Політика безпеки підприємства може вимагати обмежень по використанню usb-пристроїв.
Копання в Інтернеті і читання різних форумів призвело до такого збірника порад.
Заборонити все usb-пристрої.
Управління компьютером-> диспетчер пристроїв-> контролери універсальної послідовної шини USB -> (кореневі USB концентратори) -> "застосування пристрою: [відключено]
Наприклад, якщо принтер підключений до будь-якого концентратора, то його можна не відключати.
примітка 1. Диспетчер пристроїв можна запустити з командного рядка start devmgmt.msc.
примітка 2. Цікава властивість диспетчера пристроїв з консолі виконати дві команди:
Тоді в диспетчері пристроїв відобразяться приховані пристрої.
Швидкий і простий спосіб
Зупинка служби Знімні ЗУ.
Якщо не потрібно USB - відключення контролерів USB.
Заборонити використання всім, крім обраних через "Керування комп'ютером -> Сховище -> С'емниеЗУ -> Властивості -> Безпека.
Тут є якісь підводні камені, наприклад, заборона на використання групі USER. Але адміністратор може входити в групу USER.
Втім, це рівносильно зміни параметра
HKLM \ SYSTEM \ CurrentControlSet \ Services \ USBSTOR "Start"
"Start" = dword: 00000004 - заборонити;
"Start" = dword: 00000003 - дозволити.
примітка. Запустити службу можна з командного рядка
net start "Знімні ЗУ"
USB-пристрій ще жодного разу не підключався до комп'ютера.
Тільки-тільки встановлена система.
Йдемо в папку% Windows% \ inf (папка має атрибут hidden). в ній є два файли - Usbstor.pnf і Usbstor.inf.
Забороняємо доступ до цих файлів, крім групи адміністраторів або конкретного користувача.
Більш детально це описано у Microsoft
Заборона записи на USB-пристрій
Навіщо забороняти USB зовсім, коли можна заборонити тільки запис?
Параметр WriteProtect, скоріше за все його немає. Тоді його потрібно створити з типом dword і привласнити значення 1.
І не забути перевантажити комп'ютер. Щоб відновити - привласнити значення 0.
Зберегти наведений код в файл з розширенням adm.
У розділі "Конфігурація комп'ютера" -> Адміністративні шаблони додаємо новий шаблон (правий клік), попередньо скопіювавши файл шаблону в папку% Windows% \ system32 \ GroupPolicy \ Adm \.
Повинен з'явитися пункт Custom Policy Settings. Якщо не з'явився, то Вид -> Фільтрація. і зняти галочку з "Показувати тільки керовані параметри політики".
Якщо ви дійшли до цього пункту, то, я думаю, що далі самі розберетеся.
Зауважу, що в цій політиці, також задіяні і інші пристрої (CD-ROM, НГМД).
Принцип заснований на зміні параметра start на значення 4. Ця політика відпрацює після перезавантаження комп'ютера.
Ще один з варіантів для групової політики.
- HKLM \ SYSTEM \ CurrentControlSet \ Enum \ USBSTOR. Цей ключ зберігає інформацію про всіх коли-небудь підключених USB-носіях.
- Даємо собі повний доступ на USBSTOR (права клавіша миші -> Дозволи, поставити галочку навпроти пункту Повний доступ у групи ВСЕ). Видаляємо весь вміст USBSTOR.
- Підключаємо схвалену фешку, переконуємося в тому, що вона визначилася. Усередині USBSTOR повинен з'явитися ключ типу DiskVen_JetFlashProd_TS4GJF185Rev_8.07 (F5 для оновлення списку).
- Знову ПКМ на USBSTOR, Дозволи. Прибираємо Повний доступ у групи ВСЕ, право на читання залишаємо.
- Ті ж самі права потрібно призначити користувачеві SYSTEM, але безпосередньо це зробити не вийде. Спочатку потрібно натиснути кнопку Додатково, прибрати галку Успадковувати від батьківського об'єкта ..., у вікні Безпека сказати Копіювати. Після чергового натискання на ОК права користувача SYSTEM стануть доступні для зміни.
- Для закріплення ефекту натискаємо кнопку Додатково ще раз і відзначаємо пункт Замінити дозволу для всіх дочірніх об'єктів ... Підтверджуємо виконання.