Иногда возникает необходимость отключить USB порты на компьютере или ноутбуке, чтобы ограничить доступ по подключению флешек, жестких дисков и других USB-устройств. Отключение портов USB поможет предотвратить подключение каких-либо накопителей, которые могут быть использованы для кражи важной информации или стать причиной заражения компьютера вирусом и распространения вредоносного программного обеспечения по локальной сети.
Содержание
- Ограничение доступа к USB портам
- 1. Отключение USB портов через настройки BIOS
- 2. Включение и отключение USB-накопителей с помощью редактора реестра
- 3. Отключение USB портов в диспетчере устройств
- 4. Удаление драйверов контроллера USB
- 5. Запрет пользователям подключение USB-устройств хранения данных с помощью приложения от Microsoft
- 6. Использование программ для отключения/включения доступа к USB-устройствам хранения данных
- 7. Отключение USB от материнской платы
- Запрет доступа к съемным носителям через редактор групповой политики
Ограничение доступа к USB портам
Рассмотрим 7 способов, с помощью которых можно заблокировать USB порты:
- Отключение USB через настройки БИОС
- Изменение параметров реестра для USB-устройств
- Отключение USB портов в диспетчере устройств
- Деинсталляция драйверов контроллера USB
- Использование Microsoft Fix It 50061
- Использование дополнительных программ
- Физическое отключение USB портов
1. Отключение USB портов через настройки BIOS
- Войдите в настройки BIOS.
- Отключите все пункты, связанные с контроллером USB (например, USB Controller или Legacy USB Support).
- После того как вы сделали эти изменения, нужно сохранить настройки и выйти из БИОС. Обычно это делается с помощью клавиши F10.
- Перезагрузите компьютер и убедитесь, что USB порты отключены.
2. Включение и отключение USB-накопителей с помощью редактора реестра
Если отключение через БИОС вам не подходит, можете закрыть доступ непосредственно в самой ОС Windows с помощью реестра.
Приведенная ниже инструкция позволяет закрыть доступ для различных USB-накопителей (например флешек), но при этом другие устройства, такие как клавиатуры, мыши, принтеры, сканеры все равно будут работать.
- Откройте меню Пуск -> Выполнить, введите команду «regedit» и нажмите ОК, чтобы открыть редактор реестра.
- Перейдите к следующему разделу
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ USBSTOR
- В правой части окна найдите пункт «Start» и два раза щелкните по нему, чтобы отредактировать. Введите значение «4» для блокировки доступа к USB-накопителям. Соответственно если вы введете опять значение «3», доступ будет вновь открыт.
Нажмите кнопку «ОК», закройте редактор реестра и перезагрузите компьютер.
! Вышеописанный способ работает только при установленном драйвере USB контроллера. Если по соображениям безопасности драйвер не был установлен, значение параметра «Start» может быть автоматически сброшено на значение «3», когда пользователь подключит накопитель USB и Windows установит драйвер.
3. Отключение USB портов в диспетчере устройств
- Нажмите правой кнопкой мыши на значке «Компьютер» и выберете в контекстном меню пункт «Свойства». Откроется окно в левой части которого нужно нажать на ссылку «Диспетчер устройств».
- В дереве диспетчера устройств найдите пункт «Контроллеры USB» и откройте его.
- Отключите контроллеры путем нажатия правой кнопки мыши и выбора пункта меню «Отключить».
Этот способ не всегда работает. В примере, приведенном на рисунке выше отключение контроллеров (2 первых пункта) не привело к желаемому результату. Отключение 3-го пункта (Запоминающее устройство для USB) сработало, но это дает возможность отключить лишь отдельный экземпляр USB-накопителя.
4. Удаление драйверов контроллера USB
Как вариант для отключения портов можно просто деинсталлировать драйвер USB контроллера. Но недостатком этого способа является то, что при подключении пользователем USB-накопителя, Windows будет проверять наличие драйверов и при их отсутствии предложит установить драйвер. Это в свою очередь откроет доступ к USB-устройству.
5. Запрет пользователям подключение USB-устройств хранения данных с помощью приложения от Microsoft
Еще один способ запрета доступа к USB-накопителям – это использование Microsoft Fix It 50061 (http://support.microsoft.com/kb/823732/ru — ссылка может открываться около митуты). Суть это способа заключается в том, что рассматриваются 2 условия решения задачи:
- USB-накопитель еще не был установлен на компьютер
- USB-устройство уже подключено к компьютеру
В рамках данной статьи не будем детально рассматривать этот метод, тем более, что вы можете подробно его изучить на сайте Microsoft, используя ссылку приведенную выше.
Еще следует учесть, что данный способ подходит не для всех версий ОС Windows.
6. Использование программ для отключения/включения доступа к USB-устройствам хранения данных
Существует много программ для установки запрета доступа к USB портам. Рассмотрим одну из них — программу USB Drive Disabler.
Программа обладает простым набором настроек, которые позволяют запрещать/разрешать доступ к определенным накопителям. Также USB Drive Disabler позволяет настраивать оповещения и уровни доступа.
7. Отключение USB от материнской платы
Хотя физическое отключение USB портов на материнской плате является практически невыполнимой задачей, можно отключить порты, находящиеся на передней или верхней части корпуса компьютера, отсоединив кабель, идущий к материнской плате. Этот способ полностью не закроет доступ к USB портам, но уменьшит вероятность использования накопителей неопытными пользователями и теми, кто просто поленится подключать устройства к задней части системного блока.
!Дополнение
Запрет доступа к съемным носителям через редактор групповой политики
В современных версиях Windows существует возможность ограничить доступ к съемным запоминающим устройствам (USB-накопителям в том числе) с помощью редактора локальной групповой политики.
- Запустите gpedit.msc через окно «Выполнить»(Win + R).
- Перейдите к следующей ветви «Конфигурация компьютера -> Административные шаблоны -> Система -> Доступ к съемным запоминающим устройствам»
- В правой части экрана найдите пункт «Съемные диски: Запретить чтение».
- Активируйте этот параметр (положение «Включить»).
Данный раздел локальной групповой политики позволяет настраивать доступ на чтение, запись и выполнение для разных классов съемных носителей.
В рамках политики информационной безопасности возникает требование о блокировке портов USB, дабы пользователи не могли подключить к ним флешку или usb винчестер и утянуть конфедициальную информацию, при этом нужно, чтобы работал принтер, мышь, клавиатура, и т.п. Самым простым выходом в этой ситуации является блокировка USB портов через реестр Windows XP/Vista/7 (плюс данного метода в том, что ненужно приобретать дополнительное программное обеспечение которое будет блокировать USB порты).
Недостаток данного метода в том, что практически любой пользователь, которому не лень прочесть пошаговую инструкцию сможет самостоятельно подключить уже отключенный порт. Тем не менее, учитывая что основная масса пользователей не любит читать инструкций потому как просто лень, данный способ существенно облегчает жизнь администратору.
Кстати сказать, этот способ подробно описан в многочисленных internet статьях и не является каким то секретным откровением, просто нужно набрать в поисковике необходимый запрос.
Итак, чтобы заблокировать USB порты совершаем следующие действия:
Запускаем редактор реестра. Делается это командой regedit («Пуск» — «выполнить» — в появившемся окне «Запуск программы» набираем regedit и жмем Enter).
В открывшемся окне «Редактор реестра» (в левой его части) дважды кликаем, выбирая раздел «HKEY_LOCAL_MACHINE», затем выбираем его подраздел «SYSTEM», в котором открываем подраздел «CurrentControlSet».
Далее входим в его подраздел «Services», после чего — в его подраздел «USBSTOR».
Полный путь в реестре будет: «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR».
В правой части окна «Редактор реестра» двойным кликом левой кнопки мыши выбираем параметр «Start».
В открывшемся окне «Изменение параметра DWORD (32 бита)» для отключения доступа к USB-портам вводим в поле «Значение» число 4 и затем нажимаем кнопку «ОК» для сохранения нового значения параметра. (Значение 3 — Включить usb-порты; Значение 4 -выключить usb-порты)
После внесения изменений перезагрузить компьютер, если это не сделать, то usb-порты будут функционировать в штатном режиме (пока не будет произведена перезагрузка).
В результате выполненных действий Вы выключили в Windows XP/Vista/7 доступ к USB-портам.
Источник статьи http://info-ispdn.ru/publikzii/10—usb-windows.html
Если вам требуется, чтобы к компьютеру или ноутбуку с Windows 10, 8.1 или Windows 7 никто не мог подключить USB-накопители, вы можете запретить использование флешек, карт памяти и жестких дисков используя встроенные средства системы. Мышки, клавиатуры и другая периферия, не являющаяся хранилищем, продолжит работать.
В этой инструкции о том, как заблокировать использование USB флешек и других съемных накопителей с помощью редактора локальной групповой политики или редактора реестра. Также в разделе с дополнительной информацией о блокировке доступа через USB к устройствам MTP и PTP (камера, Android телефон, плеер). Во всех случаях для выполнения описываемых действий вы должны иметь права администратора в Windows. См. также: Запреты и блокировки в Windows, Как поставить пароль на флешку в BitLocker.
Запрет подключения USB флешек с помощью редактора локальной групповой политики
Первый способ более простой и предполагает использование встроенной утилиты «Редактор локальной групповой политики». Следует учитывать, что эта системная утилита недоступна в Домашней редакции Windows (если у вас такая версия ОС, используйте следующий способ).
Шаги по блокировке использования USB накопителей будут следующими:
- Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter, откроется редактор локальной групповой политики.
- Если требуется запретить использование USB накопителей для всех пользователей компьютера, перейдите к разделу Конфигурация компьютера — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам. Если требуется заблокировать доступ только для текущего пользователя, откройте аналогичный раздел в «Конфигурация пользователя».
- Обратите внимание на пункты «Съемные диски: Запретить выполнение», «Съемные диски: Запретить запись», «Съемные диски: Запретить чтение». Все они отвечают за блокировку доступа к USB-накопителям. При этом запрет чтения запрещает не только просмотр содержимого флешки или копирование с неё, но и остальные операции (на накопитель нельзя будет что-либо записать, запуск программ с него также не будет выполняться).
- Для того, чтобы, например, запретить чтение с USB накопителя, дважды нажмите по параметру «Съемные диски: Запретить чтение», установите значение «Включено» и примените настройки. Выполните то же самое для других требующихся вам пунктов.
На этом процесс будет завершен, а доступ к USB заблокирован. Перезагрузка компьютера не требуется, однако, если на момент включения ограничений накопитель уже был подключен, изменения для него вступят в силу только после отключения и повторного подключения.
Как заблокировать использование USB флешки и других съемных накопителей с помощью редактора реестра
Если на вашем компьютере отсутствует редактор локальной групповой политики, ту же блокировку можно выполнить и с помощью редактора реестра:
- Нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter.
- В редакторе реестра перейдите к одному из разделов: первый — для запрета использования USB накопителей для всех пользователей. Второй — только для текущего пользователя
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows
- Создайте подраздел RemovableStorageDevices, а в нем — подраздел с именем {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}
- В этом подразделе создайте нужные параметры DWORD32 (даже для Windows x64) — с именем Deny_Read для запрета чтения и других операций, Deny_Execute — для запрета выполнения, Deny_Write — для запрета записи на USB накопитель.
- Установите значение 1 для созданных параметров.
Запрет использования USB флешек и других съемных накопителей вступит в силу сразу после внесения изменения (если на момент блокировки накопитель уже был подключен к компьютеру или ноутбуку, он будет доступен до отключения и повторного подключения).
Дополнительная информация
Некоторые дополнительные нюансы блокировки доступа к USB накопителям, которые могут оказаться полезными:
- Описанные выше способы работают для съемных USB флешек и дисков, однако не работают для устройств, подключенных по протоколу MTP и PTP (например, хранилище Android телефона продолжит быть доступным). Для отключения доступа по этим протоколам, в редакторе локальной групповой политики в том же разделе используйте параметры «WPD-устройства» для запрета чтения и записи. В редакторе реестра это будет выглядеть как подразделы {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}, {6AC27878-A6FA-4155-BA85-F98F491D4F33} и {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE} в политиках RemovableStorageDevices (как описывалось выше) с параметрами Deny_Read и/или Deny_Write.
- Для того, чтобы в дальнейшем вновь включить возможность использования USB накопителей, просто удалите созданные параметры из реестра или установите «Выключено» в измененных ранее политиках доступа к съемным запоминающим устройствам.
- Еще один способ блокировки USB накопителей — отключение соответствующей службы: в разделе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
измените значение Start на 4 и перезагрузите компьютер. При использовании этого способа подключенные флешки даже не будут появляться в проводнике.
Помимо встроенных средств системы, есть сторонние программы для блокировки подключения различного рода USB устройств к компьютеру, в том числе и продвинутые инструменты наподобие USB-Lock-RP.
В предыдущей статье я написал как неопытному пользователю отключить USB-порты порты по средствам групповых политик. Однако я забыл о том что разные версии OS Windows 7 содержат разные функции.
Прошу заметить я не говорю о том чтобы ставить дополнительный бесплатный софт, так как по опыту знаю, что закрывая дырку бесплатным ПО рискуешь открыть еще пять. Я предлагаю воспользоватся встроенными функциями ОС.
По опыту знаю что для экономии маленькие фирмы ставят такие версии «Home Basic» или «Home Premium» на машины персонала (ну это только ставят если фирма пытается работать легально и не хочет штрафа за нелегальное ПО. А те фирмы которые не боятся проверок то ставят все пиратское ПО и не мучаются )) ).
А на версиях «Home Basic» и «Home Premium» нет оснасток присущим старшим братьям. И закрыть порты по средствам групповых политик не получится. Поэтому нам нужно закрыть доступ непосредственно к исполнительным файлам которые запускают инициализацию устройств подключаемых к USB-портам.
Допустим, что на машине есть 3 пользователя, «Оператор», «Менеджер» и «Администратор» в группах Администраторы и Пользователи
Нужно сделать так чтобы флешкой мог воспользоватся, только пользователь под учетной записью «Администратор».
Включаем комп, заходим под учетной записью администратора, открываем проводник и пишем «%SystemRoot%\inf\» (здесь и далее по тексту копировать без кавычек).
Далее в поиске пишем «USB»
Выведет приблизительно 18 элементов. (зависит какая система стоит, версия ОС, установленные доп драйвера для USB)
Нам нужно по сути только 8 файлов.
usb.inf
usbstor.inf
usbport.inf
winusb.inf
usb.PNF
usbstor.PNF
usbport.PNF
winusb.PNF
Потом нам нужно закрыть доступ к этим файлам другим пользователям. Нажимаем правой кнопкой на файле «usbstor.inf» -> «свойства»
Переходим на вкладку «безопасность», и нажимаем кнопку «изменить»
Потом выбираем пользователей которых нам нужно отключить. У нас это «Оператор», «Менеджер» и «Система». Если нам нужно отключить всем учетным записям которые относятся к группе «Пользователи» (это «Оператор» и «Менеджер») то просто ставим запрет группе. Если только конкретному, допустим «Оператору», то выбираем конкретно эту учетную запись.
Внимание учетной записи «Система» тоже нужно выставить запрет на использование файла.
Потом выставляем запрет на использование, переключаемся на другого пользователя и тоже выставляем запреты. Когда нужные пользователи будут отключены (у меня это только «система» и «пользователи»)
жмакаем кнопку «Ок»
Будет предупреждение о том что это приведет к тому, что доступ к файлу будет недоступен и всякое такое (если есть желание можете почитать), жмакаем снова кнопку «Ок».
Снова читаем сообщение о том что точно ли мы хотим это сделать, (если есть желание можете почитать), жмакаем снова кнопку «Ок».
И такую процедуру повторяем для следующих 7 файлов.
usb.inf
usbport.inf
winusb.inf
usb.PNF
usbstor.PNF
usbport.PNF
winusb.PNF
Если это только установленная ОС то все в порядке и по идее доступ к флешке выбранным пользователям будет недоступен. Однако если к этой системе уже были подключены флешки теми пользователями которым нужно было отключить доступ к флешкам, то понадобится изменить ключ в реестре.
жмем пуск -> пишем regedit -> открываем реестр
Открываем папку «USBSTOR»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
и меняем значение параметра «Start» на 4
Поставили задачу заблокировать USB носители на рабочих станциях. Причем принтеры подключенные по USB работать должны, а вот флэшки воткнутые в USB нет!
Задача осложняется тем, что через локальные политики безопасности, да и через доменные политики в домене Windows 2003 Server отключить USB носители не позволяют. Нет таких политик.
Все осложняется тем, что есть принтеры подключенные по USB. Саму шину USB можно выключить через реестр, но как тогда заставить работать принтеры это большой вопрос…..
Платные программы использовать нет возможности. Руководство не готово их покупать, а пиратить нельзя. Все должно быть белым и лохматым. 🙂
Решение есть. Результат чтения док и гугления оформил в виде статьи на будущее
Проблема решается с помощью установки прав доступа на файлы usb.inf иusbstor.inf, которые размещены в C:\Windows\inf
Все гениально и просто! Через права доступа можно не просто блокировать доступ к USB, а разграничивать доступ к USB по пользователям.
Руководство по установке прав доступа к USB носителям и блокировки флэшек
- Устанавливаем все необходимые USB принтеры, сканнеры и прочие USB устройства, которые вам могут понадобится на данном компьютере. Потом их установить будет сложнее. 🙂 Ведь мы заблокируем USB устройства.
- Удаляем ВСЕ ранее подключенные к рабочей станции USB-носители, иначе эти флэшки будут доступны ЛЮБОМУ пользователю рабочей станции. ВАЖНО: для Windows 7 см. информацию ниже.
Все раннее установленные USB флэшки есть в реестре, для их удаления запускаем regedit (Пуск->Выполнить->regedit->Enter), переходим в разделHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
и удаляем от туда ВСЕ подразделы.
ВАЖНО в Windows XP: может появится сообщение, что подраздел удалить невозможно. В этом случае то жмем правой кнопкой мыши на раздел USBSTOR, выбираем «Разрешения…», устанавливаем для «Все» — полный доступ. Теперь пытаемся удалить подразделы в разделе USBSTOR, должно получиться.
В Windows 7 реестр защищен намного лучше, чем в Windows XP. Для удаления ранее подключенных устройств придется загрузиться с Live CD и через утилиту удалить записи из реестра. На работающей Windows 7 удалить записи из реестра о ранее подключенных устройствах не получится. Загрузить образ Live CD с утилитой для редактирования реестра Windows 7 32 bit можно тут, Windows 7 64 bit тут, Live CD для Windows XP можно скачать тут.
- Идем в папку <диск, где у вас стоит Windows>:\Windows\inf, находим файлы: usb.inf, usbstor.inf.
- Выделяем файлы usb.inf, usbstor.inf, заходим в свойства, в появившемся диалоговом окне переходим на вкладку безопасность. Находим кнопку «Дополнительно» и нажимаем.
- Если стоит галочка «Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне», ее надо снять. Появится окно с кнопками: «Копировать», «Удалить»,«Отмена» — жмем «Копировать» и «Ок». Если у вас не стоит данная галочка, данный пункт можно пропустить.
- Во вкладке «Безопасность», в поле «Группы и пользователи» делаем следующие действия:
Для полной блокировки USB флэшек для ВСЕХ пользователей рабочей станции:
Удаляем ВСЕХ пользователей.
Для блокировки USB накопителей только для пользователей без прав администраторов:
Удаляем всех пользователей и добавляем пользователей или группы с правами администраторов. Локальных или доменных зависит от того поднят у вас домен или нет. Правильнее добавить локальную группу администраторы, а доменную группу добавить в локальную группу через «Локальные пользователи и пароли». Но тут уж каждый действует как ему удобнее.
Вот и все. Теперь при подключении USB флэшек и других USB устройств к рабочей станции в зависимости от выбранного выше варианта будет происходить следующее: у пользователя без прав администратора будут запрашивать войти с правами администратора, либо USB устройство будет заблокировано и работать не будет вообще.
Данная статья была проверена на работоспособность под Widows XP SP3, Windows 7 SP1, Windows 2003 Server.
- Windows 2003 Server, Windows 7, Windows XP