V mnohých firmách a organizáciách je zákaz používania jednotiek USB jednou z hlavných úloh, ktoré sa stanovujú pred správcom systému v podniku. Dôvodom sú dva problémy - vyberanie informácií (tajné dokumenty atď.) A jeho zavedenie: vírusy, hry a podobne. Na prvý pohľad je problém vyriešený jednoducho - deaktivujte USB porty cez BIOS, ovplyvní to však aj ďalšie USB zariadenia - myš, klávesnicu, tlačiareň alebo nabíjačku telefónu.

Takže je potrebné programovo zakázať používanie flash diskov bez toho, aby ste sa dotkli užitočných zariadení USB. Existuje niekoľko riešení, poďme sa na ne pozrieť bližšie:

Zakážte USB Windows 7, 8, Vista

Počnúc systémom Windows Vista v politikách miestnych skupín ( gpedit.msc) objavil sa veľmi užitočný ker, ktorý sa nachádza v politike „Lokálny počítač“\u003e Konfigurácia počítača\u003e Šablóny pre správu\u003e Systém\u003e Prístup k vymeniteľným úložným zariadeniam ... V ňom môžete flexibilne nakonfigurovať zákazy čítania, zápisu a vykonávania pre rôzne triedy vymeniteľných zariadení.

Zakážte USB Windows XP

Ak chcete vypnúť vymeniteľné úložné zariadenia USB v systéme Windows XP, musíte trochu vylepšiť register a upraviť povolenia pre súbory ovládača:

1. Zakázať službu USBSTOR (regedit.exe)

„Štart“ \u003d dword: 00000004

1. Pre účet SYSTEM nastavte povolenie „Odmietnuť“ pre nasledujúce súbory:
   • % SystemRoot% \\ Inf \\ Usbstor.pnf
   • % SystemRoot% \\ Inf \\ Usbstor.inf

Je to popísané podrobnejšie tu, pôvodný zdroj je http://support.microsoft.com/kb/823732

Vytvorte súbor s príponou - .bata s kópiou jednej z variantov kódu
Batniki, na automatizáciu vypínania:

on-USB.bat

Rem 1) ACL cacls% SystemRoot% \\ inf \\ usbstor.inf / e / p "NT AUTHORITY \\ SYSTEM": F cacls% SystemRoot% \\ inf \\ usbstor.PNF / e / p "NT AUTHORITY \\ SYSTEM": F rem 2 ) Register reg add HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ USBSTOR / v Start / t REG_DWORD / d 00000003 / f

off-USB.bat

Rem ACL cacls% SystemRoot% \\ inf \\ usbstor.inf / e / p "NT AUTHORITY \\ SYSTEM": N cacls% SystemRoot% \\ inf \\ usbstor.PNF / e / p "NT AUTHORITY \\ SYSTEM": N rem register reg pridať HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ USBSTOR / v Štart / t REG_DWORD / d 00000004 / f

Zakázať USB prostredníctvom skupinových zásad systému Windows Server 2003

Skupinové politiky v systéme Windows Server 2003 predvolene neposkytujú ľahký spôsob zakázania vymeniteľných médií, ako sú USB porty, jednotky CD-ROM, diskety. Skupinové politiky je však možné rozšíriť tak, aby využívali príslušné nastavenia prostredníctvom šablóny ADM.

Šablóna ADM nižšie umožní správcovi zakázať príslušné zariadenie. Importujte túto šablónu pre správu do zásad skupiny ako súbor .adm.
V priečinku C: \\ WINDOWS \\ inf vytvorte súbor nodev.adm s nasledujúcim obsahom:

CLASS MACHINE CATEGORY !! category CATEGORY !! categoryname POLICY !! policynameusb KEYNAME "SYSTEM \\ CurrentControlSet \\ Services \\ USBSTOR" VYSVETLENIE !! vysvetliťtextusb PART !! labeltextusb DROPDOWNLIST POŽADOVANÝ HODNOTU "SPUSTIŤ" POLOŽKU NÁZOV !! Zakázané HODNOTA NEFULTA Povolené HODNOTA ČÍSLO POLOŽKA KONCOVEJ POLOŽKY KONIEC POLITIKY POLITIKY !! policynamecd KEYNAME "SYSTÉM \\ CurrentControlSet \\ Services \\ Cdrom" VYSVETLENIE !! vysvetlenietextcd ČASŤ !! labeltextcd DROPDAMEOWNLIST POŽADOVANÉ HODNOTY "Štart !! Povolené HODNOTA ČÍSELNÝ 4 KONIEC POLOŽKY KONCOVÁ ČASŤ POLÍCIA POLITIKY" SYSTÉM \\ CurrentControlSet \\ Services \\ Flpydisk "VYSVETLIŤ !! vysvetliťtextflpy ČASŤ !! labeltextflpy DROPDOWNLIST POŽADOVANÝ NÁZOV HODNOTY" Spustiť "POLOŽKU Povolené HODNOTA ČÍSELNÁ 4 KONCOVÁ POLOŽKA KONCOVÁ ČASŤ KONIEC POLITIKY POLITIKY !! policynamels120 KEYNAME" SYSTÉM \\ CurrentContSMEN \\ "\\ ! explatextls120 PART !! labeltextls120 DROPDOWNLIST POŽADOVANÝ VALUENAME "Start" NÁZOV POLOŽKY !! Zakázané VALUE NUMERIC 3 DEFAULT NAME !! Povolené VALUE NUMERIC 4 END ITEMLIST END PART END POLICY END CATEGORY END CATEGORY "category \u003d" Zakázať policynameusb \u003d "Vypnúť" "Zakázať disk CD-ROM" policynameflpy \u003d "Zakázať disketu" policynamels120 \u003d "Zakázať disketu s vysokou kapacitou" vysvetliť textusb \u003d "Zakáže USB porty počítačov vypnutím ovládača usbstor.sys" objasniť textcd \u003d "Zakáže disk CD-ROM počítačov vypnutím cdrom Ovládač .sys "explainstextflpy \u003d" Zakáže disketovú jednotku počítačov vypnutím ovládača flpydisk.sys "vysvetliť textls120 \u003d" Zakáže disketovú jednotku s vysokou kapacitou vypnutím ovládača sfloppy.sys "labeltextusb \u003d" Zakázať porty USB "labeltextcd \u003d" Zakázať CD -ROM Drive "labeltextflpy \u003d" Zakázať disketovú jednotku "labeltextls120 \u003d" Zakázať vysokokapacitnú disketovú jednotku "Povolené \u003d" Povolené "Zakázané \u003d" Zakázané "

DÔLEŽITÉ! Ak sa pridané zásady v editore skupinových zásad nezobrazia, postupujte takto:
1. V pravej časti okna editora politík kliknite pravým tlačidlom myši, prejdite na položku ponuky Zobraziť a kliknite na položku Filtrovanie ...
2. Zrušte začiarknutie políčka „Zobraziť iba nastavenia spravovaných zásad“
3. Kliknite na tlačidlo OK
Potom sa pridané zásady zobrazia na pravej strane okna editora skupinových politík.

Zakázať USB prostredníctvom skupinových zásad systému Windows Server 2008

V operačných systémoch serverov od Windows Server 2008 sa objavila pripravená skupinová zásada pre zákaz diskov, ktorú môžete nakonfigurovať v radiči pomocou modulu gpmc.msc, ktorý sa nachádza na rovnakej ceste (Zásady\u003e Konfigurácia počítača\u003e Zásady\u003e Správca Šablóny\u003e Systém\u003e Prístup k vymeniteľnému úložisku) ... Funguje bezchybne, ale týka sa iba operačných systémov Windows Vista, 7 a 8.

Situácia so systémom Windows XP je o niečo komplikovanejšia, napriek oznámeniu spoločnosti Microsoft o ukončení podpory systému XP na jar 2014 stále nezaberá malú časť operačných systémov používaných v podnikovom sektore. To nevadí, nastavíme to ako lokálne, ale iba cez GPO. Spustite súbor gpmc.msc, vytvorte objekt GPO a začnite ho upravovať.

Ak sa nachádzate v situácii, keď počítač prestane reagovať na príkazy zadané pomocou pripojeného počítača USB klávesnice alebo myš, skontrolujte možnosti USB v nastaveniach plán napájania... Niekedy Windows môcť odpojiť USB zariadenia počas odstávkyktorá prispieva k počítač šetriaci energiu, ale nie vždy opodstatnené a pohodlné z hľadiska práce.
Zabrániť dočasné vypnúť USB portyak čelíte podobnej situácii, plán napájania by sa malo zmeniť výkonové parametre... Kliknite na tlačidlo „Štart“ a do poľa „Nájsť programy a súbory“ zadajte slovo „Napájací zdroj“ a stlačte „Enter“. Zobrazí sa ikona „Napájanie“, kliknite na ňu ľavým tlačidlom myši.

Otvorené plány napájania je to možné aj z ovládacieho panela tak, že k nemu prejdete pohodlným spôsobom a v prípade potreby prepnete do režimu zobrazenia „Malé ikony“, zvolíte položku „Napájanie“.

Otvorí sa okno „Vybrať plán napájania“, v protiklade s ním súčasný plán úspory energie kliknite na „Konfigurovať plán napájania“.

V ďalšom kroku kliknite na možnosť „Zmeniť pokročilé nastavenia napájania“.

V okne, ktoré sa otvorí, vyhľadajte položku „USB Settings“ a najskôr ju otvorte, a potom kliknutím na „možnosť dočasne deaktivovať USB port“.

Kliknite na hodnotu „Povolené“ a zobrazí sa rozbaľovací panel s výberom možností. Existujú iba dve z nich, vyberte možnosť „Zakázané“.

Zo všetkých metód nájdených krátkym hľadaním v mojom prípade neprišla žiadna :)

Ani možnosť s obmedzením práv pre používateľov v registri nefungovala (dokonca ani odstránené práva pre systém a administrátor - teda všetky práva sú úplne pre všetkých - nepomohla).

Vo výsledku som skombinoval svoju verziu (zostavu dvoch rôznych).

Bežný používateľ v mojom prípade nemá v systéme žiadne privilégiá (iba sen!) A samozrejme bola potrebná maximálna funkčnosť - t.j. používanie určitých (registrovaných) médií na samostatných počítačoch.

Používame na to iba dva postupy (akcie):

1. Z registra vymažeme ľubovoľnou pohodlnou metódou (podľa vášho vkusu) informácie o všetkých použitých (registrovaných v registri) úložných zariadeniach USB.
   Najrýchlejším a najjednoduchším spôsobom pre mňa bolo použitie jednoduchého nástroja. Potom odstránime súbory zo systému % Windows% \\ inf \\ Usbstor.pnf a Usbstor.inf .
2. V budúcnosti, ak je to potrebné, pridajte (zaregistrujte) úložné zariadenie, pridajte do systému zadané súbory, potom pripojte (znova pripojte) jednotku USB a je v systéme úplne určená (zaregistrovaná). Po registrácii v systéme znova odstránime zadané súbory, čo opäť blokuje všetky pokusy o detekciu novej jednotky USB systémom.

V prípade, že sú práva v OS distribuované a „normálnu“ prácu vykonáva užívateľ s obmedzenými právami, táto metóda úplne blokuje možnosť pripojiť neregistrované (správcom systému) „flash disky“ k OS .

Odstránenie a pridanie súborov Usbstor.pnf a Usbstor.inf je možné vykonať pomocou súborov .bat, ktoré sú podobné tomuto:

vypustenie

del / f / s / q C: \\ WINDOWS \\ inf \\ usbstor.inf C: \\ WINDOWS \\ inf \\ usbstor.PNF

obnoviť (za predpokladu, že sa súbory nachádzajú vedľa súboru bat)

xcopy ". \\ usbstor.inf" "C: \\ WINDOWS \\ inf \\"
xcopy ". \\ usbstor.PNF" "C: \\ WINDOWS \\ inf \\"

Pozor! Pre Windows 7 a novšie verzie musia byť všetky súbory .bat spustené ako správca (v kontextovej ponuke „Spustiť ako správca“).

Nižšie uvádzame ďalšie spôsoby, ako obmedziť prístup k týmto zariadeniam (nepracovali mi samostatne).

Ovládanie počítača-\u003e Správca zariadení-\u003e Ovládače univerzálnej sériovej zbernice -\u003e (USB Root Hubs) -\u003e „Aplikácia zariadenia: [Zakázané]

Napríklad, ak je tlačiareň pripojená k rozbočovaču, môže byť ponechaná zapnutá.

poznámka 1. Správcu zariadení je možné spustiť z príkazového riadku spustiť devmgmt.msc.

poznámka 2. Zaujímavou vlastnosťou správcu zariadení z konzoly je spustenie dvoch príkazov:

Nastaviť devmgr_show_nonpresent_devices \u003d 1
spustiť devmgmt.msc

Potom sa v Správcovi zariadení zobrazia skryté zariadenia.

Ak USB nie je potrebné - odpojte radiče USB.

Zakážte použitie všetkými okrem obľúbených prostredníctvom položky „Správa počítača -\u003e Úložisko -\u003e Vymeniteľná RAM -\u003e Vlastnosti -\u003e Zabezpečenie.

Nevýhoda

Existujú tu niektoré úskalia, napríklad zákaz používania skupiny USER. Správca však môže byť členom skupiny USER.

Toto je však ekvivalentné zmene parametra
HKLM \\ SYSTEM \\ CurrentControlSet \\ Services \\ USBSTOR "Štart"
"Štart" \u003d dword: 00000004 - zakázať;
"Štart" \u003d dword: 00000003 - povoliť.

poznámka. Službu môžete spustiť z príkazového riadku
čistý štart „Vymeniteľné úložisko“

Prejdeme do priečinka% Windows% \\ inf (priečinok má skrytý atribút), sú v ňom dva súbory - Usbstor.pnf a Usbstor.inf.

Zakazujeme prístup k týmto súborom, s výnimkou skupiny správcov alebo konkrétneho používateľa.

Prečo úplne deaktivovať USB, keď môžete zakázať iba nahrávanie?

HKLM \\ SYSTEM \\ CurrentControlSet \\ control \\ StorageDevicePolicies.

Parameter WriteProtect s najväčšou pravdepodobnosťou neexistuje. Potom je potrebné vytvoriť typ dword a priradiť mu hodnotu 1.

A nezabudnite reštartovať počítač. Obnoviť - priradiť hodnotu 0.

Takže krok za krokom (samozrejme musíte mať práva miestneho správcu):

1. Win + R (analógový Štart -\u003e Spustiť), regedit.
2. ... Tento kľúč ukladá informácie o všetkých USB diskoch, ktoré boli kedy pripojené.
3. Poskytujeme plný prístup k USBSTOR (pravé tlačidlo myši -\u003e Povolenia, začiarknite položku Úplný prístup v skupine VŠETKY).
4. Vymazávame všetok obsah USBSTOR.
5. Pripojíme schválenú jednotku flash, uistite sa, že je definovaná. Vo vnútri USBSTOR by sa mal objaviť kľúč ako Disk & Ven_JetFlash & Prod_TS4GJF185 & Rev_8.07 (F5 pre aktualizáciu zoznamu).
6. Opäť RMB na USBSTOR, povolenia. Odstraňujeme Úplný prístup zo skupiny VŠETKY, ponechávame právo na čítanie.
7. Rovnaké práva musia byť pridelené používateľovi SYSTÉMU, ale nie je to možné urobiť priamo. Najprv musíte kliknúť na tlačidlo Spresniť, zrušiť začiarknutie políčka Dediť od rodičovského objektu ... v okne Zabezpečenie, ktoré sa zobrazí, napríklad Kopírovať. Po ďalšom kliknutí na OK budú práva používateľa SYSTÉMU k dispozícii na zmenu.
8. Efekt napravíte opätovným stlačením tlačidla Spresniť a označením položky Zmeniť oprávnenie pre všetky podradené objekty ... Potvrďte vykonanie.

Čo sme nakoniec dosiahli? Povolená jednotka USB flash sa bez problémov pripája a odpája. Pri pokuse o neoprávnené pripojenie systém Windows zistí zariadenie, ale nemôže ho nainštalovať, a to nasledovne:

V USBSTORe bude navyše vytvorený nový kľúč, ktorý jednoznačne bude označovať pokus o pripojenie neschválenej jednotky USB.

Pieskovisko

kamarát 12. marca 2013 o 14:37

Rýchlo a ľahko deaktivujte USB porty na Win7 časť 2

V predchádzajúcom článku som písal ako neskúsený používateľ, aby som zakázal USB porty pomocou skupinových politík. Zabudol som však, že rôzne verzie OS Windows 7 obsahujú rôzne funkcie.
Vezmite prosím na vedomie, že nehovorím o inštalácii ďalšieho slobodného softvéru, pretože zo skúsenosti viem, že zatvorením diery so slobodným softvérom riskujete otvorenie ďalších piatich. Navrhujem využiť výhody zabudovaných funkcií OS.

Zo skúseností viem, že v záujme šetrenia peňazí dávajú malé firmy na služobné vozidlá také verzie „Home Basic“ alebo „Home Premium“ (platí to iba v prípade, že sa spoločnosť snaží pracovať legálne a nechce pokutu za nelegálny softvér. A tie firmy, ktoré sa neboja šekov, potom dajú všetok pirátsky softvér tým neutrpia))).
A vo verziách „Home Basic“ a „Home Premium“ neexistujú žiadne súpravy, ktoré by vlastnili starších bratov. A zatváranie portov pomocou skupinových politík nebude fungovať. Preto musíme uzavrieť prístup priamo k spustiteľným súborom, ktoré spustia inicializáciu zariadení pripojených k USB portom.

Povedzme, že v stroji sú 3 používatelia, „Operátor“, „Manažér“ a „Správca“ v skupinách Administrators a Users.
Je potrebné zabezpečiť, aby jednotku flash mohol používať iba používateľ pod účtom „Správca“.

Zapneme počítač, prejdeme pod účet správcu, otvoríme prieskumník a napíšeme "% SystemRoot% \\ inf \\" (ďalej v texte, kópia bez úvodzoviek).

Ďalej vo vyhľadávaní napíšeme „USB“

Bude produkovať približne 18 položiek. (záleží, ktorý systém je nainštalovaný, verziu OS, nainštalované ďalšie ovládače pre USB)
V skutočnosti potrebujeme iba 8 súborov.
usb.inf
usbstor.inf
usbport.inf
winusb.inf
usb.PNF
usbstor.PNF
usbport.PNF
winusb.PNF

Potom musíme uzavrieť prístup k týmto súborom iným používateľom. Kliknite pravým tlačidlom myši na súbor „Usbstor.inf“ -> „Vlastnosti“

Prejdite na kartu „bezpečnosť“a stlačte tlačidlo „Zmeniť“

Potom vyberieme používateľov, ktorých musíme deaktivovať. Máme to „Operátor“, „Manažér“ a „Systém“. Ak potrebujeme deaktivovať všetky účty, ktoré patria do skupiny „Používatelia“ (sú to „Prevádzkovateľ“ a „Správca“), potom sme skupine jednoducho zakázali prístup. Pokiaľ iba na konkrétny, povedzme „operátor“, potom vyberieme tento konkrétny účet.

Pozor, používateľskému účtu „System“ je tiež potrebné zakázať používanie súboru.
Potom nastavíme zákaz používania, prepneme na iného používateľa a nastavíme tiež zákazy. Keď sú deaktivovaní potrební používatelia (mám iba „systém“ a „používateľov“)

stlačte tlačidlo „Ok“

Zobrazí sa varovanie, že to povedie k tomu, že prístup k súboru bude nedostupný a to všetko (ak si to želáte, môžete si ho prečítať), stlačte znova tlačidlo „OK“.
Opäť si prečítame správu o tom, či to naozaj chceme urobiť (ak chcete, môžete si ju prečítať), znova stlačte tlačidlo „Ok“.

Tento postup opakujeme pre ďalších 7 súborov.
usb.inf
usbport.inf
winusb.inf
usb.PNF
usbstor.PNF
usbport.PNF
winusb.PNF

Ak ide iba o nainštalovaný operačný systém, je všetko v poriadku a teoreticky nebude prístup k jednotke flash vybraným používateľom k dispozícii. Ak však jednotky flash už boli k tomuto systému pripojené tými používateľmi, ktorí potrebovali zakázať prístup k jednotkám flash, budete musieť zmeniť kľúč v registri.

Kliknite na štart -\u003e napísať regedit -\u003e otvoriť register

Otvorte priečinok „USBSTOR“
a zmeňte hodnotu parametra "Štart" na 4

Štítky: zakázať, USB porty, flash disk

Už som ti povedal ako zakázať touchpad alebo webová kamera na notebooku, klávesnica a myš... dnes si povieme ako vypnúť USB porty na akomkoľvek počítači. To môže chrániť vaše dáta pred krádežou alebo zabrániť USB flash disku v infikovaní vášho počítača.

Ľahko a jednoducho zakážte porty USB

Jednoduchý a bezplatný počítačový program USB Ports Disabler nerobí nič zvláštne - umožňuje iba bez toho, aby sa ponoril do džungle operačného systému, jedným kliknutím myši zakázať a povoliť službu USBSTOR, ktorá je zodpovedná za činnosť všetkých USB portov na počítač.

Keď deaktivujete túto službu, systém ich prestane vidieť - je vhodné ich používať z bezpečnostných dôvodov. Týmto jednoduchým spôsobom uzavrieme medzeru v zavádzaní vírusov do počítača pomocou externého média a zároveň zabránime možnosti odcudzenia (kopírovania) našich údajov z nej.

Na tomto programe sa mi najviac páčilo, že zakazuje USB porty iba pre externé úložné médiá (flash disky, disky, disky tretích strán ...) a veci ako USB adaptér pre bezdrôtovú myš sa naďalej zisťujú a fungujú - super.

Spustite teda USB Ports Disabler a kliknite na tlačidlo označené ako „Zakázať USB“ ...

... súhlasíme s deaktiváciou portov USB (ak by som bol autorom programu, odstránil by som druhé okno - prečo je toto prechodné potvrdenie?) ...

Všetko - porty sú zakázané. Výrobca odporúča reštartovať systém, ale ako som videl, nie je to potrebné. Ak vám počas odpojenia portov trčí v jednom z nich flash disk, potom sa nečudujte, že sa bude detegovať naďalej - vyberte ho z portu a skúste ho znova pripojiť ... to je všetko, počítač č. už to vidí.

Aby počítač videl svetlo a mohol znova detekovať externé úložné médium, stačí kliknúť na druhé tlačidlo v hlavnom okne programu - „Povoliť USB“.

Neodporúčam prepichnúť tlačidlo úplne vpravo s nápisom „Skryť IP adresu“ - prenesiete sa do prehliadača, na stránku nejakej služby VPN. Autor si zjavne týmto spôsobom zarába - nebudeme ho za to viniť. Existujú ďalší, aby skryli adresu IP bezplatné a spoľahlivé spôsoby.

Stiahnite si USB Ports Disabler

Na oficiálnej stránke program USB Ports Disabler Nájdete dve tlačidlové odkazy na stiahnutie bežnej a prenosnej verzie ...

Každý vážia niečo cez 1 MB. Program funguje úžasne vo všetkých operačných systémoch Windows (XP, Vista, 7, 8, 10 (32 \\ 64-bit)).

Až do nových užitočných a zaujímavých počítačových programov.