Как сделать доступ к USB портам только для разрешённых устройств и запретить всем остальным? Закрываем доступ к USB-флешкам Избранное Как включить usb порты

Во многих фирмах и организациях запрет на использования USB накопителей одна из первоочередных задач которые ставятся перед системным администратором предприятия, причина тому две беды – вынос информации (секретных документов и т.д.) и внос ее: вирусы, игры и тому подобное. На первый взгляд задача решается просто – через BIOS отключить USB порты, но это затронет и другие USB устройства – мышь, клавиатура, принтер или зарядку для телефона.

Запрет USB через групповые политики Windows server 2008

Готовая групповая политика запрета накопителей, появилась в серверных ОС, начиная с Windows server 2008, настроить их на контроллере можно через оснастку gpmc.msc, располагаются по тому же пути (Policy > Computer configuration > Policies > Administrative Templates > System > Removable storage access). Работает она безотказно, но применятся только на операционные системы Windows Vista, 7 и 8.

Несколько сложнее, обстоят дела с Windows XP, несмотря на заявления Microsoft о прекращении поддержки XP весной 2014 , она по-прежнему занимает не малую часть операционных систем, используемых в корпоративном секторе. Не беда, настроим как и локальную, но только через ГПО. Запускаем gpmc.msc, создаем объект групповой политики и начинаем его редактировать.


В некоторых ситуациях может понадобиться отключить порты usb , что предполагает два вопроса: «как это сделать?» и «зачем это нужно?». Попытаемся сначала разобраться со вторым вопросом, а затем детально рассмотрим порядок действий по отключению USB-портов.

Зачем отключать порты USB?

Если к вашему компьютеру нет доступа других лиц, то вас, скорее всего, не заинтересует каким образом можно отключить порты USB. В противном случае ценность информации данного рода будет несомненной, так как это связано с обеспечение безопасности.

Любое внешнее устройство, подключаемое к тому или иному USB-порту, может содержать в себе вредоносный код, способный создать условия утечки конфиденциальной информации. Поэтому при использовании одного ПК несколькими лицами, включая членов семьи, которые по незнанию могут воспользоваться «левой» флешкой и занести «зловредов», следует озаботиться временным отключением портов USB.

Как отключить USB-порты на компьютере?

Существует несколько способов добиться поставленной задачи. Мы не будет их все рассматривать, а остановимся на одном, предполагающим использование правки реестра. В частности, необходимо будет найти требуемый объект в рамках реестра и изменить лишь один параметр. Для этого:

  1. Откройте реестр, что можно достичь посредством вызова окна «Выполнить» (Win + R) с последующим вводом в поисковую строку команды regedit и кликом по кнопке OK.
  2. Найдите папку USBSTOR по следующему пути:
  • HKEY_LOCAL_MACHINE;
  • SYSTEM;
  • CurrentControlSet;
  • services.
  1. Клик по папке USBSTOR вызовет появление параметров, среди которых вас должен интересовать лишь один из них – Start.
  2. Кликните по строке с параметром Start правой кнопкой мыши и перейдите в раздел отрывшегося меню «Изменить…».
  3. Станет доступно окно, в котором необходимо изменить значение «3» на значение «4» с последующим кликом по кнопке OK.
  4. На этом задачу можно считать выполненной.


Описанные выше действия приведут к тому, что порты USB будут отключены, то есть система сможет видеть подключаемые накопители, но исполнение каких-либо программ, записанных на них, станет невозможным. Для возврата системы в исходное состояние достаточно привести параметр Start к значению «3».

Как отключить конкретный USB-порт?

Для отключения определенного порта USB можно обратиться к возможностям «Диспетчера устройств»:

  • используйте такое сочетание клавиш, как Win + Pause, чтобы открыть раздел «Система»;
  • в этом разделе слева находится ссылка «Диспетчер устройств».

В выбранном разделе найдите «Контроллеры USB», затем – требуемый порт с открытием его свойств: правый клик, что предполагает вызов меню, где нижняя строка – «Свойства». Для отключения выбранного USB-порта откройте вкладку «Драйвер» и задействуйте кнопку «Отключить».

Для начала, необходимо разобраться, для чего может понадобиться отключать USB порты на компьютере. Тут все довольно просто. С появлением миниатюрных хранилищ данных, работающих через USB, возникла потребность, предотвращать утечку данных с компьютеров. При помощи обычной флешки или переносного жесткого диска, можно легко стянуть любую информацию. Для предотвращения таких инцидентов и необходимо полностью отключать USB порты. Конечно же, у каждого могут быть свои причины для отключения портов, но это не так важно. Ниже будут представлены несколько способов отключить USB порты на компьютере.

Отключаем USB порты в настройках BIOS

По сути, все довольно просто: заходим в настройки BIOS и отключаем все порты, или те, что необходимы. Нюансом является то, что на данный момент имеется несколько версий BIOS"а, и отключение портов в каждой иногда отличается.

BIOS Award . Заходим в настройки BIOS и выбираем пункт Integrated Peripherals. Переходим в данное меню. Далее просто находим пункты: USB EHCI Controller, USB Keyboard Support, USB Mouse Support и Legacy USB storage detect и отключаем их выбирая параметр Disabled . Затем просто сохраняем настройки и перезагружаем компьютер;

Phoenix-Award и AMI BIOS . Заходим в настройки и выбираем пункт Advanced (иногда в некоторых версия может быть пункт Peripherals) или Advanced BIOS Features . Далее переходим в меню USB Configuration. Далее выключаем все пункты USB Сохраняем настройки и перезагружаем компьютер;

UEFI . Более современная панель. Переходим в меню Peripherals или Advanced . Выбираем пункты Legacy USB Support и USB 3.0 Support и отключаем их. Далее сохраняем настройки и перезагружаем ПК.

Примечание! В некоторых версия пункты меню могут немного отличаться по названию, но это не страшно, просто походите по всем меню и найдите настройки USB.

Отключаем USB при помощи реестра

Это более подходящий способ. В реестре можно отключить доступ USB портов к конкретным устройствам, а не сами порты. Во времена, когда через USB подключается практически все, включая мышь и клавиатуру, то этот способ будет предпочтительнее. Можно просто отключить доступ портов конкретно к флешкам, но при этом компьютерная мышь будет работать нормально.

Открываем редактор реестра: сочетание клавиш Win+R , вводим команду regedit и жмем ОК . Далее переходим в следующий раздел:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ USBSTOR

Найдите пункт Start. Откройте его и укажите значение 4 . Сохраните настройки и перезагрузите компьютер. Данный раздел закрывает доступ внешних накопителей к порту.

Примечание! Если на компьютере не установлены драйвера USB контроллера, то значение Start автоматически сменится на значение 3 как только будет подключено устройство к порту.

Отключаем USB через Диспетчер устройств

Откройте Диспетчер устройств : правой кнопкой мыши на Мой компьютер , открываем Свойства , далее Диспетчер устройств . Открываем меню Контроллеры USB . Жмем правой кнопкой мыши и в контекстном меню выбираем пункт Отключить .

Важно! Вариант удаления драйверов на USB контроллеры не сработает, так как при первом же подключении устройства к порту, Windows начнет установку драйверов.

Отключаем USB при помощи файлов Windows


Запрещаем доступ при помощи Редактора локальной групповой политики


Так же запрет можно поставить на чтение и запись.

Дополнительно

Стоит так же упомянуть, что есть еще два способа ограничения доступа к портам: ограничить доступ при помощи сторонних программ и физическое отключения портов.

Стороннего ПО в интернете предостаточно, и настраивается каждое по своему, по этому нет смысла расписывать этот способ в статье. Все, что Вам нужно, это найти нужную программу и инструкцию к ней.

Что же касается физического отключения портов, то этот способ сработает лишь с портами на передней панели системного блока. Откройте системный блок и аккуратно отсоедините провода, идущие к портам.

Итог

Какова бы не была причина потребности отключения портов USB, теперь Вы знаете, как это сделать.

Часто требуется ограничить пути, по которым на компьютер с системой охраны попадают программы, совсем не предназначенные для охраны, и даже мешающие или вредящие работе охранной системы.

Это могут быть самые безобидные игры или самые злостные вирусы. В любом случае их присутствие нежелательно. Самым распространённым способом переноса вирусов и игр является простая USB флешка или любой другой USB накопитель . Для того чтобы ограничить использование в системе любых USB накопителей и оставить возможность подключать USB накопитель, одобренный руководством, воспользуйтесь следующей информацией:

Дано:

  • Компьютер операторов производства (OC Windows7)
  • Одобренная начальством USB-флешка для переноса данных с промышленных компьютеров на компьютер операторов

Требуется:
Обеспечить подключение только одной, одобренной начальством USB-флешки , запретив при этом подключение других, неодобренных.
Ход решения:
Можно полностью отключить использование USB накопителей воспользовавшись инструкцией , но в нашем случае этот способ не подходит, ибо одна флешка должна все-таки работать. Значит мы поступим по другому:
Итак, по шагам (разумеется, нужно обладать правами локального администратора):

  1. Win+R (аналог Пуск -> Выполнить), regedit .
  2. . Этот ключ хранит информацию о всех когда-либо подключенных USB-носителях.
  3. Даем себе полный доступ на USBSTOR (правая клавиша мыши -> Разрешения, отметить пункт Полный доступ у группы ВСЕ ).
  4. Удаляем все содержимое USBSTOR .
  5. Подключаем одобренную фэшку, убеждаемся в том, что она определилась. Внутри USBSTOR должен появиться ключ типа Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07 (F5 для обновления списка).
  6. Опять правый клик на USBSTOR , Разрешения . Убираем Полный доступ у группы ВСЕ , право на чтение оставляем.
  7. Те же самые права нужно назначить пользователю SYSTEM , но напрямую это сделать не получится. Сначала нужно нажать кнопку Дополнительно , убрать галку Наследовать от родительского обьекта …, в появившемся окне Безопасность сказать Копировать . После очередного нажатия на кнопку "ОК" права пользователя SYSTEM станут доступны для изменения.
  8. Для закрепления эффекта нажимаем кнопку Дополнительно еще раз и отмечаем пункт Заменить разрешения для всех дочерних объектов… Подтверждаем выполнение.

Чего же мы добились в итоге?
Разрешенная флешка подключается и отключается без проблем. При попытке же несанкционированного подключения Windows определит устройство, но установить его не сможет, выдав ошибку подключения. Причем, в USBSTOR"е будет создан новый ключ, который недвусмысленно укажет на попытку подключения неодобренного USB-накопителя.

Запрет использования USB накопителей во многих организациях необходим, чтобы предотвратить две беды – вынос информации (секретных документов и т.д.) и внос ее: вирусы, игры и тому подобное. Поэтому не удивительно, что такие заявки, часто поступают системному администратору. Казалось бы, задача решается просто – через БИОС отключить USB порты, но это затронет и другие USB устройства - мышь, клавиатура, принтер или зарядку для телефона. Итак, необходимо программно запретить использование флешек, при этом не задев полезных USB устройств.

Отключить USB Windows 7, 8, Vista

Начиная с Windows Vista в локальных групповых политиках (gpedit.msc) появился очень полезный куст, находится в Политика "Локальный компьютер" > Конфигурация компьютера > Административные шаблоны > Система > Доступ к съемным запоминающим устройствам. В нем можно гибко настроить запреты чтения, записи и выполнения на различные классы съемных устройств.

Отключить USB Windows XP

Чтобы запретить съемные запоминающие устройства USB в Windows XP, нужно немного подправить реестр и настроить права доступа к файлам драйвера:

  1. Отключить службу USBSTOR (regedit.exe)
    2. "Start"=dword:00000004
  2. Учетной записи SYSTEM выставить разрешение "Запретить" для следующих файлов:
    • %SystemRoot%\Inf\Usbstor.pnf
    • %SystemRoot%\Inf\Usbstor.inf
Тут описано более подробно, первоисточник - http://support.microsoft.com/kb/823732
Батники, для автоматизации отключения:
off-USB.bat
on-USB.bat

Запрет USB через групповые политики.

Готовая групповая политика запрета накопителей, появилась в серверных ОС, начиная с Windows server 2008, настроить их на контроллере можно через оснастку gpmc.msc, располагаются по тому же пути (Policy > Computer configuration > Policies > Administrative Templates > System > Removable storage access). Работает она безотказно, но применятся только на операционные системы Windows Vista, 7 и 8.

Несколько сложнее, обстоят дела с Windows XP, несмотря на заявления Microsoft о прекращении поддержки XP весной 2014 , она по-прежнему занимает не малую часть операционных систем, используемых в корпоративном секторе. Не беда, настроим как и локальную, но только через ГПО. Запускаем gpmc.msc, создаем объект групповой политики и начинаем его редактировать.

И самое главное. В windows XP и server 2003 раздела Настройки (Preferences) в редакторе политик нет и следовательно изменения реестра не применятся. Чтобы добавился этот раздел, необходимо применить обновление KB943729 (Клиентские расширения предпочтений групповых политик) на WinXP машинах. Кстати, после обновления раздел настроек не виден оснастке локальной групповой политики, но изменения реестра через доменные политики применяются отлично!