Как запретить запись на флешку: Attention Required! | Cloudflare

Все вышеописанные методы не стопроцентно защитят Ваш компьютер. Их тоже можно обойти, а как именно это сделать, смотрите в статье: «Как обойти запрет флешки»

Однако есть целый программный комплекс, обойти который будет не так просто. Он называется DeviceLock DLP. Именно об этом способе запрета флешки и пойдет речь в статье «Запрет USB».

Еще отмечу, что есть и другие простейшие программы типа: Ratool, USB Lock Standard и другие. Но они скорее скрипты с визуальным интерфейсом, которые реализуют метод реестра.

Наша оценка

Каждый из способов имеет свои минусы и плюсы. В целом рассмотренные способы больше подойдут для непродвинутых пользователей. Всем остальным лучше использовать DeviceLock DLP.

Запрет usb через реестр

Если вам требуется, чтобы к компьютеру или ноутбуку с Windows 10, 8.1 или Windows 7 никто не мог подключить USB-накопители, вы можете запретить использование флешек, карт памяти и жестких дисков используя встроенные средства системы. Мышки, клавиатуры и другая периферия, не являющаяся хранилищем, продолжит работать.

В этой инструкции о том, как заблокировать использование USB флешек и других съемных накопителей с помощью редактора локальной групповой политики или редактора реестра. Также в разделе с дополнительной информацией о блокировке доступа через USB к устройствам MTP и PTP (камера, Android телефон, плеер). Во всех случаях для выполнения описываемых действий вы должны иметь права администратора в Windows. См. также: Запреты и блокировки в Windows, Как поставить пароль на флешку в BitLocker.

Запрет подключения USB флешек с помощью редактора локальной групповой политики

Первый способ более простой и предполагает использование встроенной утилиты «Редактор локальной групповой политики». Следует учитывать, что эта системная утилита недоступна в Домашней редакции Windows (если у вас такая версия ОС, используйте следующий способ).

Шаги по блокировке использования USB накопителей будут следующими:

1. Нажмите клавиши Win+R на клавиатуре, введите gpedit. msc и нажмите Enter, откроется редактор локальной групповой политики.
2. Если требуется запретить использование USB накопителей для всех пользователей компьютера, перейдите к разделу Конфигурация компьютера — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам. Если требуется заблокировать доступ только для текущего пользователя, откройте аналогичный раздел в «Конфигурация пользователя».
3. Обратите внимание на пункты «Съемные диски: Запретить выполнение», «Съемные диски: Запретить запись», «Съемные диски: Запретить чтение». Все они отвечают за блокировку доступа к USB-накопителям. При этом запрет чтения запрещает не только просмотр содержимого флешки или копирование с неё, но и остальные операции (на накопитель нельзя будет что-либо записать, запуск программ с него также не будет выполняться).
4. Для того, чтобы, например, запретить чтение с USB накопителя, дважды нажмите по параметру «Съемные диски: Запретить чтение», установите значение «Включено» и примените настройки. Выполните то же самое для других требующихся вам пунктов.

На этом процесс будет завершен, а доступ к USB заблокирован. Перезагрузка компьютера не требуется, однако, если на момент включения ограничений накопитель уже был подключен, изменения для него вступят в силу только после отключения и повторного подключения.

Как заблокировать использование USB флешки и других съемных накопителей с помощью редактора реестра

Если на вашем компьютере отсутствует редактор локальной групповой политики, ту же блокировку можно выполнить и с помощью редактора реестра:

1. Нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter.
2. В редакторе реестра перейдите к одному из разделов: первый — для запрета использования USB накопителей для всех пользователей. Второй — только для текущего пользователя
3. Создайте подраздел RemovableStorageDevices, а в нем — подраздел с именем
4. В этом подразделе создайте нужные параметры DWORD32 (даже для Windows x64) — с именем Deny_Read для запрета чтения и других операций, Deny_Execute — для запрета выполнения, Deny_Write — для запрета записи на USB накопитель.
5. Установите значение 1 для созданных параметров.

Запрет использования USB флешек и других съемных накопителей вступит в силу сразу после внесения изменения (если на момент блокировки накопитель уже был подключен к компьютеру или ноутбуку, он будет доступен до отключения и повторного подключения).

Дополнительная информация

Некоторые дополнительные нюансы блокировки доступа к USB накопителям, которые могут оказаться полезными:

Описанные выше способы работают для съемных USB флешек и дисков, однако не работают для устройств, подключенных по протоколу MTP и PTP (например, хранилище Andro >Помимо встроенных средств системы, есть сторонние программы для блокировки подключения различного рода USB устройств к компьютеру, в том числе и продвинутые инструменты наподобие USB-Lock-RP.

А вдруг и это будет интересно:

Почему бы не подписаться?

Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)

Примечание: после отправки комментария он не появляется на странице сразу. Всё в порядке — ваше сообщение получено. Ответы на комментарии и их публикация выполняются ежедневно днём, иногда чаще. Возвращайтесь.

Как осуществить запрет флешек в ОС Windows?

На самом деле способов довольно много. Каждый из них имеет свои преимущества, а некоторые и вовсе не заменимы.

В первую очередь администраторам. А также в случае если компьютер используется несколькими пользователями.

Для безопасности, для конфиденциальности, для ограничения возможностей других пользователей.

Мой материал, как обычно, делится на две части: системные средства и сторонние программы (плюс небольшие вкрапления моего личного мнения).

Также рекомендую почитать предыдущую мою статью, близкую по теме: «Как запретить запуск программы в Windows»

Запрет флешек

Как запретить использование флешек?

Непосредственно в ОС Windows эту задачу можно выполнить с помощью Редактора групповых политик (GPO) и реестра. Кроме этого, можно выключить сами порты в BIOS. К этому всему еще в плюс внешнее программное обеспечение, о котором я расскажу в конце.

Неэффективные способы запрета флешек

Дабы потом не останавливаться на этом, сразу укажу несколько способов, которые явно неэффективны, хотя информации в сети о них полно.

• Физическое отключение портов. Это, конечно, классно, но есть же и другие порты, и переходники к ним. К тому же, почему-то все забывают о мышке, клавиатуре, колонках и т.п.
• Удаление драйверов на USB – от этого эффекта ноль. Система сама предложит их установить, или из сети, или с самого накопителя.
• Запрет флешек в редакторе групповых политик (просто запрещать каждое новое устройство по ID). Лучше запретить все, а нужные разрешить, как именно я покажу ниже.

Я, пожалуй, начну с Редактора групповых политик, так как считаю этот способ наиболее удобным и эффективным среди остальных системных.

Кстати, я также рекомендую отключить автозапуск флешки и других USB-носителей. Это частично решит проблему автоустановки вирусов.

Запрет флешек в Редакторе групповых политик

Нам нужно перейти в GPO. Открываете командную строку (вводите в поиске «cmd», кликаете правой кнопкой мыши, запускаете от имени администратора).

В командной строке вводите gpedit.msc и нажимаете Enter.

Откроется окно GPO. Теперь перейдем в раздел, где настраиваются нужные нам политики – «Доступ к съемным запоминающим устройствам». Нажмите на него – справа появятся существующие политики.

В данном случае нас интересуют политики касающееся съемных носителей. Однако здесь можно настроить работу с дисками (компакт, DVD, гибкими), ленточными накопителями и другими устройствами.

Также, очень удобно, это возможность выбрать, что именно необходимо запретить. Например, в целях сохранения информации, можно запретить запись.

Для этого нажмите на соответствующую политику правой кнопкой мыши и выберите «Изменить».

Теперь выберите команду «Включить» и нажмите «Применить».

При попытке скопировать любой файл на съемный диск, пользователь не сможет этого сделать (если он не состоит в группе «Администраторы»). Он увидит это сообщение.

По такому же принципу применяются и другие функции (чтение, запуск).

Здесь же есть и политика отключающая все классы устройств. Она так и называется.

Доступ только определенных устройств

Способ выше – наиболее простой. Однако, если у Вас есть лишь несколько носителей, которые используются в работе с ПК, то можно создать и белый список.

Для этого нужно:

• знать GUID устройства
• применить две политики в GPO

Находим GUID USB-накопителя

Сначала установите устройство в USB-порт, затем по команде показанной ниже, перейдите в «Диспетчер устройств» (ну, или как обычно – через «Панель управления»).

Найдите Ваше устройство в пункте «Переносные устройства» и откройте его свойства.

Перейдите на вкладку «Свойства», выберите из списка свойство «GUID» класса и скопируйте его значение.

Настраиваем нужные политики. Теперь перейдем к GPO. Откройте тот же каталог, что и выше – «Система». Но теперь перейдите к пункту «Установка устройств – Ограничение на установку устройств».

В списке политик нам нужны две выделенные. Вторую просто включаете.

В первой, еще и задаете значения GUID устройств, которые разрешены.

Сюда скопируйте значение GUID (для появления курсора, кликните в поле 2 раза).

Теперь только эти устройства смогут запускаться. В случае, если Вы вставите другие устройства – их попросту не будет видно.

Запрет флешек в Реестре Windows

Запрет использования флешек также можно осуществить с помощью Реестра Windows. Хотелось бы сразу отметить, что данный способ работает только при установленном драйвере на USB. В случае, если вы проделаете все, описанное ниже, когда он еще не установлен, то при подключении любого накопителя, Вам будет предложено установить этот драйвер. И значение, измененное ранее, изменится обратно, к стандартным настройкам.

Этот способ работает на всех ОС Windows. Однако наиболее актуальным он является для ОС Windows XP, так как там нет Редактора групповых политик. Поэтому пример будет показан в среде данной системы. Итак, продолжим.

Для начала откройте реестр. В командной строке введите «regedit» и нажмите «Enter».

Теперь перейдите в эту ветку реестра:

Как видите, там есть несколько параметров. Один из них «Start». Он определяет каким образом доступен USB-накопитель (для любых операций, для чтения, записи и т.д.). На данный момент установлено значение 3. Если изменить его на 4, то накопители станут вообще недоступными. Это нам и нужно.

Кликаете 2 раза и меняете значение на 4.

Теперь при подключении устройство просто не будет отображаться.

Как отключить порты USB в BIOS

Еще один способ запретить использование флешек — это отключить порты USB в BIOS. Сделать это не сложно . Однако, с моей точки зрения, не достаточно эффективно. Хотя, если учесть, что большинство пользователей понятия не имеют не просто о том, что там можно порты отключить, а еще и о том, как туда зайти, то может быть это — удобный и быстрый способ.

Итак, зайдите в БИОС. На большинстве компьютеров это кнопка «F2». Однако в зависимости от марки, и способ отличается. В сети есть куча информации по этой теме, и я не буду подробно на этом останавливаться.

Теперь все делается буквально в два шага: переходим на вкладку «Configuration», отключаем функцию «USB Legacy». Сохраняем и выходим.

Как отключить порты USB в BIOS

Все вышеописанные методы не стопроцентно защитят Ваш компьютер. Их тоже можно обойти, а как именно это сделать, смотрите в статье: «Как обойти запрет флешки»

Однако есть целый программный комплекс, обойти который будет не так просто. Он называется DeviceLock DLP. Именно об этом способе запрета флешки и пойдет речь в статье «Запрет USB».

Еще отмечу, что есть и другие простейшие программы типа: Ratool, USB Lock Standard и другие. Но они скорее скрипты с визуальным интерфейсом, которые реализуют метод реестра.

В рамках политики информационной безопасности возникает требование о блокировании USB портов, дабы пользователи не могли подключить к ним флэшку или usb винчестер и утянуть конфедициальную информацию, при этом нужно, чтобы работал принтер, мышь, клавиатура, и т.п. Самым простым выходом в этой ситуации является отключение портов USB через реестр Windows XP/Vista/7 /8/10 (плюс данного метода в том, что ненужно приобретать дополнительное программное обеспечение которое будет блокировать USB порты).

Недостаток данного метода в том, что практически любой пользователь, которому не лень прочесть пошаговую инструкцию сможет самостоятельно подключить уже отключенный порт. Тем не менее, учитывая что основная масса пользователей не любит читать инструкций потому как просто лень, данный способ существенно облегчает жизнь администратору.

Кстати сказать, этот способ подробно описан в многочисленных internet статьях и не является каким то секретным откровением, просто нужно набрать в поисковике необходимый запрос.

Итак, чтобы заблокировать USB порты совершаем следующие действия:

Запускаем редактор реестра. Делается это командой regedit («Пуск» – «выполнить» – в появившемся окне «Запуск программы» набираем regedit и жмем Enter).

В открывшемся окне «Редактор реестра» (в левой его части) дважды кликаем, выбирая раздел «HKEY_LOCAL_MACHINE», затем выбираем его подраздел «SYSTEM», в котором открываем подраздел «CurrentControlSet».

Далее входим в его подраздел «Services», после чего – в его подраздел «USBSTOR».

Полный путь в реестре будет : «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR».

В правой части окна «Редактор реестра» двойным кликом левой кнопки мыши выбираем параметр «Start».

В открывшемся окне «Изменение параметра DWORD (32 бита)» для отключения доступа к USB-портам вводим в поле «Значение» число 4 и затем нажимаем кнопку «ОК» для сохранения нового значения параметра. (Значение 3 – Включить usb-порты; Значение 4 -выключить usb-порты)

После внесения изменений перезагрузить компьютер, если это не сделать, то usb-порты будут функционировать в штатном режиме (пока не будет произведена перезагрузка).

В результате выполненных действий Вы выключили в Windows XP/Vista/7 доступ к USB-портам.

Предотвращение использования USB-устройств хранения данных

Описание проблемы

Допустим, что необходимо предотвратить подключение к USB-устройству хранения данных, которое подключено к компьютеру под управлением Windows XP, Windows Server 2003 или Windows 2000. В данной статье описаны соответствующие два метода.

Способ

Чтобы предотвратить использование USB-устройств хранения данных пользователями, используйте одну из следующих процедур, соответствующих вашей ситуации, или несколько.

USB-устройство хранения данных еще не установлено на компьютере

Если USB-устройство хранения данных еще не установлено на компьютере, назначьте разрешения Запретить для пользователя или группы и локальной учетной записи SYSTEM в следующих файлах:

После этого пользователи не смогут установить USB-устройство хранения данных в компьютер. Чтобы назначить пользователю или группе запрещающие разрешения на файлы Usbstor.pnf и Usbstor.inf, выполните следующие действия.

1. Запустите проводник Windows и найдите папку %SystemRoot%\Inf.

2. Щелкните правой кнопкой мыши файл Usbstor.pnf и выберите пункт Свойства.

3. Откройте вкладку Безопасность.

4. В списке Группы или пользователи добавьте пользователя или группу, для которых необходимо установить разрешения Запретить.

5. В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив пункта Полный доступ.

   Примечание. Также добавьте в список Запретить учетную запись System.

6. В списке Группы или пользователи выберите учетную запись SYSTEM.
   

7. В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив пункта Полный доступ и нажмите кнопку ОК.
   

8. Щелкните правой кнопкой мыши файл Usbstor.inf и выберите пункт Свойства.

9. Откройте вкладку Безопасность.

10. В списке Группы или пользователи добавьте пользователя или группу, для которых необходимо установить разрешения Запретить.

11. В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив пункта Полный доступ.

12. В списке Группы или пользователи выберите учетную запись SYSTEM.
    

13. В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив пункта Полный доступ и нажмите кнопку ОК.

Если USB-устройство хранения данных уже подключено к компьютеру

Если USB-устройство хранения данных уже подключено к компьютеру, можно изменить реестр, чтобы оно не работало, когда пользователь подключается к компьютеру.

РешениеВнимание! В этом разделе, описании метода или задачи содержатся сведения о внесении изменений в реестр. Но его неправильное изменение может привести к возникновению серьезных проблем. Поэтому такие действия необходимо выполнять с осторожностью. В качестве дополнительной защитной меры перед изменением реестра необходимо создать его архивную копию. Это позволит восстановить реестр при возникновении неполадок. Дополнительные сведения об архивации и восстановлении реестра см. в следующей статье базы знаний Майкрософт:

322756 Как создать резервную копию и восстановить реестр в Windows Если USB-устройство хранения данных уже установлено на компьютере, присвойте параметру Start значение 4 в следующем разделе реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor После этого USB-устройства хранения данных не будут работать при подключении к компьютеру. Чтобы изменить значение параметра Start, выполните следующие действия.

1. Нажмите кнопку Пуск и выберите пункт Выполнить.

2. В поле Открыть введите команду regedit и нажмите кнопку ОК.

3. Найдите и выделите следующий раздел реестра:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

4. Дважды щелкните в области сведений параметр Start.

5. В поле Значение введите 4, выберите Шестнадцатеричная (если этот вариант не выбран) и нажмите кнопку OK.

6. Закройте редактор реестра.

Проблема устранена?

Проверьте, устранена ли проблема. Если это так, пропустите дальнейшие сведения, приведенные в статье. Если нет, обратитесь в службу технической поддержки.

Дополнительные сведения

Для получения сведений о наличии новых драйверов обратитесь к поставщику USB-устройства. Сведения об изготовителях оборудования см. на веб-сайте корпорации Майкрософт по следующему адресу:

http://support.microsoft.com/ru-ru/gp/vendors/ru-ruКонтактные данные сторонних производителей предоставляются с целью помочь пользователям в получении необходимой технической поддержки. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно правильности приведенных контактных данных сторонних производителей.

Запрет использования USB накопителей с помощью групповых политик (GPO) Windows | Windows для системных администраторов

При подключении нового USB устройства к компьютеру, Windows автоматически определяет устройство и устанавливает подходящий драйвер, в результате чего пользователь практически сразу может использовать подключенное USB устройство или накопитель. В некоторых организациях для предотвращения утечки конфиденциальных данных и проникновения в сеть вирусов, возможность использования USB накопителей (флешки, USB HDD, SD-карты и т.п) блокируют из соображений безопасности. В этой статье мы покажем, как с помощью групповых политик (GPO) заблокировать возможность использовать внешних USB накопителей в Windows, запретить запись данных на подключенные флешки и запуск исполняемых файлов.

Политики управления доступом к внешним носителям в Windows

В ОС Windows начиная с Windows 7 / Vista появилась возможность достаточно гибкая возможность управления доступом к внешним накопителям (USB, CD / DVD и др.) с помощью групповых политик. Теперь вы можете программно запретить использование USB накопителей, не затрагивая такие USB устройства, как мышь, клавиатура, принтер и т.д.

Политика блокировки USB устройств будет работать, если инфраструктура вашего домена AD соответствует следующим требованиям:

• Версия схемы Active Directory — Windows Server 2008 или выше [alert]Примечание. Набор политик, позволяющий полноценно управлять установкой и использованием съемных носителей в Windows, появился только в этой версии AD (версия схемы 44).[/alert]
• Клиентские ОС – Windows Vista, Windows 7 и выше

Настройка GPO для блокировки USB носителей и других внешних накопителей

Итак, мы планируем ограничить использование USB накопителей на всех компьютерах в определенном контейнере (OU) домена (можно применить политику запрета использования USB ко всему домену, но это затронет в том числе сервера и другие технологические устройства). Предположим, мы хотим распространить действие политики на OU с именем Workstations. Для этого, откройте консоль управления доменными GPO (gpmc.msc) и, щелкнув ПКМ по OU Workstations, создайте новую политику (Create a GPO in this domain and Link it here).

Назовем политику Disable USB Access.

Затем отредактируем ее параметры (Edit).

Настройки блокировки внешних запоминающих устройства присутствуют в пользовательском и компьютерных разделах GPO:

• User Configuration-> Policies-> Administrative Templates-> System->Removable Storage Access (Конфигурация  пользователя -> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам)
• Computer Configuration-> Policies-> Administrative Templates-> System-> Removable Storage Access (Конфигурация  компьютера-> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам)

Если нужно заблокировать USB накопители для всех пользователей доменного компьютера, нужно редактировать политики в разделе «Конфигурация компьютера». Разверните его.

В разделе «Доступ к съемным запоминающим устройствам” (Removable Storage Access) есть несколько политик, позволяющих отключить возможность использования различных классов устройств хранения: CD/DVD дисков, флоппи дисков (FDD), USB устройств, ленты и т.д.

• Компакт-диски и DVD-диски: Запретить выполнение (CD and DVD: Deny execute access).
• Компакт-диски и DVD-диски: Запретить чтение (CD and DVD: Deny read access).
• Компакт-диски и DVD-диски: Запретить запись (CD and DVD: Deny write access).
• Специальные классы: Запретить чтение (Custom Classes: Deny read access).
• Специальные классы: Запретить запись (Custom Classes: Deny write access).
• Накопители на гибких дисках: Запретить выполнение (Floppy Drives: Deny execute access).
• Накопители на гибких дисках: Запретить чтение (Floppy Drives: Deny read access).
• Накопители на гибких дисках: Запретить запись (Floppy Drives: Deny write access).
• Съемные диски: Запретить выполнение (Removable Disks: Deny execute access).
• Съемные диски: Запретить чтение (Removable Disks: Deny read access).
• Съемные диски: Запретить запись (Removable Disks: Deny write access).
• Съемные запоминающие устройства всех классов: Запретить любой доступ (All Removable Storage classes: Deny all access).
• Все съемные запоминающие устройства: разрешение прямого доступа в удаленных сеансах (All Removable Storage: Allow direct access in remote sessions).
• Ленточные накопители: Запретить выполнение (Tape Drives: Deny execute access).
• Ленточные накопители: Запретить чтение (Tape Drives: Deny read access).
• Ленточные накопители: Запретить запись (Tape Drives: Deny write access).
• WPD-устройства: Запретить чтение (WPD Devices: Deny read access) – это класс портативных устройств (Windows Portable Device). Включает в себя смартфоны, планшеты, плееры и т.д.
• WPD-устройства: Запретить запись (WPD Devices: Deny write access).

Как вы видите, для каждого класса устройств вы можете запретить запуск исполняемых файлов (защита от вирусов), запретить чтение данных и запись/редактирование информации на внешнем носителе.

Наиболее «суровая» ограничительная политика — All Removable Storage Classes: Deny All Access (Съемные запоминающие устройства всех классов: Запретить любой доступ) – позволяет полностью отключить доступ к любым типам внешних устройств хранения данных. Чтобы включить эту политику, откройте ее и переведите в состояние Enable.

После активации политики и обновления ее на клиентах (gpupdate /force) внешние подключаемые устройства (не только USB устройства, но и любые внешние накопители) определяются системой, но при попытке их открыть появляется ошибка доступа:

Location is not available

Drive is not accessible. Access is denied

Совет. Аналогичное ограничение можно задать, через реестр, создав в ветке HKEY_CURRENT_USER (или ветке HKEY_LOCAL_MACHINE) \Software\Policies\Microsoft\Windows\RemovableStorageDevices ключ Deny_All типа Dword со значением 00000001 .

В этом же разделе политик можно настроить более гибкие ограничение на использование внешних USB накопителей.

К примеру, чтобы запретить запись данных на USB флешки, и другие типы USB накопителей, достаточно включить политику Removable Disk: Deny write access (Съемные диски: Запретить запись).

В этом случае пользователи смогут читать данные с флешки, но при попытке записать на нее информацию, получат ошибку доступа:

Destination Folder Access Denied

You need permission to perform this action

С помощью политики Removable Disks: Deny execute access (Съемные диски: Запретить выполнение) можно запретить запуск с USB дисков исполняемых файлов и файлов сценариев.

Как запретить использовать USB накопители определенным пользователям

Довольно часто необходимо запретить использовать USB диски всем пользователям в домене, кроме, например, администраторов.

Проще всего это реализуется с помощью использования Security Filtering в GPO. Например, чтобы запретить применять политику блокировки USB к группе администраторов домена.

1. Выберите в консоли Group Policy Management вашу политику Disable USB Access.
2. В разделе Security Filtering добавьте группуDomain Admins.
3. Перейдите на вкладку Delegation, нажмите на кнопкуAdvanced. В редакторе настроек безопасности, укажите что, группе Domain Admins запрещено применять данную GPO (Apply group policy – Deny).

Если задача стоит по-другому: нужно разрешить использовать USB диски всем, кроме определённой группы пользователей, нужно в настройках безопасности политики добавить вашу группу пользователей с разрешениями на чтение и применение GPO, а у группы Authenticated Users или Domain Computers оставить только разрешение на чтение (сняв галку у пункта Apply group policy).

Блокирование доступа к USB накопителям через реестр и GPP

Более гибко управлять доступом к внешним устройствам можно с помощью настройки параметров реестра, которые задаются рассмотренными выше политиками через механизм Group Policy Preferences (GPP). Всем указанным выше политикам соответствуют определенные ключи реестра в ветке HKLM (или HKCU) \SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices (по умолчанию этого раздела в реестре нет). Чтобы включить ту или иную политику нужно создать в указанном ключе новую подветку с именем класса устройств, доступ к которым нужно заблокировать (столбец 2) и REG_DWORD параметром с типом ограничения Deny_Read или Deny_Write. Если значение ключа равно 1—  ограничение активно, если 0  – запрет использования данного класса устройств не действует.

Таким образом с помощью данных ключей реестра и возможностями нацеливания политик GPP с помощью Item-level targeting вы сможете гибко применять политики, ограничивающие использование внешних устройств хранения, к определённым группам безопасности AD, сайтам, версиям ОС, OU и другим характеристикам компьютеров, вплоть до WMI запросов. Таким образом можно сделать так, чтобы политики блокировки USB применялись только к компьютерам, которые входят (не входят) в определенную группу AD.

Примечание. Аналогичным образом вы можете создать собственную политики для классов устройств, которые в данном списке не перечислены. Узнать идентификатор класса устройства можно в свойствах драйвера в значении атрибута Device Class GUID.

Защита USB-флеш накопителей от вирусов

Введение

Правильно говорят: «все новое — хорошо забытое старое». Привыкнув, что зараза прет только через инет, мы окончательно забыли, как лихо подцепляли вирусы с дискет друзей и знакомых. В наше время малварь нашла другой способ распространения: через USB-носители. Они оказались идеальным контейнером. А вкупе с дебильной политикой Винды — еще и очень эффективным.

Вставь пендрайв где-нибудь в универе или интернет-кафе — и малварь не заставить себя ждать. К гадалке не ходи по поводу флешки подружки: вопрос тут только в том, сколько разновидностей малвари уживается в одном месте. Да что там говорить, — если даже у опытных пользователей на внешних носителях часто оседает случайно подцепленная зараза? Принцип действия настолько прост, что описывается буквально в двух словах. Любой вирус, у которого в арсенале числится распространение через внешние носители, использует 2 файла autorun.inf и бинарник с собственно телом вируса. Когда пользователь вставляет флешку, Винда считывает зловредный autorun.inf и, следуя указаниям, сразу запускает тело вируса или же исполняет его во время двойного клика по иконке накопителя. Ну а, обосновавшись в системе, ничего не стоит копировать эти файлы на все подключаемые в систему диски. Недавний опыт Downadup, который использовал небольшой хинт, чтобы обмануть антивирусы, показал, что дело пора брать в свои руки. Сегодня мы разберемся, во-первых, как обезопасить свою флешку, а во-вторых, как избавить систему от «вредных привычек».

NTFS — НАШЕ ВСЕ, ИЛИ СПОСОБ №1

Оставим изучение живности зоологам. Вместо того чтобы ежедневно отлавливать малварь, мы сделаем так, чтобы она попросту не появлялась. А для этого создадим флешке такие условия, чтобы живность там не могла существовать. Первый способ — очень легкий и, пожалуй, самый эффективный (но, увы, не лишенный недостатков). Суть в том, чтобы распрощаться с файловой системой FAT32, которая поголовно используется на внешних носителях по умолчанию, — и перевести флешку на NTFS, получив все ее преимущества. Самый удачный вариант перейти на NTFS — отформатировать пендрайв специальной утилитой от компании HP: HP USB Disk Storage Format Tool (дистрибутив можно найти в Google по названию файла SP27213.exe). Требуется лишь выбрать нужный диск и файловую систему — в нашем случае NTFS. Практика, однако, показывает, что ничем не хуже оказываются встроенные средства Винды. Поэтому можно просто выбрать в контекстном меню пункт «Отформатировать» или даже банально воспользоваться консольной командой:

format f: /FS:NTFS

Если есть необходимость сохранить данные на флешке, используй встроенную утилиту для преобразования файловой системы на выбранном разделе:

convert f: /FS:NTFS

Вспоминаем, что вирусу обязательно нужно создать свой autorun. inf в корне сменного носителя, чтобы обосноваться на USB-носителе. Поэтому следующий шаг — просто запретить создание каких-либо файлов в корне флешки. Где же тогда хранить файлы? Очень просто — в специально созданной папке (пусть она будет называться FILES), для которой по-прежнему будут разрешены операции чтения/записи/выполнения файлов. Для этого переходим в свойства безопасности каталога и нажимаем на кнопку «Дополнительно». В появившемся окошке надо сделать важную вещь — отключить наследование разрешений от родительского объекта, сняв соответствующую опцию. Далее, в появившемся диалоге, жмем «Копировать» и выходим отсюда, дважды ответив «Ок». Теперь можно смело отключать запись в корневой каталог, не опасаясь, что новые политики будут унаследованы в нашей папке с файлами. Выбираем в колонке «Запретить» пункт «Запись», а в столбце «Разрешить» оставляем следующие права: «Чтение и выполнение», «Список содержимого папки», «Чтение». В итоге, мы получаем флешку, на которую не сможет записаться Autorun (ради чего собственно все и затеяли).

Для удобства можно создать защищенный от записи autorun.inf, который будет открывать ту самую папку FILES. Панацея? К сожалению, нет. Если малварь запущена с правами администратора, то ничто не помешает ей поменять ACL-разрешения, как вздумается. Правда, на практике, малвари, готовой к подобной ситуации, пока немного. А вот со следующей проблемой я столкнулся лично, — когда вставил вакцинированную флешку в свою магнитолу и, естественно, обломался. Большинство бытовых девайсов знать не знают о существовании NTFS и работают только с флешками на FAT32. Многие люди используют в качестве флешки PSP или MP3-плеер — и их вообще никак не получится отформатировать в NTFS. Ну и напоследок: флешки с NTFS становятся Read only на маках и на многих Linux’ах. Внимание — важный нюанс!

Если в случае с FAT32, на это можно было смело забивать, то с NTFS все данные проходят через кэш, и вероятность того, что часть данных, не успев полностью скопироваться из кэша, пропадет при отключении, крайне велика. В общем, ты меня понял — только «Безопасное отключение»!

СЛАВНЫЕ ОСОБЕННОСТИ FAT32, ИЛИ СПОСОБ №2

Как я уже сказал, вариант c NTFS прокатывает далеко не всегда. Но есть возможность оставить носитель на родной файловой системе FAT32 и, более того, — использовать для защиты ее специфику. Задача опять же та же — запретить вирусу создавать на флешке файл autorun.inf. Когда-то было достаточно просто создать каталог с именем AUTORUN. INF, выставив ему атрибуты «Read only» и «Hidden». Так мы препятствовали созданию файла с тем же именем. Сейчас это, понятно, не вариант. Зато есть чуть модифицированный трик, который большинство малвари обходить пока не научилось. Объясняю идею. Создаем каталог AUTORUN. INF. Если каталог не пустой, удалить его можно, лишь расправившись со всем содержимым. Это очень просто, — но только не в случае, когда в каталоге есть файлы с некорректными для FAT32 именами! Именно этот принцип защиты лежит в основе программы USB Disk Security (www. zbshareware.com), которая создает на флешке AUTORUN. INF и в нем файл «zhengbo.» (да-да, с точкой на конце — что, естественно, некорректно). И знаешь: большинство малвари остается не у дел. За свое «ноу-хау» разработчики просят $50, но нам ничего не стоит сделать то же самое вручную. Для этого вспоминаем старый трик из нашей давней статьи «Обход ограничений FAT32/NTFS заключающийся в использовании локальных UNC-путей. Напомню, что UNC — это формат для записи пути к файлу, расположенному на удаленном компьютере. Он имеет вид \\server\share\path, где server — это название удаленного хоста. Такой способ доступа к файлам можно использовать и для локальной машины, — только тогда вместо server нужно подставлять «?» или «.», а путь к файлу указывать вместе с буквой диска. Например, так: \\?\C:\ folder\file.txt. Фишка в том, что при использовании UNC-путей и стандартных консольных команд можно создавать файлы даже с запрещенными файловой системой именами. Создадим несложный BAT-файл со следующим содержанием:

mkdir «\\?\J:\AUTORUN. INF\LPT3″

После запуска получим каталог с некорректным именем LPT3, находящийся в папке AUTORUN.INF — обычным способом ее уже не удалить, а значит, малварь не сможет создать файл autorun.inf, оставшись не у дел! Недостатков хватает и у этого способа. Во-первых, разработчики новой малвари могут использовать хинт от обратного и воспользоваться UNC-путями для удаления файлов/папок с некорректным именем: \\?\J:\AUTORUN.INF\LPT3. Директорию можно вообще не удалять — а беспрепятственно переименовать: к примеру, в AUTORUN.INF1. Другой вопрос, что такой малвари пока, опять же, немного. И раз мы заговорили о создании BAT-файла, то накидаем универсальный скриптик, который, помимо всего прочего, будет:

• удалять папку, замаскированную под корзину (на флешке ее быть не должно), где располагают свои тела многие черви (в том числе, Downadup), а также папку с файлами восстановления системы;
• создавать системную папку AUTORUN.INF с директорией COM1 ;
• с удалением такого файла будут трудности даже под NTFS;
• удалять и защищать desktop. ini, который также часто используется малварью.

rd /s /q %~d0\recycled
rd /s /q %~d0\recycler
rd /s /q «%~d0\System Volume Information»
del /f /q %~d0\autorun.*
mkdir «\\?\%~d0\autorun.inf\com1»
attrib +s +h %~d0\autorun.inf
del /f /q %~d0\desktop.ini
mkdir «\\?\%~d0\desktop.ini\com1»
attrib +s +h %~d0\desktop.ini

Достаточно сохранить это на флешке с именем, например, autorun.bat и запустить.

СОВЛАДАТЬ С АВТОЗАГРУЗКОЙ

Одно дело — разобраться со своей собственной флешкой, и совсем другое — не подцепить заразу с чужих. Для того чтобы малварь не перекочевала на твой комп, продолжив свое победоносное шествие, необходимо, во-первых, грамотно отключить автозагрузку, и, во-вторых, взять на вооружение пару полезных утилит.

Начнем с первого. Казалось бы: что может быть проще, чем отключение автозапуска? Но на деле все не так прозрачно! Даже если поставить запрет через локальные политики Windows, в системе все равно остаются дырки, позволяющие заюзать малварь. Это легко проверить! Сначала отключаем автозапуск через стандартные политики Windows и убеждаемся, что автозапуск вроде как не работает. А теперь проведем эксперимент, создав на флешке autorun. inf со следующим содержанием:

[autorun]
open = calc.exe
shell\Open\Command=calc.exe
shell\Open\Default=1
shell\Explore\Command=calc.exe
shell\Autoplay\Command=calc.exe

Во время монтирования девайса, действительно, ничего не запускается, но попробуем дважды щелкнуть по иконке носителя. Что мы видим? Винда открывает калькулятор! Думаю, не надо объяснять, что вместо него т ам могло оказаться, что угодно. Вместо этого приведу подробную инструкцию, как правильно и окончательно отключить автозапуск системы:

1. Первым делом правим ключ реестра, который отвечает за запуск с CD. Переходим в ветку

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom

находим параметр AutoRun и устанавливаем его равным нулю.

2. Далее переходим в раздел

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

Здесь создаем новый ключ NoDriveTypeAutoRun типа dword и задаем значение ff в шестнадцатеричной системе. Для верности можно повторить те же действия в ветке

HKEY_CURRENT_USER

но они все равно будут игнорироваться.

3. Другой интересный хинт заключается в редактировании ключа

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf

которому нужно присвоить значение (типа REG_SZ) — @SYS:DoesNotExist. Так мы заставляем Windows думать, что autorun.inf является конфигурационным файлом древних программ, разработанных для ОС, более ранних чем Windows 95! Не имея в распоряжении реестра, они использовали .INI-файлы для хранения своей конфигурации. Создав подобный параметр, мы говорим, чтобы система никогда не использовала значения из файла autorun.inf, а искала альтернативные «настройки» по адресу

HKEY_LOCAL_MACHINE\ SOFTWARE\DoesNotExist

(естественно, он не существует). Таким образом, autorun.inf вообще игнорируется системой, что нам и нужно. Используемый в значении параметра символ @ блокирует чтение файла .INI, если запрашиваемые данные не найдены в системном реестре, а SYS является псевдонимом для краткого обозначения раздела

HKEY_ LOCAL_MACHINE\Software.

4. Нелишним будет обновить параметры файлов, которые не должны автозапускаться, добавив туда маску *.*. В разделе

HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\ CancelAutoplay\Files

создаем строковой параметр типа REG_SZ с названием *.*. 5. В реестре Винды есть замечательный раздел MountPoints2, который обновляется, как только в компьютер вставляется USB-носитель. Собственно, именно это и позволяет провернуть трюк, который я описал вначале. Бороться с подобным положением вещей можно. Сначала необходимо удалить все ключи MountPoints2, которые ты сможешь найти поиском в реестре, после чего перегрузиться. Далее находим

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

и в политике доступа запрещаем редактирование ключа всем пользователям, включая админов. Не помешает и установить монитор реестра, который следил бы за появлением новых ключей MountPoints2 и блокировал к ним доступ. Только после этого можно быть уверенным, что автозапуск в системе работать не будет. Кто бы мог подумать, что все так сложно? 🙂

ПОЛЕЗНЫЕ УТИЛИТЫ

В поиске и сопротивлении малвари хорошими помощниками могут стать несколько утилит. Я не буду здесь приводить обычные антивирусы, которые, само собой, с этой напастью борются и во многих случаях — довольно успешно. Вместо этого рассмотрим несколько небольших, но очень полезных утилит.

1. AutoRunGuard (autorun.synthasite.com/AutoRunGuard.php). Миниатюрная, но очень расширяемая тулза позволит настроить правила — что должно происходить, когда подключается флешка или CD. Можно, к примеру, в момент монтирования тут же запускать сканнер малвари. AutoRunGuard сама проверяет наличие autorun.inf, а также скрытых файлов, уведомляя о них юзера.

2. Flash Guard (www.davisr.com). Эта утилита также следит за появлением в системе сменных накопителей. При обнаружении нового диска она предлагает, на выбор:

• Удалить добавленные файлом Autorun.inf пункты контекстного меню диска;
• Информировать пользователя о наличии на диске файла Autorun.inf;
• Удалить файл Autorun.inf;
• Удалить все файлы Autorun.*; Удаляем во всех случаях Autorun.inf и спим спокойно.

3. USB Disk Security (www. zbshareware.com). Увы, платная утилита для защиты флешек от малвари. По своему опыту могу сказать, что с вирусами она справляется на раз-два. В качестве бесплатной альтернативы можно привести Flash Disinfector.

Правим права доступа в консоли

Установить ручками права доступа для одной флешки — легко. Для двух-трех — тоже ничего сложного. Но если требуется вакцинировать сразу десяток, скажем, для всех сотрудников предприятия? В этом случае нелишним будет автоматизировать процесс, устанавливая ACL-правила для флешки через командную строку. Кстати говоря, используемая для этого консольная утилита cacls (Change Access Control Lists) — единственный способ настроить параметры безопасности в Windows XP Home Edition. Первым делом нужно получить текущую ACL-таблицу с флешки. Допустим, она определяется в системе как диск X: — команда для просмотра таблицы будет:

cacls X:\

В большинстве случаев вернется строка:

X:\ Все:(OI)(CI)F

Символ F (от слова Full) в конце означает полный доступ для всего содержимого, — о чем говорят флаги (OI)(CI). Нам нужно удалить права на изменение файлов, поэтому по очереди удаляем записи из таблицы. В нашем примере надо удалить запись о полном доступе для группы «Все»:

cacls X:\ /E /R

Все. После чего разрешаем доступ к каталогу в режиме чтения (Read only):

cacls X:\ /G Все:R

Попробуй теперь создать в корне флешки файл. Едва ли получится :).

Непробиваемая защита

Самая лучшая защита на флешке — запрет записи на хардварном уровне. Некоторое время назад у многих флешек такой переключатель был по умолчанию, но сейчас производители отошли от этой практики. Зато почти на всех карточках Secure Digital (SD) переключатели по-прежнему есть. Поэтому могу предложить непробиваемый вариант: купи такую карточку и компактный картридер, и в случае малейшего подозрения ставь переключатель в положение «read only». К тому же, картридер еще наверняка тебе пригодится (чтобы помочь скинуть фотографии красивой девушке, которая в панике бегает по офису в поисках провода от фотоаппарата).

Источник: xakep.ru

Степан «STEP» Ильин

файловых систем — есть ли способ предотвратить запись на USB-накопитель?

Существует ли эффективный метод, не зависящий от ОС, для предотвращения USB от того, что было написано?

Не совсем, если вы не используете устройство, в котором явно использует блокировщик / контроллер криминалистической записи или что-то подобное, которое блокирует запись данных на уровне контроллера.

Разрешения / ограничения на чтение и запись для подавляющего большинства устройств по своей сути физически способны читать и писать — как USB-флеш-накопители — это логическая конструкция на базе ОС .Когда что-то получает злонамеренный доступ к устройству, его просто не заботят такие логические ограничения, которые можно обойти. Помните: код — например, вирусы и вредоносное ПО — который может заразить систему, в основном всегда будет работать на уровне «root» / «admin» и может делать все, что захочет.

Таким образом, даже те SD-карты, на которых есть эти маленькие переключатели защиты от записи, довольно бесполезны, поскольку все, что получает глубокий доступ к системе, может просто игнорировать настройку «не писать мне». Например, просмотрите этот список различных способов отключения / обхода защиты от записи на SD-карты в различных системах; простая корректировка параметров реестра для StorageDevicePolicies с 1 до 0 в Windows по существу укажет системе игнорировать переключатель защиты от записи.

Этот вид «взлома» не является глубоким секретом и даже открыто обсуждается / пропагандируется службой поддержки Microsoft — например, в этой официальной ветке поддержки — при предоставлении поддержки пользователям, у которых есть законные причины для обхода защиты от записи на USB-устройствах.

Лучше всего — если целью является предотвращение несанкционированного доступа для записи — использовать носители, которые физически блокируют доступ для записи, такие как CD-R или DVD-R, после их записи.

Я мог бы использовать диск для этого и использовать дисковод с питанием от USB, где оптических приводов в ноутбуке нет, но это не так Это удобный способ, поэтому я предпочитаю использовать USB-накопитель, если это возможно.

Честно говоря, использование действительно доступных только для чтения носителей, таких как записанный CD-R или DVD-R, — единственный простой и практичный способ предотвратить злонамеренный доступ для записи на более глубоком уровне. Это может показаться неудобным, но я бы подошел к этому просто:

• CD-R / DVD-R Мастер инструментов: Создайте CD-R / DVD-R со всеми необходимыми инструментами. Используйте это как мастер. Может быть, записать несколько копий в качестве резервных.

• Создайте USB-версию Мастера CD-R / DVD-R: Теперь, когда создан этот CD-R / DVD-R, создайте точный клон содержимого этого CD-R / DVD-R на USB флеш накопитель.Логика заключается в том, что вы можете использовать эту USB-флешку ежедневно, и если она каким-то образом задохнется или заразится, вы можете «понизить» версию до CD-R / DVD-R.

Теперь все, что сказано, есть такая вещь, как криминалистический блокиратор / контроллер записи. Эти устройства в основном обеспечивают интерфейс между диском SATA или IDE и USB-соединением, что позволяет подключать и получать доступ к диску SATA или IDE без риска записи данных на него. И, как подразумевает термин «криминалистика», эти устройства в основном предназначены для юридических и / или правоохранительных целей, чтобы гарантировать, что устройство в «цепочке ответственности» не может быть взломано.

Таким образом, если «плохой парень» арестован, правоохранительные органы могут забрать его ноутбук, извлечь жесткий диск и подключить его к блокировщику / контроллеру записи судебно-медицинской экспертизы для сбора доказательств для любых целей, которые им нужны, таким образом, чтобы гарантировать судам и другим лицам, что данные не были подделаны.

Тем не менее, эти судебно-медицинские устройства блокировки записи / контроллеры недешевы — они стоят от 200 до 300 долларов (долларов США) — и в основном имеют интерфейсы USB к SATA или IDE; не USB к USB. Но ждать! Мне удалось найти этот корпус «ToughTech m3», который утверждает, что имеет «уникальный режим только для чтения WriteProtect»:

Он имеет уникальный режим WriteProtect только для чтения, который «блокирует» ваши данные и предотвращает случайное удаление или изменение кем-либо Это.Это удобный способ защитить ваш диск, когда вы одалживаете его в клиент или кто-то другой для распространения файлов или данных.

Быстрый поиск в Интернете показывает, что этот корпус можно купить менее чем за 50 долларов США. И если он выполняет то, что заявляет — так же, как работает судебно-медицинский блокиратор / контроллер записи — то это может быть хорошим вложением для кого-то вроде вас. Но у меня нет прямого опыта работы с этим устройством, поэтому я не могу говорить о его истинной способности защищать данные от непреднамеренного / случайного / несанкционированного доступа для записи.

— Как защитить файлы на USB-накопителях Формат

Сеть обмена стеком

Сеть Stack Exchange состоит из 176 сообществ вопросов и ответов, включая Stack Overflow, крупнейшее и пользующееся наибольшим доверием онлайн-сообщество, где разработчики могут учиться, делиться своими знаниями и строить свою карьеру.

2. 0
3. +0
6. Авторизоваться Зарегистрироваться

Super User — это сайт вопросов и ответов для компьютерных энтузиастов и опытных пользователей.Регистрация займет всего минуту.

Кто угодно может задать вопрос

Кто угодно может ответить

Лучшие ответы голосуются и поднимаются наверх

Спросил 7 лет, 6 мес. Назад

Просмотрено 10к раз

Итак, я хочу иметь файлы на моем USB-накопителе, которые вы не можете удалять или редактировать, поэтому только для чтения.Они также должны оставаться на USB при форматировании в Windows или diskmgmt.msc. Есть ли способ сделать определенные файлы доступными только для чтения, чтобы их нельзя было форматировать, удалять или редактировать?

USB не имеет переключателя.

1,17022 золотых знака88 серебряных знаков1313 бронзовых знаков

Создан 28 сен.

1,9255 золотых знаков1818 серебряных знаков3131 бронзовый знак

Первая возможность — сделать usb только для чтения.Но файлы все равно удаляются при форматировании USB-устройства:

1. Войдите в систему с учетной записью администратора Windows. Вы сможете сделать устройство хранения или любой файл доступным только для чтения, только если у вас есть административные привилегии.

2. Подключите USB-накопитель к USB-порту на боковой или задней панели портативного или настольного компьютера.

3. Щелкните «Пуск» и дважды щелкните значок «Компьютер».

4. Щелкните USB-накопитель правой кнопкой мыши и выберите в раскрывающемся меню пункт «Свойства».

5. Щелкните вкладку «Безопасность» и выберите параметр «Изменить». Найдите раздел «Запись атрибутов» и поставьте галочку рядом с Вариант «только для чтения».

6. Нажмите кнопку «Применить» или «ОК» в правом нижнем углу окна «Свойства», чтобы сохранить все изменения и сделать USB диск имеют атрибуты только для чтения.

Источник

Вторая возможность — создать скрытый раздел, который останется даже после форматирования устройства: Как создать скрытый раздел с помощью FbInst