Как запретить использование USB флешки и других съемных накопителей в Windows
Если вам требуется, чтобы к компьютеру или ноутбуку с Windows 10, 8.1 или Windows 7 никто не мог подключить USB-накопители, вы можете запретить использование флешек, карт памяти и жестких дисков используя встроенные средства системы. Мышки, клавиатуры и другая периферия, не являющаяся хранилищем, продолжит работать.
В этой инструкции о том, как заблокировать использование USB флешек и других съемных накопителей с помощью редактора локальной групповой политики или редактора реестра. Также в разделе с дополнительной информацией о блокировке доступа через USB к устройствам MTP и PTP (камера, Android телефон, плеер). Во всех случаях для выполнения описываемых действий вы должны иметь права администратора в Windows. См. также: Запреты и блокировки в Windows, Как поставить пароль на флешку в BitLocker.
Запрет подключения USB флешек с помощью редактора локальной групповой политики
Первый способ более простой и предполагает использование встроенной утилиты «Редактор локальной групповой политики». Следует учитывать, что эта системная утилита недоступна в Домашней редакции Windows (если у вас такая версия ОС, используйте следующий способ).
Шаги по блокировке использования USB накопителей будут следующими:
- Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter, откроется редактор локальной групповой политики.
- Если требуется запретить использование USB накопителей для всех пользователей компьютера, перейдите к разделу Конфигурация компьютера — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам. Если требуется заблокировать доступ только для текущего пользователя, откройте аналогичный раздел в «Конфигурация пользователя».
- Обратите внимание на пункты «Съемные диски: Запретить выполнение», «Съемные диски: Запретить запись», «Съемные диски: Запретить чтение». Все они отвечают за блокировку доступа к USB-накопителям. При этом запрет чтения запрещает не только просмотр содержимого флешки или копирование с неё, но и остальные операции (на накопитель нельзя будет что-либо записать, запуск программ с него также не будет выполняться).
- Для того, чтобы, например, запретить чтение с USB накопителя, дважды нажмите по параметру «Съемные диски: Запретить чтение», установите значение «Включено» и примените настройки. Выполните то же самое для других требующихся вам пунктов.
На этом процесс будет завершен, а доступ к USB заблокирован. Перезагрузка компьютера не требуется, однако, если на момент включения ограничений накопитель уже был подключен, изменения для него вступят в силу только после отключения и повторного подключения.
Как заблокировать использование USB флешки и других съемных накопителей с помощью редактора реестра
Если на вашем компьютере отсутствует редактор локальной групповой политики, ту же блокировку можно выполнить и с помощью редактора реестра:
- Нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter.
- В редакторе реестра перейдите к одному из разделов: первый — для запрета использования USB накопителей для всех пользователей. Второй — только для текущего пользователя
- Создайте подраздел RemovableStorageDevices, а в нем — подраздел с именем
- В этом подразделе создайте нужные параметры DWORD32 (даже для Windows x64) — с именем Deny_Read для запрета чтения и других операций, Deny_Execute — для запрета выполнения, Deny_Write — для запрета записи на USB накопитель.
- Установите значение 1 для созданных параметров.
Запрет использования USB флешек и других съемных накопителей вступит в силу сразу после внесения изменения (если на момент блокировки накопитель уже был подключен к компьютеру или ноутбуку, он будет доступен до отключения и повторного подключения).
Дополнительная информация
Некоторые дополнительные нюансы блокировки доступа к USB накопителям, которые могут оказаться полезными:
- Описанные выше способы работают для съемных USB флешек и дисков, однако не работают для устройств, подключенных по протоколу MTP и PTP (например, хранилище Android телефона продолжит быть доступным). Для отключения доступа по этим протоколам, в редакторе локальной групповой политики в том же разделе используйте параметры «WPD-устройства» для запрета чтения и записи. В редакторе реестра это будет выглядеть как подразделы , и в политиках RemovableStorageDevices (как описывалось выше) с параметрами Deny_Read и/или Deny_Write.
- Для того, чтобы в дальнейшем вновь включить возможность использования USB накопителей, просто удалите созданные параметры из реестра или установите «Выключено» в измененных ранее политиках доступа к съемным запоминающим устройствам.
- Еще один способ блокировки USB накопителей — отключение соответствующей службы: в разделе реестраизмените значение Start на 4 и перезагрузите компьютер. При использовании этого способа подключенные флешки даже не будут появляться в проводнике.
Помимо встроенных средств системы, есть сторонние программы для блокировки подключения различного рода USB устройств к компьютеру, в том числе и продвинутые инструменты наподобие USB-Lock-RP.
А вдруг и это будет интересно:
Почему бы не подписаться?
Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)
с групповыми политиками отрубается доступ к диску D хотя он не съемный
И в проводнике как обычный локальный диск отображается?
На материнке никакие функции горячей замены sata не включены?
Здравствуйте!
Как обеспечить выборочное подключение USB-флешек в Windows 10 (1903 и 1909)?
Т.е. необходимо обеспечить обмен информацией только с определенной групой USB-флешек.
Для XP, 7 и ранних версий 10 еще работал механизм запрета для пользователя system на создание подраздела в MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR:
очищалась система от следов подключения флешек, подключались необходимые флешки, устанавливался вышеупомянутый запрет.
Для в Windows 10 (1903 и 1909) это не работает.
Решение мною так и не найдено.
Очень надеюсь на совет.
Защита информации на USB-накопителе
Рассмотрим несколько вариантов защиты информации на флешке несколькими способами. В целом их можно разделить на аппаратные и программные.
Первый вариант. Что касается аппаратной защиты, то можно выделить наличие переключателя на носителе информации, который в одном из режимов защищает от записи и удаления файлов, а в другом представляется полный доступ. Также имеются USB-накопители со встроенным шифрованием, где для доступа к информации необходимо
будет ввести пароль на самой флешке, и такие, где доступ к данным
реализуется по отпечатку пальца. Безусловно это не единственные варианты аппаратной защиты информации на носителе информации.
Второй вариант. Одним из программных вариантов защиты информации может быть наложение запрета на запись и выполнение, оставив только права на чтение информации с USB-накопителя. Для этого рекомендую предварительно на носителе информации сменить файловую систему на NTFS при условии, если у Вас не таковая. На рабочем столе следует запустить окно «Выполнить» сочетанием « Win+R », ввести « cmd », в открывшейся командной строке прописать « diskpart » и нажать «Enter». В окне утилиты «DISKPART» с помощью команды « list disk » следует определить номер, под которым идентифицировалась флешка. Командой «s elect disk N», (где N-номер диска) выбираю USB-накопитель. Используя данную команду « attributes disk set readonly », устанавливаю права только
на чтение для флешки. Теперь, при попытке ее отформатировать или создать файл появляется сообщение «Диск защищен от записи. Хочу заметить, что данный способ не всегда является эффективным особенно для файловой системы FAT32 и FAT.
Третий вариант. Более эффективным способом защиты информации на USB-накопителе и не только может быть использование встроенной утилиты в ОС Windows — Bitlocker, которая имеется, начиная с Vista. Для включения шифрования необходимо нажать правой клавишей мыши на носителе информации и в выпадающем меню выбрать «Включить BitLocker».
Далее следует ввести пароль для защиты данных, состоящий минимум из 8 символов. В окне «Архивирование ключа восстановления» выбрав «Сохранить в файл», следует указать место для сохранения файла, который может понадобится для разблокировки, если забыли пароль. Затем необходимо указать, как зашифровать диск. Безусловно, лучше указать «Шифровать весь», но для сокращения времени шифрования можно выбрать второй пункт. Режим шифрования для USB-накопителей следует выбрать — оптимальный для съемных носителей. Далее остается подтвердить «Начать шифрование». По завершении процесса следует извлечь носитель и теперь при подключении его к компьютеру выводится сообщение «Отказано в доступе».
При попытке зайти в корень накопителя появляется окно BitLocker, где следует ввести пароль для разблокировки.
Если установить накопитель в другой компьютер или ноутбук работающий на ОС Windows 7 и выше для доступа к информации понадобиться ввести пароль.
Четвёртый вариант. Еще одним надежным способом защиты данных на съемном носителе и не только является использование бесплатной программы для шифрования VeraCrypt, которая является кроссплатформенной и доступна для Windows, Linux и Mac OS. Для этого ее необходимо установить на ПК или использовать portable-версию.
Запустив VeraCrypt и для удобства работы с программой можно сменить язык, кликнув по пункту меню «Настройки» и выбрав первый пункт выпадающего меню «Язык». Для реализации шифрования следует нажать кнопку «Создать том», в окне мастера создания томов выбирать «Зашифровать несистемный раздел/диск». В следующем окне активировать пункт «Обычный том VeraCrypt». Далее требуется указать USB-накопитель, и если на нем имеется информация, выбрать «Зашифровать раздел на месте». Если на флешке отсутствует информация или она не нужна, то лучше выбрать первый пункт «Создать и отформатировать зашифрованный том», что сократит время на шифрование. Затем следует выбрать алгоритм шифрования. В этом случая можно оставить все по умолчанию и в следующем окне ввести пароль согласно требованиям, указанным ниже.
В открывшемся окне необходимо хаотично перемещать мышкой, пока нижний прогресс-бар не заполнится, после чего нажать «Далее». Что касается режима очистки, то в случае наличия информации на накопителе оставляю первый вариант «Нет (самый быстрый)» и переходим к процессу шифрования, который занимает порой длительное время (что зависит от объема носителя информации). Для проверки следует извлечь флешку из компьютера и подключить ее обратно. Сразу появляется окно с предложением отформатировать.
Безусловно, его следует просто проигнорировать, нажав на крестик. Для того, чтобы получить доступ к информации на накопителе, в окне программы VeraCrypt следует выбрать любую свободную букву диска и, кликнув по клавише «Устройство» выбрать зашифрованный раздел флешки, после чего остается нажать «Смонтировать» и в появившемся окне ввести пароль.
Теперь, если перейти в этот компьютер, имеется возможность получить доступ к информации на USB-накопителе. Из неудобств данного варианта защиты следует отметить то, что для осуществления доступа к информации на другом компьютере также понадобится программа VeraCrypt.
Пятый вариант. Несложным вариантом защиты информации на каком-либо носителе может быть использование зашифрованного архива. Например использование для этой цели архиватора 7-Zip, который соответственно, нужно заранее установить на компьютер. Затем следует выделить файлы, которые нужно защитить на носителе и нажав правую клавишу мыши выбрать пункту 7-Zip, где следует кликнуть по разделу «Добавить к архиву». В открывшемся окне имеется возможность шифрования где соответственно следует ввести пароль и нажать «ОК».
Теперь, если попытаться прочитать файлы в архиве, требуется ввести пароль, аналогичным образом — если попробовать разархивировать, необходимо будет ввести пароль.
Шестой вариант защиты информации на носителе может быть осуществлен при условии, если файловая система или раздела — NTFS.
Для этого на раздел диска ли файле нужно нажать правой клавишей мыши, выбрав «Свойства» и перейти на вкладку «Безопасность», и в ней кликнуть «Изменить». В открывшемся окне указать «Запретить полный доступ для всех пользователей и групп».
При желании открыть доступ только для чтения в моем случае автоматически снимаются ограничения по ряду других пунктов,
поэтому устанавливаю ограничения полного доступа нажав «Применить», а в открывшемся окне подтверждаю внесение представленных изменений. Выполнив изменения, следует извлечь USB-накопитель и устанавливаю обратно для проверки. При попытке зайти на данный раздел диска появляется сообщение «Отказано в доступе».
Если попробовать подключить внешний жесткий диск к другому компьютеру или ноутбуку и попытаться зайти на данный раздел, также появится сообщение об отказе в доступе. Чтобы получить доступ к разделу, следует перейти в свойства и, выбрав вкладку «Безопасность», кликнуть по клавише «Дополнительно», а в открывшемся окне нажать «Продолжить». Здесь следует сменить в выпадающем пункте «Тип» — «Запрещено» на «Разрешено».
Если перейти в «Свойства» раздела внешнего диска, где установлена файловая система FAT32, можно увидеть, что вкладка «Безопасность» отсутствует. Поэтому произвести ограничения прав доступа в таком случае не получится.
Подробнее представлено в данном видео:
Фото и видео материалы взяты с канала ServLesson на YouTube.
Как запретить запись на USB устройства в Windows 7
Если Вы работали или работаете в области IT, то наверняка сталкивались с такой ситуацией: увольняют (или увольняется) сотрудника. Прибегает Ваш руководитель с круглыми глазами и просит сделать так, чтобы этот самый сотрудник не смог вынести никакую важную информацию. Фотки с корпоративов, к примеру с отжигающим директором или личные рекорды в «Косынке», а может и того хуже — все ярлыки с рабочего стола, думая что это и есть файлы. (Вот вы ржоте, а чаще всего именно так и делают).
Шутки шутками, но способ обезопаситься есть, и это не презерватив.
Итак, задача: запретить записывать любую информацию на флешку, MP3 плеер, фотоаппарат и любое другое USB запоминающее устройство в Windows 7.
Работать будем с реестром, поэтому лезем прямиком в редактор этого самого реестра. Нажимаем ПУСК — вписываем в окошко поиска regedit, он нам выдается, тыкаем его. Лучше, конечно, ткнуть по нему правой кнопкой и выбрать «Запуск от имени администратора». Отрывается редактор реестра.
1. Идем сюда: HKEY_LOCAL_MACHINE \ System \ CurrentControllSet \ Control \ StorageDevicePolicies
2. Если раздела StorageDevicePolicies не существует (а скорее всего, именно так и есть), создаем его. Для этого выбираем ПРАВКА — СОЗДАТЬ — РАЗДЕЛ, называем его StorageDevicePolicies.
3. Переходим в этот раздел.
4. В правой части тыкаем правой кнопкой, выбираем СОЗДАТЬ — Параметр DWORD (32 бита). Если у Вас 64-х битка, то.. Я думаю, если у Вас 64-я, то Вы не ламер и сами в курсе… :). Называем этот параметр WriteProtect
4. Тыкаем дважды наш новый параметр WriteProtect, и изменяем 0 на 1.
Все, теперь устройства защищены от записи. Перезагрузка не требуется (у меня во всяком случае). Втыкаем флешку и пробуем на нее что-нибудь скопировать. Ага! не получилось?
Примечание: если сейчас, не вынимая флешку, изменить параметр обратно на 0, и снова попробовать скопировать что-нибудь, то опять ничего не получится. параметр сработает при следующем подключении флешки.