Блокировать использование USB-накопителей в Windows

Даже сегодня, особенно в корпоративной среде, USB-накопители по-прежнему считаются угрозой. И часто они действительно таковы, потому что недобросовестные сотрудники могут использовать их для кражи конфиденциальных данных, которые должны оставаться внутри компании.

Как заблокировать использование USB-накопителей в Windows?

Шаги, которые нужно предпринять, довольно просты, особенно если в вашем распоряжении есть нужные инструменты.

Ниже мы представляем два решения для блокировки использования USB-накопителей в Windows. Оба основаны на некоторых изменениях, внесенных в реестр Windows.

Ограничения, применяемые для отключения хранения данных на USB-накопителях и других внешних носителях, могут устанавливаться и сниматься только пользователями с правами администратора и, следовательно, учетной записью администратора.

Поэтому важно, чтобы пользователи, которым разрешено использовать корпоративный ПК, имели обычную учетную запись, а не учетную запись администратора. Фактически, во втором случае они могли бы легко снять блокировку для использования USB-накопителей, если бы у них были соответствующие навыки.

Оба представленных здесь вмешательства можно использовать для блокировки использования USB-накопителей, не влияя на правильное функционирование других периферийных устройств USB-типа (принтеров, сканеров и т. д.).

Само собой разумеется, что даже если USB-накопители были заблокированы, но, например, был активирован общий доступ к файлам и папкам без пароля, недобросовестный сотрудник или другой неавторизованный пользователь мог подключить устройство к локальной сети и украсть какой-либо материал.

Таким образом, совместное использование файлов и папок без пароля подвергает вас гораздо более серьезным рискам: совместное использование папок в Windows с паролем также защищает от удаленных атак.

Блокировать хранение файлов на USB-накопителях

Первое вмешательство, которое может быть применено, является менее «инвазивным» и ограничивается блокировкой хранения данных на USB-накопителях и других USB-накопителях.

Это означает, что USB-накопители всегда можно подключить и они будут распознаны системой, но запись на них будет невозможна. Короче говоря, внешние носители USB-типа можно использовать только для чтения.

Изменение работает во всех версиях Windows, включая Windows 10.

Чтобы продолжить, вам необходимо применить следующие шаги:

1) Войдите в Windows с учетной записью администратора.

2) Скачать этот сжатый файл.

3) Дважды щелкните файл unwrite_usb.reg и нажмите кнопку «Выполнить».

4) Когда появится окно «Разрешить этому приложению вносить изменения в ваш компьютер?», нажмите «Да».

5) Как только появится следующее диалоговое окно, еще раз ответьте Да.

Windows подтвердит ввод информации в реестр (ключи сообщения и значения, содержащиеся в disablewrite_usb.reg, вставлены в реестр).

6) В этот момент, вставив любой USB-ключ и попытавшись скопировать любой файл или папку, будет отображаться сообщение Защищенный диск от записи (даже не нужно перезагружать машину).

Щелкнув правой кнопкой мыши на USB-накопителе, вы заметите, что контекстное меню Windows больше не содержит даже пункта «Новый».

Как отключить набор ограничений

Чтобы отключить блокировку записи на USB-накопителях, просто дважды щелкните файл attivascritura_usb.reg, подтвердив вставку его содержимого в реестр Windows.

На этот раз, чтобы изменения вступили в силу, вам придется перезагрузить систему или, в качестве альтернативы, открыть окно командной строки (cmd) и ввести следующее:

тасккилл /ф /им проводник.exe
проводник.exe

Полностью заблокируйте использование USB-накопителей

Чтобы сделать флешки полностью непригодными (не только для записи, но и для чтения), можно внести еще одно изменение в реестр.

На этот раз файл, который будет использоваться, доступен для скачивания. нажмите здесь.

Шаги, которые необходимо выполнить:

1) Скачать программу SetACL нажмите здесь.

2) Извлеките содержимое сжатого архива SetACL в папку на жестком диске или SSD-накопителе.

3) Скопируйте содержимое архива disableusb.zip в подпапку 32 bit или 64 bit SetACL, в зависимости от используемой версии Windows (32 или 64 бит).

4) Щелкните правой кнопкой мыши файл disableusb.bat и выберите «Запуск от имени администратора».

5) Если появится защищенный экран ПК с Windows (SmartScreen), нажмите «Дополнительная информация», а затем «Выполнить в любом случае».

6) Появится окно с черным фоном, подтверждающее деактивацию распознавания USB-накопителей.

7) На этом этапе Windows больше не распознает USB-накопители, подключенные к системе.

В Сети есть процедуры, позволяющие отключать флешки и другие носители информации, воздействуя на ключ HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesUSBSTOR в реестре Windows.

Наш пакетный файл делает это с особой предусмотрительностью: изменив только вышеупомянутый ключ, Windows не распознает новые USB-накопители, подключенные к системе (предотвращая их использование), но продолжит разрешать использование уже известных USB-накопителей, потому что ранее они были подключены к одной системе.

Представленная нами процедура, с другой стороны, устанавливает ACL (список управления доступом) в системном реестре, так что пользователь SYSTEM (то есть тот, который используется Windows) никогда не может изменить значение, содержащееся в ключе USBSTOR (отсюда необходимость использовать программу SetACL для автоматизации всего).

Таким образом, как только ключ, уже известный системе, будет подключен, он все равно не будет использоваться.

Как отменить изменение и восстановить использование USB-накопителей

Чтобы отключить изменение и снова использовать USB-накопители и другие USB-накопители, просто щелкните правой кнопкой мыши файл enableusb.bat и выберите «Запуск от имени администратора».

Если появится экран SmartScreen (ПК, защищенный Windows), нажмите «Подробнее», нажмите «Все равно запустить» и ответьте «Да» на вопрос «Разрешить этому приложению вносить изменения в ваш компьютер?».

Появится подтверждение повторной активации поддержки USB-накопителей.

Все изменения действительны для различных версий Windows, включая Windows 10.

В бизнес-среде администраторы могут распространять ограничение на клиентские машины с помощью групповой политики (для этого см. эта статья al paragrafo РАЗВЕРТЫВАНИЕ ЧЕРЕЗ ГРУППОВУЮ ПОЛИТИКУ).

Для тех, кто ненавидит залезать в реестр: Ratool

Один из самых простых инструментов для блокировки USB-накопителей в системах Windows называется Ratool.

Загружаемый с этой страницы, после запуска Ratool указывает, какой тип защиты, возможно, активен.

Параметр «Разрешить чтение и запись» используется по умолчанию при активации «Разрешить только чтение» или «Блокировать USB-накопители», значок USB-ключа, отображаемый в окне Ratool, станет желтым или красным соответственно.

Чтобы изменения вступили в силу, даже без перезагрузки Windows, просто выберите нужный вариант и нажмите кнопку «Применить изменения».

Открыв меню «Параметры», WPD может заблокировать использование так называемых портативных устройств Windows, то есть смартфонов, камер и других мультимедийных устройств с возможностью хранения данных. Блок можно активировать, просто выбрав пункт Блокировать объект.

В меню «Параметры» есть пункт «Запретить установку USB-устройств»: если он активирован, Windows будет блокировать вставку новых USB-накопителей, разрешая использование уже известных устройств хранения (мы предлагаем выбрать «Разрешить только чтение», а затем активировать «Запретить установку USB-накопителей»). устройства).