Доступ для записи USB или защита от записи USB — это функция безопасности, которую можно включить для любого хранилища данных USB. Основная цель включения доступа к USB-записи заключается в поддержании целостности USB-хранилища данных. В этом посте мы покажем вам, как вы можете включить или отключить доступ для записи через USB в Windows 10.
Включив защиту от записи, данные на диске не будут изменены. Таким образом, он может предотвратить вирусную атаку на USB-хранилище данных или несанкционированный доступ/копирование файлов из ОС Windows 10 на USB-накопитель пользователями ПК.
Существует два вида защиты от записи для USB-накопителей:
- Аппаратная защита от записи.
- Защита от записи программного обеспечения.
Аппаратная защита от записи в основном доступна в картридере или на дискетах. В аппаратной защите от записи на боковой стороне устройства чтения карт памяти находится механический переключатель, а на дискете — в нижнем левом углу черный скользящий блок. Как только этот переключатель отключен, защита от записи включена. Чтобы выключить/отключить, просто сдвиньте переключатель вниз.
В этом посте мы рассмотрим, как включить или отключить доступ для записи через USB с помощью программного метода.
Вы можете включить или отключить защиту от записи USB в Windows 10 одним из двух способов:
- Редактор реестра
- Редактор локальной групповой политики
Давайте подробно рассмотрим шаги, связанные с каждым методом.
1] Включение или выключение защиты от записи USB через редактор реестра
Это операция реестра, поэтому рекомендуется создать резервную копию реестра или создать точку восстановления системы на случай, если процедура пойдет не так. После того, как вы приняли необходимые меры предосторожности, вы можете действовать следующим образом:
- Нажмите клавишу Windows + R, чтобы вызвать диалоговое окно «Выполнить».
- В диалоговом окне «Выполнить» введите regedit и нажмите Enter, чтобы открыть редактор реестра.
- Перейдите или перейдите к пути раздела реестра ниже:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
- На левой панели щелкните правой кнопкой мыши клавишу Control, выберите «Создать» > «Ключ», назовите его «StorageDevicePolicies» и нажмите «Enter».
- Теперь нажмите StorageDevicePolicies.
- На правой панели щелкните правой кнопкой мыши пустое место и выберите «Создать» > «DWORD (32-разрядное) значение», назовите его « WriteProtect» и нажмите «Enter».
- Затем дважды щелкните на WriteProtect, чтобы изменить его свойства.
- Введите 1 в поле Значение и нажмите Enter, чтобы сохранить изменения.
- Перезагрузите компьютер, чтобы изменения вступили в силу.
Вот и все. Вы успешно включили защиту от записи для USB-накопителей через редактор реестра.
Если вы хотите отключить защиту от записи, откройте редактор реестра и перейдите или перейдите к расположению ниже.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies
На правой панели щелкните правой кнопкой мыши ключ WriteProtect и выберите «Удалить».
Перезагрузите компьютер, чтобы изменения вступили в силу.
2] Включение или отключение защиты от записи USB через редактор локальной групповой политики.
Чтобы включить или отключить защиту от записи USB через редактор локальной групповой политики, выполните следующие действия:
- Нажмите клавишу Windows + R, чтобы вызвать диалоговое окно «Выполнить».
- В диалоговом окне «Выполнить» введите gpedit.msc и нажмите Enter, чтобы открыть редактор групповой политики.
- В редакторе локальной групповой политики на левой панели перейдите к следующему пути:
Computer Configuration > Administrative Templates > System > Removable Storage Access
- На правой панели прокрутите и найдите политику доступа к Съемным дискам: Запретить запись.
- Дважды щелкните политику, чтобы изменить ее свойства.
- В окне свойств политики установите переключатель в положение « Включено» .
- Нажмите Применить > OK, чтобы сохранить изменения.
- Теперь вы можете выйти из редактора локальной групповой политики.
- Затем нажмите клавиши Windows + R , введите cmd и нажмите Enter, чтобы открыть командную строку.
- Введите команду ниже и нажмите Enter.
gpupdate /force
После обновления политики перезагрузите компьютер, чтобы изменения вступили в силу.
Вот и все. Вы успешно включили защиту от записи для USB-накопителей через редактор локальной групповой политики.
Если вы хотите отключить защиту от записи, повторите шаги, описанные выше, но для политики установите переключатель в положение Отключено или Не настроено.
Просмотров: 650
Хотите защитить данные на своем компьютере под управлением Windows 10, заблокировав или отключив USB-накопители на вашем ПК? В этом руководстве мы рассмотрим пять простых способов включения или отключения USB-накопителей в Windows 10.
Блокировка USB-накопителей в Windows 10 может быть выполнена разными способами. Вы можете использовать Реестр, BIOS или сторонние утилиты для включения или отключения USB-накопителей в системе Windows 10.
Ниже приведено пять способов включения или отключения USB-накопителей в Windows 10.
Способ 1 из 5
Включение и отключение USB-накопителей в Windows 10 с помощью реестра
Если вам удобно вносить изменения в реестр Windows, вы можете включить или отключить USB-накопители в Windows 10, вручную отредактировав реестр. Вот как это сделать.
Шаг 1: Откройте редактор реестра
Шаг 2: Перейдите к следующему разделу:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
Шаг 3: Теперь с правой стороны дважды кликните параметр «Start» и измените его значение на 4, чтобы отключить USB-накопители на вашем ПК с Windows 10. Измените значение Start на 3, чтобы включить USB-накопители и устройства хранения данных на вашем ПК.
Способ 2 из 5
Включение и отключение USB-портов через диспетчер устройств
Знаете ли вы, что вы можете отключить все порты USB с помощью диспетчера устройств? Отключив USB-порты, вы запрещаете пользователям использовать USB-порты для подключения USB-накопителей к вашему компьютеру.
Когда вы отключите USB-порты, USB на вашем ПК не будут работать, и, следовательно, никто не сможет подключать USB-накопители. Вам нужно будет снова включить USB-порты для подключения устройств через USB. Вот как включить или отключить порты USB с помощью диспетчера устройств.
ВАЖНО: Мы рекомендуем создать точку восстановления системы перед отключением USB-портов, чтобы вы могли легко включить их снова, когда захотите.
Шаг 1: Кликните правой кнопкой мыши на кнопке «Пуск» на панели задач и выберите «Диспетчер устройств».
Шаг 2: Разверните Контроллеры USB. Кликните правой кнопкой мыши на все записи оду за другой, и нажмите «Отключить устройство». Нажмите кнопку «Да», когда вы увидите диалоговое окно подтверждения.
Способ 3 из 5
Используйте USB Drive Disabler для включения или отключения USB-накопителей
Если вы не хотите редактировать реестр вручную, вы можете использовать бесплатный инструмент под названием USB Drive Disabler для быстрого включения или отключения USB-накопителей на вашем ПК. Просто загрузите USB Disabler, запустите его, а затем выберите «Включить USB-диски» или «Отключить USB-диски», чтобы включить или отключить USB-накопители на вашем ПК.
Загрузить USB Drive Disabler
Способ 4 из 5
Отключить или включить USB-порты в BIOS
Некоторые производители предлагают опцию в BIOS / UEFI для отключения или включения USB-портов. Загрузите BIOS / UEFI и проверьте, есть ли опция для отключения или включения USB-портов. Проверьте руководство пользователя вашего ПК, чтобы узнать, присутствует ли опция включения или отключения USB-портов в BIOS / UEFI.
Способ 5 из 5
Включение и отключение USB-накопителей с USB Guard
Nomesoft USB Guard — еще одна бесплатная утилита для блокировки USB-накопителей на компьютерах под управлением Windows 10 и более ранних версий Windows. Вы должны использовать эту программу как администратор для включения или отключения USB-накопителей.
Скачать Nomesoft USB Guard
Если вы хотите защитить накопители USB, обратитесь к следующей статье для получения подробной информации:
Как включить защиту от записи для USB накопителей в Windows 10
Защита от записи USB дисков- может быть полезной в качестве дополнительной опции безопасности.
При подключении нового USB устройства к компьютеру, Windows автоматически определяет устройство и устанавливает соответствующий драйвер, что позволяет пользователю сразу же начать использовать накопитель. Однако, если политика безопасности вашей организации требует запрета использования переносных USB накопителей (флешек, USB HDD, SD-карт и т.д.), вы можете заблокировать это поведение. В этой статье мы расскажем, как заблокировать использование внешних USB накопителей в Windows, запретить запись данных на подключенные флешки и запуск исполняемых файлов с помощью групповых политик (GPO).
Приобрести оригинальные ключи активации Windows Server всегда можно у нас в каталоге, от 1190 ₽
Настройка групповой политики блокировки USB накопителей в Windows
Windows позволяет гибко управлять доступом к внешним накопителям (USB, CD/DVD и др.) с помощью групповых политик Active Directory. При этом не требуется отключать USB порты через BIOS. Политики позволяют заблокировать только USB накопители, оставляя доступными другие устройства, такие как мыши, клавиатуры, принтеры и USB адаптеры.
В этом примере мы покажем, как заблокировать USB накопители на всех компьютерах в доменной OU с именем Workstations (можно также применить политику ко всему домену, но это затронет в том числе серверы и другие устройства).
1. Откройте консоль управления доменными GPO (gpedit.msc);
2. Найдите в структуре Organizational Unit контейнер Workstations, щелкните правой кнопкой мыши и создайте новую политику (Create a GPO in this domain and Link it here);
3. Задайте имя политики — Disable USB Access;
4. Перейдите в режим редактирования GPO (Edit).
Настройки блокировки внешних накопителей в GPO
Настройки для блокировки внешних накопителей можно найти как в разделе для пользователей, так и для компьютеров:
— User Configuration > Policies > Administrative Templates > System > Removable Storage Access (Конфигурация пользователя > Административные шаблоны > Система >Доступ к съемным запоминающим устройствам)
— Computer Configuration > Policies > Administrative Templates > System > Removable Storage Access (Конфигурация компьютера-> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам)
Если вы хотите заблокировать USB накопители для всех пользователей компьютера, настройте параметры в разделе Computer Configuration.
Политики для блокировки классов устройств
В разделе Removable Storage Access вы найдете несколько политик для отключения доступа к различным классам устройств:
— CD and DVD: Deny execute access – Запретить выполнение
— CD and DVD: Deny read access – Запретить чтение
— CD and DVD: Deny write access – Запретить запись
— Removable Disks: Deny execute access – Запретить выполнение
— Removable Disks: Deny read access – Запретить чтение
— Removable Disks: Deny write access – Запретить запись
— All Removable Storage Classes: Deny All Access – Полный запрет доступа ко всем внешним устройствам хранения.
Для полной блокировки доступа ко всем внешним накопителям настройте политику All Removable Storage Classes: Deny All Access в состояние Enable.
Как вы видите, для каждого класса устройств вы можете запретить запуск исполняемых файлов (защита от вирусов), запретить чтение данных и запись/редактирование информации на внешнем носителе.
Максимальная ограничительная политика — All Removable Storage Classes: Deny All Access (Съемные запоминающие устройства всех классов: Запретить любой доступ) позволяет полностью запретить доступ к любым типам внешних устройств хранения. Чтобы включить эту политику, откройте её и переведите в состояние Enable.
All Removable Storage Classes: Deny All Access
После настройки политики и обновления параметров GPO на клиентах (gpupdate /force) внешние подключаемые устройства (не только USB устройства, но и любые внешние накопители) будут определяться ОС, но при попытке их открыть появится ошибка доступа:
Location is not available
Drive is not accessible. Access is denied
USB Location is not available
Совет: Аналогичное ограничение можно задать через реестр, создав в ветке HKEY_CURRENT_USER (или HKEY_LOCAL_MACHINE) \Software\Policies\Microsoft\Windows\RemovableStorageDevices ключ Deny_All типа Dword со значением 00000001.
В этом же разделе политик можно настроить более гибкие ограничения на использование внешних USB накопителей.
К примеру, вы можете запретить запись данных на USB флешки и другие типы USB накопителей. Для этого включите политику Removable Disk: Deny write access (Съемные диски: Запретить запись).
Removable Disk: Deny write access
После этого пользователи смогут читать данные с USB флешки, но при попытке записать на неё информацию, они получат ошибку доступа:
Destination Folder Access Denied
You need permission to perform this action
Destination Folder Access Denied
С помощью политики Removable Disks: Deny execute access (Съемные диски: Запретить выполнение) можно запретить запуск исполняемых файлов и скриптов с USB дисков.
Как заблокировать USB накопители только определенным пользователям?
Часто необходимо заблокировать использование USB накопителей для всех пользователей, кроме администраторов. Это можно сделать с помощью Security Filtering GPO.
1. Найдите политику Disable USB Access в консоли Group Policy Management;
2. В разделе Security Filtering добавьте группу Domain Admins;
3. Перейдите на вкладку Delegation, нажмите Advanced и укажите, что группе Domain Admins запрещено применение этой GPO (пункт Apply group policy – Deny).
Может быть другая задача — нужно разрешить использование внешних USB накопителей всем, кроме определённой группы пользователей. Создайте группу безопасности “Deny USB” и добавьте эту группу в настройках безопасности политики. Для этой группы выставите разрешения на чтение и применение GPO, а у группы Authenticated Users или Domain Computers оставить только разрешение на чтение (сняв галку у пункта Apply group policy).
Добавьте пользователей, которым нужно заблокировать доступ к USB флешкам и дискам в эту группу AD.
Запрет доступа к USB накопителям через реестр и GPO
Вы можете управлять доступом к USB устройствам с помощью реестра. Для этого в ветке HKLM\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices создайте раздел с именем класса устройства, к которому хотите ограничить доступ, и добавьте параметры:
— Deny_Read – запретить чтение
— Deny_Write – запретить запись
— Deny_Execute – запретить выполнение
Задайте значение 1 для блокировки или 0 для разрешения доступа.
| Название параметра GPO | Подветка с именем Device Class GUID | Имя параметра реестра |
|---|---|---|
| Floppy Drives: Deny read access |
{53f56311-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Read |
| Floppy Drives: Deny write access |
{53f56311-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Write |
| CD and DVD: Deny read access |
{53f56308-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Read |
| CD and DVD: Deny write access |
{53f56308-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Write |
| Removable Disks: Deny read access |
{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Read |
| Removable Disks: Deny write access |
{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Write |
| Tape Drives: Deny read access |
{53f5630b-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Read |
| Tape Drives: Deny write access |
{53f5630b-b6bf-11d0-94f2-00a0c91efb8b} | Deny_Write |
| WPD Devices: Deny read access |
{6AC27878-A6FA-4155-BA85-F98F491D4F33} {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE} |
Deny_Read |
| WPD Devices: Deny write access |
{6AC27878-A6FA-4155-BA85-F98F491D4F33} {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE} |
Deny_Write |
Вы можете создать эти ключи реестра и параметры вручную. На скриншоте ниже мы создали ключ RemovableStorageDevices, а в нем подраздел с именем {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}. С помощью REG_DWORD параметров мы запретили запись и запуск исполняемых файлов с USB накопителей.
Запрет использования USB накопителей вступит в силу немедленно после внесения изменения (не нужно перезагружать компьютер). Если USB флешка подключена к компьютеру, она будет доступна до тех пор, пока ее не переподключат.
Чтобы быстро заблокировать чтение и запись данных на USBнакопители в Windows, можно выполнить такой PowerShell скрипт:
$regkey='HKLM:\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}'
$exists = Test-Path $regkey
if (!$exists) {
New-Item -Path 'HKLM:\Software\Policies\Microsoft\Windows\RemovableStorageDevices' -Name '{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}' -Force | Out-Null
}
New-ItemProperty -Path $regkey -Name 'Deny_Read -Value 1 -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path $regkey -Name 'Deny_Write' -Value 1 -PropertyType 'DWord' -Force | Out-Null
Полное отключение драйвера USB накопителей в Windows
Чтобы полностью отключить драйвер USBSTOR, измените значение параметра Start в ветке реестра:
HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR
Установите значение на 4 для отключения драйвера:
Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\USBSTOR" -name Start -Value 4
После этого перезагрузите компьютер. Теперь подключенные USB устройства не будут отображаться в проводнике или консоли управления дисками.
С помощью Group Policy Preferences вы можете отключить запуск драйвера USBSTOR на компьютерах домена. Для этого нужно внести изменения в реестр через GPO.
Эти настройки можно распространить на все компьютеры. Создайте новую групповую политику, назначьте ее на OU с компьютерами и в разделе Computer Configuration > Preferences > Windows Settings > Registry создайте новый параметр со значениями:
Action: Update
Hive: HKEY_LOCAK_MACHINE
Key path: SYSTEM\CurrentControlSet\Services\USBSTOR
Value name: Start
Value type: REG_DWORD
Value data: 00000004
История подключения USB накопителей в Windows
Для анализа блокирующих политик может понадобиться информация о подключенных к компьютеру USB накопителях.
1. Чтобы вывести список USB накопителей, подключенных прямо сейчас, выполните команду PowerShell:
Get-PnpDevice -PresentOnly | Where-Object { $_.deviceId -match '^USBSTOR' }.
2. Чтобы включить запись событий подключения/отключения USB устройств, перейдите в Event Viewer > Application and Services Logs > Windows > Microsoft-Windows-DriverFrameworks-UserMode > Operational. Активируйте журнал событий вручную (Enable Log) или через GPO.
Событие с EventID 2003 указывает на время подключения, а EventID 2102 — на время отключения USB накопителя.
Также вы можете использовать бесплатную утилиту USBDriveLog от Nirsoft которая позволяет вывести в удобном виде всю историю подключения USB флешек и дисков к компьютеру пользователю (выводится информацию об устройстве, серийный номер, производитель, время подключения/отключения, и device id).
Разрешить подключение только определенной USB флешки
Вы можете разрешить подключение только определённых (одобренных) USB флешек. При подключении USB устройства, драйвер USBSTOR создает запись в реестре по пути:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR.
В котором содержится информация о накопителе (например, Disk&Ven_Kingstom&Prod_DT_1010_G2&Rev_1.00 ).
Для разрешения подключения конкретных USB накопителей:
1. Выведите список подключённых ранее USB устройств командой:
Get-ItemProperty –Path HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\* | select FriendlyName.
2. Оставьте запись для нужного устройства, удалите остальные и измените разрешения на запись в ветке реестра, чтобы остальные устройства не могли быть установлены.
Также можно использовать PowerShell скрипт для отключения USB накопителей, если серийный номер не соответствует разрешённому:
$usbdev = get-wmiobject win32_volume | where {$_.DriveType -eq '2'}
If ($usbdev.SerialNumber -notlike "32SM32846AD") {
$usbdev.DriveLetter = $null
$usbdev.Put()
$usbdev.Dismount($false, $false) | Out-Null
}
Таким образом можно организовать простейшую проверку подключаемых ко компьютеру USB флешек.
Установка защиты от записи на флешку:
- Нажмите Пуск –> Выполнить -> regedit
- Далее заходим в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies
Если раздела StorageDevicePolicies в разделе Control нету, то его необходимо создать:
- Далее смотрим параметр WriteProtect, если его нет то тоже создаем, тип dword:
При значении параметра WriteProtect:
- 1 — режим чтения
- 0 — режим записи
- Ставим нужное значение, подключаем флешку и проверяем. Теперь на флешку нельзя копировать или создавать документы.
Этот способ не панацея от утечки информации, а лишь кирпичик в стене информационной защиты.