Иногда нужно заблокировать возможность использовать USB флешки или DVD привод на компьютере, чтоб посторонние ничего не могли скопировать или записать на сменные носители. Тут есть несколько вариантов решение проблемы. Можно пойти по радикальному пути, вытащить провода, или заклеить / выломать разъем. Однако намного лучше, да и проще, обойтись программным способом и ограничить доступ операционной системы к ненужным устройствам. Во втором случае не придется глубоко изучать нюансы работы операционной системы, вполне можно обойтись бесплатной утилитой Ratool , которая позволит все сделать в паре кликов мыши.
Программу не нужно устанавливать. Достаточно будет распаковать скачанный архив, откуда нужно будет запускать единственный исполняемый файл Ratool.exe. Для корректной работы приложение нужны административные права. При каждом запуске Ratool, программа будет запрашивать нужные права, которые нужно подтверждать.
Ratoo умеет только две вещи блокировать для записи съемные носители и запрещать доступ к съемным носителям, то есть считать файлы прочитать и записать их нельзя будет. Под съемными накопителями здесь подразумеваться все, что можно легко и быстро отключить и подключить к компьютеру не разбирая корпус, начиная от USB устройств (вроде флешек и внешних дисков) и кончая DVD приводами и ленточными накопителями.
Интерфейс программы представляет собой список из трех пунктов, с помощью которых можно разрешить чтение и запись, разрешить только чтения, и заблокировать чтение и запись на USB носитель. После того как выбран нужный пункт нужно нажать «Применить изменения». Обычно Ratoo рекомендует вытащить и вставить флешку, чтоб изменения вступили в силу, хотя обычно все нормально работает и без этого.
Ratoo разными цветами показывает, в каком сейчас состоянии, находиться доступ к флешкам. Зеленый означает, что никаких ограничений нет; оранжевый — файлы можно только считывать; красный – флешка заблокирована.
Добраться до других съемных накопителей, можно через меню «Параметры», где дублируются все пункты из главного меню привязанных к определенному типу устройств. Так же из этого раздела меню можно одним кликом мыши можно запретить или разрешить доступ ко всем съемным дискам, запретить Windows подключать съемные USB накопители, безопасно отключить съемный накопитель, чтоб не повредить данные и разрешить отображать скрытые файлы. Чтоб никто кроме вас ничего не мог ничего изменить с помощью Ratoo в разделе «Настройки» основного меню, можно включить защиту от изменения настроек установив пароль.
Но заблокировав доступ к USB флешки с помощью Ratoo ,не стоит особо радоваться, что компьютер надежно защищен. Программа делает изменения в политике безопасности операционной системы, продвинутым пользователи хорошо разбирающимся в компьютерах, в принципе не проблема обойти блокировку. Одно радует таких пользователей не более 5%, из которых половине придется, хорошо порыться в интернете, чтоб разобраться, как это сделать.
Настроек как таковых нет, от слова совсем. Пару пунктов, который можно было собрать в настройках, просто запихнули в раздел «Настройки» главного меню.
Как не удивительно, но Ratoo действительно работает и очень хорошо работает, позволяя одним кликом мыши ограничить доступ с компьютера к USB флешкам и другим съемным носителям. Не забывайте это не панацея от всех бед, при желании, блокировку доступа к съемным носителям можно обойти.
Программа прекрасно работает в 32-х и 64-х битных операционных системах. Операционная система переведена на несколько десятков языков, в том числе и русский. По умолчанию Ratoo будет общаться с вами на языке локализации операционной системы.
Страница для бесплатного скачивания Ratoo https://www.sordum.org/8104/ratool-v1-3-removable-access-tool/
Последняя версия на момент написания Ratoo 1.3
Размер программы: архив 428 кбайт
Совместимость: Windows Vista, Windows 7, 8 и 10
Иногда возникает необходимость отключить USB порты на компьютере или ноутбуке, чтобы ограничить доступ по подключению флешек, жестких дисков и других USB-устройств. Отключение портов USB поможет предотвратить подключение каких-либо накопителей, которые могут быть использованы для кражи важной информации или стать причиной заражения компьютера вирусом и распространения вредоносного программного обеспечения по локальной сети.
Рассмотрим 7 способов , с помощью которых можно заблокировать USB порты:
Если отключение через БИОС вам не подходит, можете закрыть доступ непосредственно в самой ОС Windows с помощью реестра.
Приведенная ниже инструкция позволяет закрыть доступ для различных USB-накопителей (например флешек), но при этом другие устройства, такие как клавиатуры, мыши, принтеры, сканеры все равно будут работать.
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ USBSTOR
Нажмите кнопку «ОК», закройте редактор реестра и перезагрузите компьютер.
Вышеописанный способ работает только при установленном драйвере USB контроллера. Если по соображениям безопасности драйвер не был установлен, значение параметра «Start» может быть автоматически сброшено на значение «3», когда пользователь подключит накопитель USB и Windows установит драйвер.
Этот способ не всегда работает. В примере, приведенном на рисунке выше отключение контроллеров (2 первых пункта) не привело к желаемому результату. Отключение 3-го пункта (Запоминающее устройство для USB) сработало, но это дает возможность отключить лишь отдельный экземпляр USB-накопителя.
Как вариант для отключения портов можно просто деинсталлировать драйвер USB контроллера. Но недостатком этого способа является то, что при подключении пользователем USB-накопителя, Windows будет проверять наличие драйверов и при их отсутствии предложит установить драйвер. Это в свою очередь откроет доступ к USB-устройству.
Еще один способ запрета доступа к USB-накопителям – это использование Microsoft Fix It 50061 (http://support.microsoft.com/kb/823732/ru — ссылка может открываться около митуты). Суть это способа заключается в том, что рассматриваются 2 условия решения задачи:
В рамках данной статьи не будем детально рассматривать этот метод, тем более, что вы можете подробно его изучить на сайте Microsoft, используя ссылку приведенную выше.
Еще следует учесть, что данный способ подходит не для всех версий ОС Windows.
Существует много программ для установки запрета доступа к USB портам. Рассмотрим одну из них — программу USB Drive Disabler .
Программа обладает простым набором настроек, которые позволяют запрещать/разрешать доступ к определенным накопителям. Также USB Drive Disabler позволяет настраивать оповещения и уровни доступа.
Хотя физическое отключение USB портов на материнской плате является практически невыполнимой задачей, можно отключить порты, находящиеся на передней или верхней части корпуса компьютера, отсоединив кабель, идущий к материнской плате. Этот способ полностью не закроет доступ к USB портам, но уменьшит вероятность использования накопителей неопытными пользователями и теми, кто просто поленится подключать устройства к задней части системного блока.
! Дополнение
В современных версиях Windows существует возможность ограничить доступ к съемным запоминающим устройствам (USB-накопителям в том числе) с помощью редактора локальной групповой политики.
Данный раздел локальной групповой политики позволяет настраивать доступ на чтение, запись и выполнение для разных классов съемных носителей.
Из всех найденных не долгим поиском методов в моём случае не подошёл ни один:)
Даже вариант с ограничением прав для пользователей в реестре не дал результата (удалил даже права для системы и администратора - т.е. все права полностью для всех - не помогло).
В итоге комбинировал свой вариант (сборка из двух разных).
В моём случае обычный пользователь не имеет никаких привелегий в системе (прям мечта!) и разумеется потребовался максимальный функционал - т.е. использование определённых (зарегистрированных) носителей на отдельных ПК.
Для этого используем всего две процедуры (действия):
В случае, когда права в ОС распределены и "обычная" работа выполняется пользователем с ограниченными правами данный метод полностью блокирует возможность подключить к ОС не зарегистрированный (системным администратором) "Флешки".
Удаление и добавление файлов Usbstor.pnf и Usbstor.inf можно осуществлять с помощью файлов.bat примерно следующего вида:
удаление
del /f /s /q C:\WINDOWS\inf\usbstor.inf C:\WINDOWS\inf\usbstor.PNF
восстановить (при условии, что файлы лежат рядом с bat-файлом)
xcopy ".\usbstor.inf" "C:\WINDOWS\inf\"
xcopy ".\usbstor.PNF" "C:\WINDOWS\inf\"
Ниже приведены другие способы ограничения доступа к данным устройствам (у меня по отдельности не сработали).
Управление компьютером->диспетчер устройств->контроллеры универсальной последовательной шины USB->(корневые USB концентраторы) -> "применение устройства: [отключено]
Например, если принтер подключен к какому-либо концентратору, то его можно не отключать.
примечание 1. Диспетчер устройств можно запустить из командной строки start devmgmt.msc .
примечание 2. Интересное свойство диспетчера устройств из консоли выполнить две команды:
Set devmgr_show_nonpresent_devices=1
start devmgmt.msc
Тогда в Диспетчере устройств отобразятся скрытые устройства.
Если не требуется USB - отключение контролеров USB.
Запретить использование всем, кроме избранных через "Управление компьютером -> Запоминающие устройства -> СъемныеЗУ -> Свойства -> Безопасность.
Недостаток
Здесь есть некие подводные камни, например, запрет на использование группе USER. Но администратор может входить в группу USER.
Впрочем, это равносильно изменению параметра
HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR "Start"
"Start"=dword:00000004 - запретить;
"Start"=dword:00000003 - разрешить.
примечание.
Запустить службу можно из командной строки
net start "Съемные ЗУ"
Идем в папку %Windows%\inf (папка имеет атрибут hidden) , в ней есть два файла - Usbstor.pnf и Usbstor.inf.
Запрещаем доступ к этим файлам, кроме группы администраторов или конкретного пользователя.
Зачем запрещать USB совсем, когда можно запретить только запись?
HKLM\SYSTEM\CurrentControlSet\control\StorageDevicePolicies.
Параметр WriteProtect, скорей всего его нет. Тогда его нужно создать с типом dword и присвоить значение 1.
И не забыть перегрузить компьютер. Чтобы восстановить - присвоить значение 0.
Итак, по шагам (разумеется, нужно обладать правами локального администратора):
Чего же мы добились в итоге?Разрешенная флешка подключается и отключается без проблем. При попытке же несанкционированного подключения Windows определит устройство, но установить его не сможет, ругнувшись следующим образом:
Причем, в USBSTOR"е будет создан новый ключ, который недвусмысленно укажет на попытку подключения неодобренного USB-накопителя.
Одним из препятствий для использования флешки может быть отключение админом портов USB на вашем компьютере. можно разными способами, поэтому и методы противодействия требуются разные.
Такое возможно только с дополнительными портами, которые подключаются кабелем к материнской плате. Задние порты распаяны на самой материнке, и их минимум две штуки. Поэтому принесите из дома копеечный хаб, воткните его вместо мышки или клавиатуры и подключайте всю штатную периферию через него. Второй порт оставьте для загрузочной флешки.
Админ может отключить как порты вообще (редкий случай), так и отдельную опцию USB Boot. Именно она отвечает за возможность загрузки с USB-носителей. Как входить в настройки BIOS, мы уже разобрали, а отыскать нужную опцию не составит труда.
Хитрые админы просто сносят драйверы USB через диспетчер устройств, но вас это не остановит. Загрузиться с флешки отсутствие драйверов не помешает. Став локальным дмином, вы легко доустановите отсутствующие драйверы - Windows сама предложит это сделать.
Более тонкий метод - запрет использования именно USB-накопителей. При этом другие типы устройств с интерфейсом USB продолжают работать. Задается ограничение через ветку реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
При значении параметра Start 0x00000004 использование флешек и внешних дисков запрещено, а при 0x00000003 - разрешено. Бороться с этим можно тем же методом, что и в предыдущем пункте: загружаемся с флешки и меняем секцию USBSTOR через офлайновый редактор реестра.
Редактор групповых политик позволяет задать административный шаблон, запрещающий доступ к съемным запоминающим устройствам. Вновь загружаемся с флешки, узнаем пароль локального админа (или сбрасываем, если не удалось узнать), попутно активируем учетку, если она была отключена. После этого запускаем gpedit.msc и отключаем .
Ограничены права на чтение файлов usbstor.inf и usbstor.pnf в каталоге \Windows\Inf
Очередной трюк с правами NTFS. Если невозможно обратиться к этим файлам в ограниченной учетной записи, то не будут подключаться флешки. Используем права локального админа либо просто перемещаем эти файлы через WinPE на том FAT32. После обратного перемещения в \inf\ права доступа слетят.
Подключение устройств по USB контролируется отдельной программой. В помощь админам было написано множество утилит для ограничения использования флешек и внешних дисков. Большинство таких программ просто меняет значение упомянутой выше ветки реестра, но есть и продвинутые варианты. Такие умеют запоминать разрешенные флешки по номеру тома (VSN - Volume Serial Number) и блокировать остальные. Можно просто выгрузить процессы этих программ из памяти или подменить VSN. Это 32-битное значение, которое присваивается тому при его форматировании по значению текущей даты и времени.
Узнать VSN доверенной флешки можно командой vol или dir. С помощью программы Volume Serial Number Changer присваиваете такой же номер своей флешке и свободно ей пользуетесь. Для надежности замените еще и метку тома (просто через свойства диска).
Неожиданное препятствие для использования флешек возникает на компах с посредственным блоком питания (читай - на большинстве дешевых рабочих машин) безо всяких стараний админа. Дело в том, что шина 5 В просаживается настолько, что флешке не хватает питания. В таком случае отключите другое устройство из соседнего (парного) USB-порта или используйте активный хаб с собственным блоком питания. Через него можно запитать хоть внешний винчестер.