Как осуществить запрет флешек в ОС Windows?
На самом деле способов довольно много. Каждый из них имеет свои преимущества, а некоторые и вовсе не заменимы.
Кому это нужно?
В первую очередь администраторам. А также в случае если компьютер используется несколькими пользователями.
Зачем это нужно?
Для безопасности, для конфиденциальности, для ограничения возможностей других пользователей.
Мой материал, как обычно, делится на две части: системные средства и сторонние программы (плюс небольшие вкрапления моего личного мнения).
Также рекомендую почитать предыдущую мою статью, близкую по теме: «Как запретить запуск программы в Windows»
Запрет флешек
Непосредственно в ОС Windows эту задачу можно выполнить с помощью Редактора групповых политик (GPO) и реестра. Кроме этого, можно выключить сами порты в BIOS. К этому всему еще в плюс внешнее программное обеспечение, о котором я расскажу в конце.
Неэффективные способы запрета флешек
Дабы потом не останавливаться на этом, сразу укажу несколько способов, которые явно неэффективны, хотя информации в сети о них полно.
- Физическое отключение портов. Это, конечно, классно, но есть же и другие порты, и переходники к ним. К тому же, почему-то все забывают о мышке, клавиатуре, колонках и т.п.
- Удаление драйверов на USB – от этого эффекта ноль. Система сама предложит их установить, или из сети, или с самого накопителя.
- Запрет флешек в редакторе групповых политик (просто запрещать каждое новое устройство по ID). Лучше запретить все, а нужные разрешить, как именно я покажу ниже.
Я, пожалуй, начну с Редактора групповых политик, так как считаю этот способ наиболее удобным и эффективным среди остальных системных.
Кстати, я также рекомендую отключить автозапуск флешки и других USB-носителей. Это частично решит проблему автоустановки вирусов.
Запрет флешек в Редакторе групповых политик
Нам нужно перейти в GPO. Открываете командную строку (вводите в поиске «cmd», кликаете правой кнопкой мыши, запускаете от имени администратора).
В командной строке вводите gpedit.msc и нажимаете Enter.
Откроется окно GPO. Теперь перейдем в раздел, где настраиваются нужные нам политики – «Доступ к съемным запоминающим устройствам». Нажмите на него – справа появятся существующие политики.
В данном случае нас интересуют политики касающееся съемных носителей. Однако здесь можно настроить работу с дисками (компакт, DVD, гибкими), ленточными накопителями и другими устройствами.
Также, очень удобно, это возможность выбрать, что именно необходимо запретить. Например, в целях сохранения информации, можно запретить запись.
Для этого нажмите на соответствующую политику правой кнопкой мыши и выберите «Изменить».
Теперь выберите команду «Включить» и нажмите «Применить».
При попытке скопировать любой файл на съемный диск, пользователь не сможет этого сделать (если он не состоит в группе «Администраторы»). Он увидит это сообщение.
По такому же принципу применяются и другие функции (чтение, запуск).
Здесь же есть и политика отключающая все классы устройств. Она так и называется.
Доступ только определенных устройств
Способ выше – наиболее простой. Однако, если у Вас есть лишь несколько носителей, которые используются в работе с ПК, то можно создать и белый список.
Для этого нужно:
- знать GUID устройства
- применить две политики в GPO
Находим GUID USB-накопителя
Сначала установите устройство в USB-порт, затем по команде показанной ниже, перейдите в «Диспетчер устройств» (ну, или как обычно – через «Панель управления»).
Найдите Ваше устройство в пункте «Переносные устройства» и откройте его свойства.
Перейдите на вкладку «Свойства», выберите из списка свойство «GUID» класса и скопируйте его значение.
Настраиваем нужные политики. Теперь перейдем к GPO. Откройте тот же каталог, что и выше – «Система». Но теперь перейдите к пункту «Установка устройств – Ограничение на установку устройств».
В списке политик нам нужны две выделенные. Вторую просто включаете.
В первой, еще и задаете значения GUID устройств, которые разрешены.
Сюда скопируйте значение GUID (для появления курсора, кликните в поле 2 раза).
Теперь только эти устройства смогут запускаться. В случае, если Вы вставите другие устройства – их попросту не будет видно.
Еще можно кроме политики с глобальным идентификатором (GUID), использовать политику с обычным (ID). Однако у меня она почему-то не работала (предполагаю, что из-за версии ОС). На Windows 7 работает точно – сам использовал несколько лет назад.
Запрет флешек в Реестре Windows
Запрет использования флешек также можно осуществить с помощью Реестра Windows. Хотелось бы сразу отметить, что данный способ работает только при установленном драйвере на USB. В случае, если вы проделаете все, описанное ниже, когда он еще не установлен, то при подключении любого накопителя, Вам будет предложено установить этот драйвер. И значение, измененное ранее, изменится обратно, к стандартным настройкам.
Этот способ работает на всех ОС Windows. Однако наиболее актуальным он является для ОС Windows XP, так как там нет Редактора групповых политик. Поэтому пример будет показан в среде данной системы. Итак, продолжим.
Для начала откройте реестр. В командной строке введите «regedit» и нажмите «Enter».
Теперь перейдите в эту ветку реестра:
1 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR |
Как видите, там есть несколько параметров. Один из них «Start». Он определяет каким образом доступен USB-накопитель (для любых операций, для чтения, записи и т.д.). На данный момент установлено значение 3. Если изменить его на 4, то накопители станут вообще недоступными. Это нам и нужно.
Кликаете 2 раза и меняете значение на 4.
Теперь при подключении устройство просто не будет отображаться.
На админских форумах многие пишут, что метод не работает. Однако, это нет так. Просто зачастую его пытаются использовать в доменных группах компьютеров организации. А там, как Вы можете догадаться, ОС на всех ПК не обновляют: на одних XP, на других семерка, а на некоторых вообще 2000. Так вот, в этих системах еще просто нет некоторых протоколов и средств, в результате, значение на админкомпе, а за ним и на всех остальных, сбрасывается к стандарту.
Как отключить порты USB в BIOS
Еще один способ запретить использование флешек — это отключить порты USB в BIOS. Сделать это не сложно . Однако, с моей точки зрения, не достаточно эффективно. Хотя, если учесть, что большинство пользователей понятия не имеют не просто о том, что там можно порты отключить, а еще и о том, как туда зайти, то может быть это — удобный и быстрый способ.
Итак, зайдите в БИОС. На большинстве компьютеров это кнопка «F2». Однако в зависимости от марки, и способ отличается. В сети есть куча информации по этой теме, и я не буду подробно на этом останавливаться.
Теперь все делается буквально в два шага: переходим на вкладку «Configuration», отключаем функцию «USB Legacy». Сохраняем и выходим.
Все вышеописанные методы не стопроцентно защитят Ваш компьютер. Их тоже можно обойти, а как именно это сделать, смотрите в статье: «Как обойти запрет флешки»
Однако есть целый программный комплекс, обойти который будет не так просто. Он называется DeviceLock DLP. Именно об этом способе запрета флешки и пойдет речь в статье «Запрет USB».
Еще отмечу, что есть и другие простейшие программы типа: Ratool, USB Lock Standard и другие. Но они скорее скрипты с визуальным интерфейсом, которые реализуют метод реестра.
Про GPO полный БРЕД! Подобный GUID присваивается любой флэшке! В итоге мы ничего не отфильтровываем, а просто разрешаем все флэшки!
По поводу реестра тоже полный бред!!!! Да, таким образом вы залочите доступ к подключаемым ранее флэшкам… НО! Стоит вставить флэшку, которой ранее в вашем ПК не было и винда начнёт ставить на этот дэвайс драйвер, а в процессе установки драйвера ОС сама поправит описанный параметр на «3». В итоге и новая флэшка и все остальные флэшки станут доступны!
В Windows XP редактор реестра запускается «Пуск-> Выполнить -> gpedit.msc». Точно так-же на других ОС.