Запретить использование USB флеш накопителей (флешек) на компьютере

Однажды суровое начальство поставило на работе цель отключить возможность использование флешек на одном из рабочих компьютеров. Как оказалось, данная задача решается достаточно легко, и вот несколько способов её решения:

Использование групповых политик

Самый простой способ, с помощью которого можно сделать это удаленно (как политику для компьютеров в домене Active Directory), так и на локальном компьютере.

Для этого нужно открыть редактор групповых политик:

• Если вы планируете настраивать запрет на использование USB накопителей, то используйте команду для открытия редактора групповых политик на локальном компьютере — gpedit.msc .
• Если же вы планируете включить запрет используя групповые политики домена Active Directory, то нужно использовать команду gpmc.msc

Далее действия одинаковы для обоих случаев:

В окне редактора групповых политик переходим по следующему пути: Конфигурация компьютера — Политики — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам, после чего меняем значение пункта «Съемные запоминающие устройства всех классов: Запретить любой доступ» на «Включено«.

Используя редактор реестра

Так как в групповых политиках Windows XP нет пункта отвечающего за возможность отключения, то в ней придется использовать более изощренные методы.

1. Открываем Проводник/Мой компьютер, и переходим в папку %SystemRoot%\Inf . Находим файл Usbstor.pnf, нажимаем по нему правой кнопкой мыши, и затем открываем пункт меню Свойства.
2. В открывшихся свойствах находим вкладку Безопасность.
3. В поле «Группы или пользователи» находим строку «SYSTEM», и выделив её ставим галочку ниже у пункта «Полный доступ», в столбце «Запретить». Если строки SYSTEM нет, то её нужно добавить — для этого достаточно нажать кнопку «Добавить» и ввести там «SYSTEM». После этого следует сделать вышеописанную процедуру с запретом полного доступа.
4. Проделываем тоже самое для файла Usbstor.inf.
5. Далее, открываем Редактор реестра — для этого достаточно нажать кнопки Win + R , и ввести там команду Regedit . Затем нажимаем либо кнопку «ОК», либо клавишу Enter , и попадаем в Редактор реестра.
6. В левой части Редактора реестра переходим по следующему пути — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR. Теперь в правой части находим пункт Start, и открываем его двойным щелчком.
7. В открывшемся окне ставим значение Start «0», затем нажимаем кнопку «ОК», и закрываем Редактор реестра.

Как запретить использование USB флешки и других съемных накопителей в Windows

Если вам требуется, чтобы к компьютеру или ноутбуку с Windows 10, 8.1 или Windows 7 никто не мог подключить USB-накопители, вы можете запретить использование флешек, карт памяти и жестких дисков используя встроенные средства системы. Мышки, клавиатуры и другая периферия, не являющаяся хранилищем, продолжит работать.

В этой инструкции о том, как заблокировать использование USB флешек и других съемных накопителей с помощью редактора локальной групповой политики или редактора реестра. Также в разделе с дополнительной информацией о блокировке доступа через USB к устройствам MTP и PTP (камера, Android телефон, плеер). Во всех случаях для выполнения описываемых действий вы должны иметь права администратора в Windows. См. также: Запреты и блокировки в Windows, Как поставить пароль на флешку в BitLocker.

Запрет подключения USB флешек с помощью редактора локальной групповой политики

Первый способ более простой и предполагает использование встроенной утилиты «Редактор локальной групповой политики». Следует учитывать, что эта системная утилита недоступна в Домашней редакции Windows (если у вас такая версия ОС, используйте следующий способ).

Шаги по блокировке использования USB накопителей будут следующими:

1. Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter, откроется редактор локальной групповой политики.
2. Если требуется запретить использование USB накопителей для всех пользователей компьютера, перейдите к разделу Конфигурация компьютера — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам. Если требуется заблокировать доступ только для текущего пользователя, откройте аналогичный раздел в «Конфигурация пользователя».
3. Обратите внимание на пункты «Съемные диски: Запретить выполнение», «Съемные диски: Запретить запись», «Съемные диски: Запретить чтение». Все они отвечают за блокировку доступа к USB-накопителям. При этом запрет чтения запрещает не только просмотр содержимого флешки или копирование с неё, но и остальные операции (на накопитель нельзя будет что-либо записать, запуск программ с него также не будет выполняться).
4. Для того, чтобы, например, запретить чтение с USB накопителя, дважды нажмите по параметру «Съемные диски: Запретить чтение», установите значение «Включено» и примените настройки. Выполните то же самое для других требующихся вам пунктов.

На этом процесс будет завершен, а доступ к USB заблокирован. Перезагрузка компьютера не требуется, однако, если на момент включения ограничений накопитель уже был подключен, изменения для него вступят в силу только после отключения и повторного подключения.

Как заблокировать использование USB флешки и других съемных накопителей с помощью редактора реестра

Если на вашем компьютере отсутствует редактор локальной групповой политики, ту же блокировку можно выполнить и с помощью редактора реестра:

1. Нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter.
2. В редакторе реестра перейдите к одному из разделов: первый — для запрета использования USB накопителей для всех пользователей. Второй — только для текущего пользователя
3. Создайте подраздел RemovableStorageDevices, а в нем — подраздел с именем
4. В этом подразделе создайте нужные параметры DWORD32 (даже для Windows x64) — с именем Deny_Read для запрета чтения и других операций, Deny_Execute — для запрета выполнения, Deny_Write — для запрета записи на USB накопитель.
5. Установите значение 1 для созданных параметров.

Запрет использования USB флешек и других съемных накопителей вступит в силу сразу после внесения изменения (если на момент блокировки накопитель уже был подключен к компьютеру или ноутбуку, он будет доступен до отключения и повторного подключения).

Дополнительная информация

Некоторые дополнительные нюансы блокировки доступа к USB накопителям, которые могут оказаться полезными:

• Описанные выше способы работают для съемных USB флешек и дисков, однако не работают для устройств, подключенных по протоколу MTP и PTP (например, хранилище Android телефона продолжит быть доступным). Для отключения доступа по этим протоколам, в редакторе локальной групповой политики в том же разделе используйте параметры «WPD-устройства» для запрета чтения и записи. В редакторе реестра это будет выглядеть как подразделы , и в политиках RemovableStorageDevices (как описывалось выше) с параметрами Deny_Read и/или Deny_Write.
• Для того, чтобы в дальнейшем вновь включить возможность использования USB накопителей, просто удалите созданные параметры из реестра или установите «Выключено» в измененных ранее политиках доступа к съемным запоминающим устройствам.
• Еще один способ блокировки USB накопителей — отключение соответствующей службы: в разделе реестраизмените значение Start на 4 и перезагрузите компьютер. При использовании этого способа подключенные флешки даже не будут появляться в проводнике.

Помимо встроенных средств системы, есть сторонние программы для блокировки подключения различного рода USB устройств к компьютеру, в том числе и продвинутые инструменты наподобие USB-Lock-RP.

А вдруг и это будет интересно:

Почему бы не подписаться?

Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)

17.12.2019 в 07:34

с групповыми политиками отрубается доступ к диску D хотя он не съемный

17.12.2019 в 07:38

И в проводнике как обычный локальный диск отображается?
На материнке никакие функции горячей замены sata не включены?

10.01.2020 в 22:00

Здравствуйте!
Как обеспечить выборочное подключение USB-флешек в Windows 10 (1903 и 1909)?
Т.е. необходимо обеспечить обмен информацией только с определенной групой USB-флешек.
Для XP, 7 и ранних версий 10 еще работал механизм запрета для пользователя system на создание подраздела в MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR:
очищалась система от следов подключения флешек, подключались необходимые флешки, устанавливался вышеупомянутый запрет.
Для в Windows 10 (1903 и 1909) это не работает.
Решение мною так и не найдено.
Очень надеюсь на совет.

11.01.2020 в 09:08

Здравствуйте.
Ответил в другой статье с этим же комментарием от вас: https://remontka.pro/lock-everything-windows/

26.02.2021 в 17:40

Мне надо, чтоб ТОЛЬКО телефоны не виделись, а флэшки спокойненько определялись. Это можно как-то сделать?

Windows запретить usb флешки

Политика безопасности предприятия может требовать ограничений по использованию USB устройств.

Причин такой необходимости две: защита служебной информации (от разглашения/растаскивания) и защита ОС от вирусных опасностей (по большей части).

Из всех найденных не долгим поиском методов в моём случае не подошёл ни один 🙂

Даже вариант с ограничением прав для пользователей в реестре не дал результата (удалил даже права для системы и администратора — т.е. все права полностью для всех — не помогло ).

В итоге комбинировал свой вариант (сборка из двух разных).

В моём случае обычный пользователь не имеет никаких привелегий в системе (прям мечта!) и разумеется потребовался максимальный функционал — т.е. использование определённых (зарегистрированных) носителей на отдельных ПК.

Для этого используем всего две процедуры (действия):

Удаляем из реестра информацию о всех использованных (зарегистрированных в реестре) запоминающих устройствах USB любым удобным методом (на Ваш вкус).
Мне быстрее и проще всего оказалось воспользоваться простенькой утилитой

В случае, когда права в ОС распределены и «обычная» работа выполняется пользователем с ограниченными правами данный метод полностью блокирует возможность подключить к ОС не зарегистрированный (системным администратором) «Флешки».

Удаление и добавление файлов Usbstor.pnf и Usbstor.inf можно осуществлять с помощью файлов .bat примерно следующего вида:

удаление

восстановить (при условии, что файлы лежат рядом с bat-файлом)

Внимание! Для Windows 7 и выше все .bat файлы нужно запускать от имени администратора («Запустить от имени администратора» в контекстном меню).

Управление компьютером->диспетчер устройств->контроллеры универсальной последовательной шины USB->(корневые USB концентраторы) -> «применение устройства: [отключено]

Например, если принтер подключен к какому-либо концентратору, то его можно не отключать.

примечание 1. Диспетчер устройств можно запустить из командной строки start devmgmt.msc.

примечание 2. Интересное свойство диспетчера устройств из консоли выполнить две команды:

Тогда в Диспетчере устройств отобразятся скрытые устройства.

Если не требуется USB — отключение контролеров USB.

Запретить использование всем, кроме избранных через «Управление компьютером -> Запоминающие устройства -> СъемныеЗУ -> Свойства -> Безопасность.

Недостаток

Здесь есть некие подводные камни, например, запрет на использование группе USER. Но администратор может входить в группу USER.

Впрочем, это равносильно изменению параметра
HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR «Start»
«Start»=dword:00000004 — запретить;
«Start»=dword:00000003 — разрешить.

примечание. Запустить службу можно из командной строки
net start «Съемные ЗУ»

Идем в папку %Windows%\inf (папка имеет атрибут hidden) , в ней есть два файла — Usbstor.pnf и Usbstor.inf.

Запрещаем доступ к этим файлам, кроме группы администраторов или конкретного пользователя.

Более подробно это описано у Microsoft

Зачем запрещать USB совсем, когда можно запретить только запись?

Параметр WriteProtect, скорей всего его нет. Тогда его нужно создать с типом dword и присвоить значение 1.

И не забыть перегрузить компьютер. Чтобы восстановить — присвоить значение 0.

Итак, по шагам (разумеется, нужно обладать правами локального администратора):

1. Win+R (аналог Пуск -> Выполнить), regedit.
2. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR]. Этот ключ хранит информацию о всех когда-либо подключенных USB-носителях.
3. Даем себе полный доступ на USBSTOR (правая клавиша мыши -> Разрешения, отметить пункт Полный доступ у группы ВСЕ).
4. Удаляем все содержимое USBSTOR.
5. Подключаем одобренную фэшку, убеждаемся в том, что она определилась. Внутри USBSTOR должен появиться ключ типа Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07 (F5 для обновления списка).
6. Опять ПКМ на USBSTOR, Разрешения. Убираем Полный доступ у группы ВСЕ, право на чтение оставляем.
7. Те же самые права нужно назначить пользователю SYSTEM, но напрямую это сделать не получится. Сначала нужно нажать кнопку Дополнительно, убрать галку Наследовать от родительского обьекта…, в появившемся окне Безопасность сказать Копировать. После очередного нажатия на ОК права пользователя SYSTEM станут доступны для изменения.
8. Для закрепления эффекта нажимаем кнопку Дополнительно еще раз и отмечаем пункт Заменить разрешения для всех дочерних объектов… Подтверждаем выполнение.

Чего же мы добились в итоге?Разрешенная флешка подключается и отключается без проблем. При попытке же несанкционированного подключения Windows определит устройство, но установить его не сможет, ругнувшись следующим образом:

Причем, в USBSTOR’е будет создан новый ключ, который недвусмысленно укажет на попытку подключения неодобренного USB-накопителя.