудниками не нужных для работы устройств и носителей информации. Это сокращает количество вариантов как унести с рабочего компьютера информацию, а в большинстве случаев, заставляет работника и вовсе отказаться от этой идеи.
- если использование внешних накопителей необходимо для работы сотрудника, то нужно контролировать все, что он копирует и своевременно обнаруживать потенциальные утечки информации.
Вариант с блокировкой менее трудозатратный, однако, применяемые средства не должны причинять вред производственному процессу, то есть, не тормозить работу компьютера и сети, не нарушать движение информации в компании, сохранять работоспособность мышки, клавиатуры, сканеров и принтеров, веб-камеры.
Дополнительные задачи, которые при этом появляются:
- как разрешать подключать определенные накопители, а остальные блокировать (например, чтобы обычные сотрудники не могли использовать флешки на компьютере, а сотрудника IT отдела мог подключить свою флешку к любому компьютеру)
- или определённые устройства не блокировать, а ограничивать доступ к файлам на них. Например: сделать флешку доступной в режиме “только для чтения”.
В таблице приведены основные способы решения задачи с оценкой положительных и отрицательных сторон.
Теперь разберем способы подробнее:
Ограничение доступа к USB портам
Отключить устройства (в том числе USB-порты) физически на компьютерах.
Плюсы:
Минусы:
- произойдет полное отключение портов, что не даст использовать нужные для работы USB устройства (веб камеру, например или USB принтер).
- если отключать порты физически, то придется разбирать системный блок.
Отключить через настройки BIOS или системы. В том числе:
- Отключение USB портов через настройки BIOS
- Включение и отключение USB-накопителей с помощью редактора реестра
- Отключение USB портов в диспетчере устройств
Отключение USB портов через настройки BIOS
Сработает надежно, но это самый неудобный из программных способов. Кроме того, он отключит в том числе и нужные для работы USB устройства. Подойдет если компьютеров всего пара штук, менять настройки не потребуется и USB устройства никогда не потребуются.
Технически делается так: зайти в BIOS, отключить все пункты, связанные с контроллером USB (например, USB Controller или Legacy USB Support), сохранить изменения.
Отключение USB накопителей через редактор реестра.
Удобнее предыдущего способа тем, что можно отключить USB накопители, но при этом оставить включенными принтеры, сканеры, мышки и т.д.
Минусы:
- срабатывает не всегда (при подключении новой флешки для нее будет переустановлен драйвер и блокировка не сработает).
- Пользователь с правами администратора легко включит устройство обратно
- Нельзя адресно разрешить подключение определенных носителей.
Техническая реализация способа:
- Зайти в редактор реестра (regedit.exe)
- В нем перейти на ветку HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ USBSTOR
- Для ключа реестра «Start» задайте значение «4», чтобы заблокировать доступ к USB накопителям. Чтобы разрешить обратно, измените значение снова на «3».
Отключение USB портов в диспетчере устройств
Также, срабатывает не всегда. Может не примениться для новых подключенных устройств. Пользователь с правами администратора легко включит обратно.
Минусы:
- блокировка порта не сработает на новое подключенное устройство, т.е придется постоянно за этим следить, заходить с правами администратора в систему и отключать устройство в Диспетчере;
- пользователь с правами администратора может обратно включить устройства;
- нет возможности задания прав на устройство, только отключение.
- подойдет только для администрирования пары компьютеров, т.к. нет автоматизации;
Запрет доступа к съемным носителям через групповую политику (Active Directory)
Это решение поможет ограничить пользователю возможность использования флешек, при этом не задев полезных USB-устройств.
Плюсы:
- можно запретить разом подключение всех флешек;
- гибкая настройка подключенных устройств к портам: оставить только чтение флешек, возможность редактировать и т.д.
- обеспечивает возможность централизованного администрирования и управления ресурсами системы;
- централизованное управление правами доступа к информации на основе функциональных групп и уровней доступа.
Минусы:
- потребуется помощь специалиста или администратора для настройки, который не всегда есть в штате компании;
- не во всех компаниях применяется Active Directory;
- не получится блокировать-разрешать конкретные usb накопители по серийным номерам.
Ограничение доступа к USB накопителям средствами антивирусов
Этот метод подходит не для всех антивирусных программ (не все имеют такие функции).
Плюсы:
- В корпоративных версиях антивирусов такая возможность может уже быть в комплекте;
- Как правило есть дистанционное централизованное управление
Минусы:
- в маленьких компаниях редко используют дорогие корпоративные версии антивирусов;
- не во всех антивирусах есть возможность ограничения устройств (смотрите в настройках используемого у вас решения);
- требуется привлечение ИТ-специалиста;
- вы будете привязаны к определенной антивирусной программе и будет не так просто ее сменить, если в этом возникнет необходимость. А лицензию на антивирус надо продлять каждый год.
Кроме того, не во всех антивирусах можно реализовать метод, когда надо не просто отключить устройство, а заблокировать определенные устройства по серийным номерам. Либо, когда не надо отключать, например, флешку, а оставить ее в режиме “только для чтения”.
Также, ни один из перечисленных способов не решает задачу, когда нельзя отключать устройства (нужны для работы), но необходимо знать, что на них копируется, чтобы не допустить утечки важной корпоративной информации.
Использование специальных программ для блокировки флешек
Применение этих программ разнообразно: от контроля устройств, до контроля за всеми манипуляциями с компьютером.
Плюсы:
- Гибкая настройка блокировки устройств (как всех накопителей, так и адресная блокировка),
- Разграничение доступа к файлам на устройстве (режим «только чтение»).
- Контроль файлов, копируемых на устройства.
Минусы:
- Требуется приобретение лицензии для работы программы
Пример специализированной программы - LanAgent.
LanAgent – это программа для контроля и блокировки внешних накопителей (в том числе, флешек, телефонов, карт-ридеров и т.д.). В ней настройка правил работы с устройствами происходит дистанционно и централизованно.
Для контроля подключаемых устройств она:
- Мониторит подключения и отключения носителей информации;li>
- Производит теневое копирование файлов, копируемых на USB-носители или редактируемых в них;
- Блокирует подключения USB-носителей, CD/DVD ROM;
- Можно настроить список разрешенных USB накопителей. С ними на компьютере можно будет работать, а остальные будут блокироваться
- Позволяет применять различные режимы работы с usb флешками: заблокировать, разрешить только чтение, полный доступ.
Из дополнительных возможностей LanAgent:
Ниже приведены два реальных случая использования программы LanAgent для контроля подключаемых устройств.
В юридической организации использовался ряд флешек, которые надо было занести в реестр, чтобы они получили полный доступ к функциям, а остальным флешкам запретить возможность подключаться к компьютеру, т.е. чтобы пользователь не мог “видеть” и иметь возможности переносить данные. Вопрос был решён функционалом программы LanAgent.
В проектно - строительной компании нельзя было без нарушения бизнес-процесса блокировать внешние устройства, но, с целью предотвращения утечки проектной информации, нужно было сообщать о копировании большого количества файлов. Системный администратор получил уведомление от программы LanAgent о нетипичном поведении одного из сотрудников и проверив, что именно копируется с его компьютера обнаружил попытку унести чертежи, сметы и другую ДСП документацию за последние 3 года. Как выяснилось, сотрудник готовился к увольнению и решил прихватить с собой наработки компании.
Таким образом была предотвращена утечка важной для компании информации.
Оглавление
Итак, необходимо программно запретить использование флешек, при этом не задев полезных USB устройств. Вариантов решения несколько, давайте рассмотрим их по подробнее:
Отключить USB Windows 7, 8, Vista
Отключить USB Windows XP
on-USB.bat
off-USB.bat
Запрет USB через групповые политики Windows server 2003
По умолчанию Групповые Политики в Windows server 2003 не предоставляют возможности простого способа отключения устройств использования сменных носителей, таких как порты USB, дисководы CD-ROM, Floppy дисководы. Не смотря на это, Групповые Политики могут быть расширены для использования соответствующих настроек посредством ADM шаблона.
ADM шаблон представленный ниже позволит администратору отключить соответствующее устройство. Импортируйте этот административный шаблон в Групповые Политики как .adm файл.
В C:\WINDOWS\inf создаем файл nodev.adm с содержимым:
Детальная информация на оф.сайте
Запрет USB через групповые политики Windows server 2008
Готовая групповая политика запрета накопителей, появилась в серверных ОС, начиная с Windows server 2008, настроить их на контроллере можно через оснастку gpmc.msc, располагаются по тому же пути (Policy > Computer configuration > Policies > Administrative Templates > System > Removable storage access). Работает она безотказно, но применятся только на операционные системы Windows Vista, 7 и 8.
Несколько сложнее, обстоят дела с Windows XP, несмотря на заявления Microsoft о прекращении поддержки XP весной 2014 , она по-прежнему занимает не малую часть операционных систем, используемых в корпоративном секторе. Не беда, настроим как и локальную, но только через ГПО. Запускаем gpmc.msc, создаем объект групповой политики и начинаем его редактировать.
Читайте также: