Запрет флешек системными средствами Windows

USB флешка icon

Как осуществить запрет флешек в ОС Windows?

На самом деле способов довольно много. Каждый из них имеет свои преимущества, а некоторые и вовсе не заменимы.

Кому это нужно?

В первую очередь администраторам. А также в случае если компьютер используется несколькими пользователями.

Зачем это нужно?

Для безопасности, для конфиденциальности, для ограничения возможностей других пользователей.

Мой материал, как обычно, делится на две части: системные средства и сторонние программы (плюс небольшие вкрапления моего личного мнения).

Также рекомендую почитать предыдущую мою статью, близкую по теме: «Как запретить запуск программы в Windows»

Запрет флешек

Непосредственно в ОС Windows эту задачу можно выполнить с помощью Редактора групповых политик (GPO) и реестра. Кроме этого, можно выключить сами порты в BIOS. К этому всему еще в плюс внешнее программное обеспечение, о котором я расскажу в конце.

Неэффективные способы запрета флешек

Дабы потом не останавливаться на этом, сразу укажу несколько способов, которые явно неэффективны, хотя информации в сети о них полно.

  • Физическое отключение портов. Это, конечно, классно, но есть же и другие порты, и переходники к ним. К тому же, почему-то все забывают о мышке, клавиатуре, колонках и т.п.
  • Удаление драйверов на USB – от этого эффекта ноль. Система сама предложит их установить, или из сети, или с самого накопителя.
  • Запрет флешек в редакторе групповых политик (просто запрещать каждое новое устройство по ID). Лучше запретить все, а нужные разрешить, как именно я покажу ниже.

Я, пожалуй, начну с Редактора групповых политик, так как считаю этот способ наиболее удобным и эффективным среди остальных системных.

Кстати, я также рекомендую отключить автозапуск флешки и других USB-носителей. Это частично решит проблему автоустановки вирусов.

Запрет флешек в Редакторе групповых политик

Нам нужно перейти в GPO. Открываете командную строку (вводите в поиске «cmd», кликаете правой кнопкой мыши, запускаете от имени администратора).

Запрет флешекВ командной строке вводите gpedit.msc и нажимаете Enter.

Откроется окно GPO. Теперь перейдем в раздел, где настраиваются нужные нам политики – «Доступ к съемным запоминающим устройствам». Нажмите на него – справа появятся существующие политики.

Запрет флешек

В данном случае нас интересуют политики касающееся съемных носителей. Однако здесь можно настроить работу с дисками (компакт, DVD, гибкими), ленточными накопителями и другими устройствами.

запрет флешек

Также, очень удобно, это возможность выбрать, что именно необходимо запретить. Например, в целях сохранения информации, можно запретить запись.

Для этого нажмите на соответствующую политику правой кнопкой мыши и выберите «Изменить».

Запрет флешек

Теперь выберите команду «Включить» и нажмите «Применить».

Запрет флешек

При попытке скопировать любой файл на съемный диск, пользователь не сможет этого сделать (если он не состоит в группе «Администраторы»). Он увидит это сообщение.

Запрет флешек

По такому же принципу применяются и другие функции (чтение, запуск).

Здесь же есть и политика отключающая все классы устройств. Она так и называется.

Запрет флешек

Доступ только определенных устройств

Способ выше – наиболее простой. Однако, если у Вас есть лишь несколько носителей, которые используются в работе с ПК, то можно создать и белый список.

Для этого нужно:

  • знать GUID устройства
  • применить две политики в GPO

Находим GUID USB-накопителя

Сначала установите устройство в USB-порт, затем по команде показанной ниже, перейдите в «Диспетчер устройств» (ну, или как обычно – через «Панель управления»).

Запрет флешек

Найдите Ваше устройство в пункте «Переносные устройства» и откройте его свойства.

Запрет флешек

Перейдите на вкладку «Свойства», выберите из списка свойство «GUID» класса и скопируйте его значение.

запретить флешки

Настраиваем нужные политики. Теперь перейдем к GPO. Откройте тот же каталог, что и выше – «Система». Но теперь перейдите к пункту «Установка устройств – Ограничение на установку устройств».

запретить флешки

В списке политик нам нужны две выделенные. Вторую просто включаете.

запретить флешки

В первой, еще и задаете значения GUID устройств, которые разрешены.

запретить флешки

Сюда скопируйте значение GUID (для появления курсора, кликните в поле 2 раза).

запретить флешки

Теперь только эти устройства смогут запускаться. В случае, если Вы вставите другие устройства – их попросту не будет видно.

Еще можно кроме политики с глобальным идентификатором (GUID), использовать политику с обычным (ID). Однако у меня она почему-то не работала (предполагаю, что из-за версии ОС). На Windows 7 работает точно – сам использовал несколько лет назад.

Запрет флешек в Реестре Windows

Запрет использования флешек также можно осуществить с помощью Реестра Windows. Хотелось бы сразу отметить, что данный способ работает только при установленном драйвере на USB. В случае, если вы проделаете все, описанное ниже, когда он еще не установлен, то при подключении любого накопителя, Вам будет предложено установить этот драйвер. И значение, измененное ранее, изменится обратно, к стандартным настройкам.

Этот способ работает на всех ОС Windows. Однако наиболее актуальным он является для ОС Windows XP, так как там нет Редактора групповых политик. Поэтому пример будет показан в среде данной системы. Итак, продолжим.

Для начала откройте реестр. В командной строке введите «regedit» и нажмите «Enter».

запретить флешки

Теперь перейдите в эту ветку реестра:

запретить флешки

Как видите, там есть несколько параметров. Один из них «Start». Он определяет каким образом доступен USB-накопитель (для любых операций, для чтения, записи и т.д.). На данный момент установлено значение 3. Если изменить его на 4, то накопители станут вообще недоступными. Это нам и нужно.

Кликаете 2 раза и меняете значение на 4.

запретить флешки

Теперь при подключении устройство просто не будет отображаться.

На админских форумах многие пишут, что метод не работает. Однако, это нет так. Просто зачастую его пытаются использовать в доменных группах компьютеров организации. А там, как Вы можете догадаться, ОС на всех ПК не обновляют: на одних XP, на других семерка, а на некоторых вообще 2000. Так вот, в этих системах еще просто нет некоторых протоколов и средств, в результате, значение на админкомпе, а за ним и на всех остальных, сбрасывается к стандарту.

Как отключить порты USB в BIOS

Еще один способ запретить использование флешек — это отключить порты USB в BIOS.  Сделать это не сложно . Однако, с моей точки зрения, не достаточно эффективно. Хотя, если учесть, что большинство пользователей понятия не имеют не просто о том, что там можно порты отключить, а еще и о том, как туда зайти, то может быть это — удобный и быстрый способ.

Итак, зайдите в БИОС. На большинстве компьютеров это кнопка «F2». Однако в зависимости от марки, и способ отличается. В сети есть куча информации по этой теме, и я не буду подробно на этом останавливаться.

Теперь все делается буквально в два шага: переходим на вкладку «Configuration», отключаем функцию «USB Legacy». Сохраняем и выходим.

отключить порты USB в BIOS
Как отключить порты USB в BIOS

Все вышеописанные методы не стопроцентно защитят Ваш компьютер. Их тоже можно обойти, а как именно это сделать, смотрите в статье: «Как обойти запрет флешки»

Однако есть целый программный комплекс, обойти который будет не так просто. Он называется DeviceLock DLP. Именно об этом способе запрета флешки и пойдет речь в статье «Запрет USB».

Еще отмечу, что есть и другие простейшие программы типа: Ratool, USB Lock Standard и другие. Но они скорее скрипты с визуальным интерфейсом, которые реализуют метод реестра.

Leobayker
Добавить комментарий

  1. Doctor

    Про GPO полный БРЕД! Подобный GUID присваивается любой флэшке! В итоге мы ничего не отфильтровываем, а просто разрешаем все флэшки!

    Ответить
  2. Doctor

    По поводу реестра тоже полный бред!!!! Да, таким образом вы залочите доступ к подключаемым ранее флэшкам… НО! Стоит вставить флэшку, которой ранее в вашем ПК не было и винда начнёт ставить на этот дэвайс драйвер, а в процессе установки драйвера ОС сама поправит описанный параметр на «3». В итоге и новая флэшка и все остальные флэшки станут доступны!

    Ответить
  3. Darth Vader

    В Windows XP редактор реестра запускается «Пуск-> Выполнить -> gpedit.msc». Точно так-же на других ОС.

    Ответить