Как заблокировать и разблокировать USB-порты.

Иногда нужно заблокировать возможность использовать USB флешки или DVD привод на компьютере, чтоб посторонние ничего не могли скопировать или записать на сменные носители. Тут есть несколько вариантов решение проблемы. Можно пойти по радикальному пути, вытащить провода, или заклеить / выломать разъем. Однако намного лучше, да и проще, обойтись программным способом и ограничить доступ операционной системы к ненужным устройствам. Во втором случае не придется глубоко изучать нюансы работы операционной системы, вполне можно обойтись бесплатной утилитой Ratool , которая позволит все сделать в паре кликов мыши.

Программу не нужно устанавливать. Достаточно будет распаковать скачанный архив, откуда нужно будет запускать единственный исполняемый файл Ratool.exe. Для корректной работы приложение нужны административные права. При каждом запуске Ratool, программа будет запрашивать нужные права, которые нужно подтверждать.

Ratoo умеет только две вещи блокировать для записи съемные носители и запрещать доступ к съемным носителям, то есть считать файлы прочитать и записать их нельзя будет. Под съемными накопителями здесь подразумеваться все, что можно легко и быстро отключить и подключить к компьютеру не разбирая корпус, начиная от USB устройств (вроде флешек и внешних дисков) и кончая DVD приводами и ленточными накопителями.

Интерфейс программы представляет собой список из трех пунктов, с помощью которых можно разрешить чтение и запись, разрешить только чтения, и заблокировать чтение и запись на USB носитель. После того как выбран нужный пункт нужно нажать «Применить изменения». Обычно Ratoo рекомендует вытащить и вставить флешку, чтоб изменения вступили в силу, хотя обычно все нормально работает и без этого.

Ratoo разными цветами показывает, в каком сейчас состоянии, находиться доступ к флешкам. Зеленый означает, что никаких ограничений нет; оранжевый — файлы можно только считывать; красный – флешка заблокирована.

Добраться до других съемных накопителей, можно через меню «Параметры», где дублируются все пункты из главного меню привязанных к определенному типу устройств. Так же из этого раздела меню можно одним кликом мыши можно запретить или разрешить доступ ко всем съемным дискам, запретить Windows подключать съемные USB накопители, безопасно отключить съемный накопитель, чтоб не повредить данные и разрешить отображать скрытые файлы. Чтоб никто кроме вас ничего не мог ничего изменить с помощью Ratoo в разделе «Настройки» основного меню, можно включить защиту от изменения настроек установив пароль.

Но заблокировав доступ к USB флешки с помощью Ratoo ,не стоит особо радоваться, что компьютер надежно защищен. Программа делает изменения в политике безопасности операционной системы, продвинутым пользователи хорошо разбирающимся в компьютерах, в принципе не проблема обойти блокировку. Одно радует таких пользователей не более 5%, из которых половине придется, хорошо порыться в интернете, чтоб разобраться, как это сделать.

Настроек как таковых нет, от слова совсем. Пару пунктов, который можно было собрать в настройках, просто запихнули в раздел «Настройки» главного меню.

Как не удивительно, но Ratoo действительно работает и очень хорошо работает, позволяя одним кликом мыши ограничить доступ с компьютера к USB флешкам и другим съемным носителям. Не забывайте это не панацея от всех бед, при желании, блокировку доступа к съемным носителям можно обойти.

Программа прекрасно работает в 32-х и 64-х битных операционных системах. Операционная система переведена на несколько десятков языков, в том числе и русский. По умолчанию Ratoo будет общаться с вами на языке локализации операционной системы.

Страница для бесплатного скачивания Ratoo https://www.sordum.org/8104/ratool-v1-3-removable-access-tool/

Последняя версия на момент написания Ratoo 1.3

Размер программы: архив 428 кбайт

Совместимость: Windows Vista, Windows 7, 8 и 10

Поставили задачу заблокировать USB носители на рабочих станциях . Причем принтеры подключенные по USB работать должны, а вот флэшки воткнутые в USB нет!

Задача осложняется тем, что через локальные политики безопасности, да и через доменные политики в домене Windows 2003 Server отключить USB носители не позволяют. Нет таких политик.

Все осложняется тем, что есть принтеры подключенные по USB. Саму шину USB можно выключить через реестр, но как тогда заставить работать принтеры это большой вопрос…..

Платные программы использовать нет возможности. Руководство не готово их покупать, а пиратить нельзя. Все должно быть белым и лохматым. 🙂

Решение есть. Результат чтения док и гугления оформил в виде статьи на будущее

Проблема решается с помощью установки прав доступа на файлы usb.inf иusbstor.inf , которые размещены в C:\Windows\inf

Все гениально и просто! Через права доступа можно не просто блокировать доступ к USB , а разграничивать доступ к USB по пользователям .

Руководство по установке прав доступа к USB носителям и блокировки флэшек

  1. Устанавливаем все необходимые USB принтеры, сканнеры и прочие USB устройства, которые вам могут понадобится на данном компьютере. Потом их установить будет сложнее. 🙂 Ведь мы заблокируем USB устройства.
  2. Удаляем ВСЕ ранее подключенные к рабочей станции USB-носители, иначе эти флэшки будут доступны ЛЮБОМУ пользователю рабочей станции. ВАЖНО: для Windows 7 см. информацию ниже.
    Все раннее установленные USB флэшки есть в реестре, для их удаления запускаем regedit (Пуск->Выполнить->regedit->Enter), переходим в раздел

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

    и удаляем от туда ВСЕ подразделы.

    ВАЖНО в Windows XP: может появится сообщение, что подраздел удалить невозможно. В этом случае то жмем правой кнопкой мыши на раздел USBSTOR, выбираем «Разрешения…» , устанавливаем для «Все» — полный доступ. Теперь пытаемся удалить подразделы в разделе USBSTOR, должно получиться.

    В Windows 7 реестр защищен намного лучше, чем в Windows XP. Для удаления ранее подключенных устройств придется загрузиться с Live CD и через утилиту удалить записи из реестра. На работающей Windows 7 удалить записи из реестра о ранее подключенных устройствах не получится. Загрузить образ Live CD с утилитой для редактирования реестра Windows 7 32 bit можно , Windows 7 64 bit , Live CD для Windows XP можно скачать .

  3. Идем в папку <диск, где у вас стоит Windows>:\Windows\inf , находим файлы: usb.inf , usbstor.inf .
  4. Выделяем файлы usb.inf , usbstor.inf , заходим в свойства, в появившемся диалоговом окне переходим на вкладку безопасность. Находим кнопку «Дополнительно» и нажимаем.
  5. Если стоит галочка «Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне», ее надо снять . Появится окно с кнопками: «Копировать» , «Удалить» ,«Отмена» — жмем «Копировать» и«Ок». Если у вас не стоит данная галочка, данный пункт можно пропустить.
  6. Во вкладке «Безопасность» , в поле «Группы и пользователи» делаем следующие действия:
    Для полной блокировки USB флэшек для ВСЕХ пользователей рабочей станции:
    Удаляем ВСЕХ пользователей.
    Для блокировки USB накопителей только для пользователей без прав администраторов:
    Удаляем всех пользователей и добавляем пользователей или группы с правами администраторов. Локальных или доменных зависит от того поднят у вас домен или нет. Правильнее добавить локальную группу администраторы, а доменную группу добавить в локальную группу через «Локальные пользователи и пароли». Но тут уж каждый действует как ему удобнее.

Вот и все. Теперь при подключении USB флэшек и других USB устройств к рабочей станции в зависимости от выбранного выше варианта будет происходить следующее: у пользователя без прав администратора будут запрашивать войти с правами администратора, либо USB устройство будет заблокировано и работать не будет вообще.

Данная статья была проверена на работоспособность под Widows XP SP3, Windows 7 SP1, Windows 2003 Server.

Иногда возникает необходимость отключить USB порты на компьютере или ноутбуке, чтобы ограничить доступ по подключению флешек, жестких дисков и других USB-устройств. Отключение портов USB поможет предотвратить подключение каких-либо накопителей, которые могут быть использованы для кражи важной информации или стать причиной заражения компьютера вирусом и распространения вредоносного программного обеспечения по локальной сети.

Ограничение доступа к USB портам

Рассмотрим 7 способов , с помощью которых можно заблокировать USB порты:

  1. Отключение USB через настройки БИОС
  2. Изменение параметров реестра для USB-устройств
  3. Отключение USB портов в диспетчере устройств
  4. Деинсталляция драйверов контроллера USB
  5. Использование Microsoft Fix It 50061
  6. Использование дополнительных программ
  7. Физическое отключение USB портов

1. Отключение USB портов через настройки BIOS

  1. Войдите в настройки BIOS.
  2. Отключите все пункты, связанные с контроллером USB (например, USB Controller или Legacy USB Support).
  3. После того как вы сделали эти изменения, нужно сохранить настройки и выйти из БИОС. Обычно это делается с помощью клавиши F10 .
  4. Перезагрузите компьютер и убедитесь, что USB порты отключены.

2. Включение и отключение USB-накопителей с помощью редактора реестра

Если отключение через БИОС вам не подходит, можете закрыть доступ непосредственно в самой ОС Windows с помощью реестра.

Приведенная ниже инструкция позволяет закрыть доступ для различных USB-накопителей (например флешек), но при этом другие устройства, такие как клавиатуры, мыши, принтеры, сканеры все равно будут работать.

  1. Откройте меню Пуск -> Выполнить, введите команду «regedit » и нажмите ОК, чтобы открыть редактор реестра.
  2. Перейдите к следующему разделу

    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ USBSTOR

  3. В правой части окна найдите пункт «Start » и два раза щелкните по нему, чтобы отредактировать. Введите значение «4 » для блокировки доступа к USB-накопителям. Соответственно если вы введете опять значение «3 », доступ будет вновь открыт.

Нажмите кнопку «ОК», закройте редактор реестра и перезагрузите компьютер.

Вышеописанный способ работает только при установленном драйвере USB контроллера. Если по соображениям безопасности драйвер не был установлен, значение параметра «Start» может быть автоматически сброшено на значение «3», когда пользователь подключит накопитель USB и Windows установит драйвер.

3. Отключение USB портов в диспетчере устройств

  1. Нажмите правой кнопкой мыши на значке «Компьютер » и выберете в контекстном меню пункт «Свойства». Откроется окно в левой части которого нужно нажать на ссылку «Диспетчер устройств ».
  2. В дереве диспетчера устройств найдите пункт «Контроллеры USB » и откройте его.
  3. Отключите контроллеры путем нажатия правой кнопки мыши и выбора пункта меню «Отключить».

Этот способ не всегда работает. В примере, приведенном на рисунке выше отключение контроллеров (2 первых пункта) не привело к желаемому результату. Отключение 3-го пункта (Запоминающее устройство для USB) сработало, но это дает возможность отключить лишь отдельный экземпляр USB-накопителя.

4. Удаление драйверов контроллера USB

Как вариант для отключения портов можно просто деинсталлировать драйвер USB контроллера. Но недостатком этого способа является то, что при подключении пользователем USB-накопителя, Windows будет проверять наличие драйверов и при их отсутствии предложит установить драйвер. Это в свою очередь откроет доступ к USB-устройству.

5. Запрет пользователям подключение USB-устройств хранения данных с помощью приложения от Microsoft

Еще один способ запрета доступа к USB-накопителям – это использование Microsoft Fix It 50061 (http://support.microsoft.com/kb/823732/ru — ссылка может открываться около митуты). Суть это способа заключается в том, что рассматриваются 2 условия решения задачи:

  • USB-накопитель еще не был установлен на компьютер
  • USB-устройство уже подключено к компьютеру

В рамках данной статьи не будем детально рассматривать этот метод, тем более, что вы можете подробно его изучить на сайте Microsoft, используя ссылку приведенную выше.

Еще следует учесть, что данный способ подходит не для всех версий ОС Windows.

6. Использование программ для отключения/включения доступа к USB-устройствам хранения данных

Существует много программ для установки запрета доступа к USB портам. Рассмотрим одну из них — программу USB Drive Disabler .

Программа обладает простым набором настроек, которые позволяют запрещать/разрешать доступ к определенным накопителям. Также USB Drive Disabler позволяет настраивать оповещения и уровни доступа.

7. Отключение USB от материнской платы

Хотя физическое отключение USB портов на материнской плате является практически невыполнимой задачей, можно отключить порты, находящиеся на передней или верхней части корпуса компьютера, отсоединив кабель, идущий к материнской плате. Этот способ полностью не закроет доступ к USB портам, но уменьшит вероятность использования накопителей неопытными пользователями и теми, кто просто поленится подключать устройства к задней части системного блока.

! Дополнение

Запрет доступа к съемным носителям через редактор групповой политики

В современных версиях Windows существует возможность ограничить доступ к съемным запоминающим устройствам (USB-накопителям в том числе) с помощью редактора локальной групповой политики.

  1. Запустите gpedit.msc через окно «Выполнить»(Win + R).
  2. Перейдите к следующей ветви «Конфигурация компьютера -> Административные шаблоны -> Система -> Доступ к съемным запоминающим устройствам »
  3. В правой части экрана найдите пункт «Съемные диски: Запретить чтение».
  4. Активируйте этот параметр (положение «Включить»).

Данный раздел локальной групповой политики позволяет настраивать доступ на чтение, запись и выполнение для разных классов съемных носителей.

Из всех найденных не долгим поиском методов в моём случае не подошёл ни один:)

Даже вариант с ограничением прав для пользователей в реестре не дал результата (удалил даже права для системы и администратора - т.е. все права полностью для всех - не помогло).

В итоге комбинировал свой вариант (сборка из двух разных).

В моём случае обычный пользователь не имеет никаких привелегий в системе (прям мечта!) и разумеется потребовался максимальный функционал - т.е. использование определённых (зарегистрированных) носителей на отдельных ПК.

Для этого используем всего две процедуры (действия):

  1. Удаляем из реестра информацию о всех использованных (зарегистрированных в реестре) запоминающих устройствах USB любым удобным методом (на Ваш вкус).
    Мне быстрее и проще всего оказалось воспользоваться простенькой утилитой После чего удаляем из системы файлы %Windows%\inf\Usbstor.pnf и Usbstor.inf .
  2. В дальнейшем, при необходимости добавить (зарегистрировать) запоминающее устройство добавляем указанные файлы в систему, затем подключаем (переподключаем) USB накопитель и он полноценно определяется (регистрируется) в системе. После регистрации в системе опять удаляем указанные файлы, что вновь блокирует любые попытки определить системой новый USB накопитель.

В случае, когда права в ОС распределены и "обычная" работа выполняется пользователем с ограниченными правами данный метод полностью блокирует возможность подключить к ОС не зарегистрированный (системным администратором) "Флешки".

Удаление и добавление файлов Usbstor.pnf и Usbstor.inf можно осуществлять с помощью файлов.bat примерно следующего вида:

удаление

del /f /s /q C:\WINDOWS\inf\usbstor.inf C:\WINDOWS\inf\usbstor.PNF

восстановить (при условии, что файлы лежат рядом с bat-файлом)

xcopy ".\usbstor.inf" "C:\WINDOWS\inf\"
xcopy ".\usbstor.PNF" "C:\WINDOWS\inf\"

Внимание! Для Windows 7 и выше все.bat файлы нужно запускать от имени администратора ("Запустить от имени администратора" в контекстном меню).

Ниже приведены другие способы ограничения доступа к данным устройствам (у меня по отдельности не сработали).

Управление компьютером->диспетчер устройств->контроллеры универсальной последовательной шины USB->(корневые USB концентраторы) -> "применение устройства: [отключено]

Например, если принтер подключен к какому-либо концентратору, то его можно не отключать.

примечание 1. Диспетчер устройств можно запустить из командной строки start devmgmt.msc .

примечание 2. Интересное свойство диспетчера устройств из консоли выполнить две команды:

Set devmgr_show_nonpresent_devices=1
start devmgmt.msc

Тогда в Диспетчере устройств отобразятся скрытые устройства.

Если не требуется USB - отключение контролеров USB.

Запретить использование всем, кроме избранных через "Управление компьютером -> Запоминающие устройства -> СъемныеЗУ -> Свойства -> Безопасность.

Недостаток

Здесь есть некие подводные камни, например, запрет на использование группе USER. Но администратор может входить в группу USER.

Впрочем, это равносильно изменению параметра
HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR "Start"
"Start"=dword:00000004 - запретить;
"Start"=dword:00000003 - разрешить.

примечание. Запустить службу можно из командной строки
net start "Съемные ЗУ"

Идем в папку %Windows%\inf (папка имеет атрибут hidden) , в ней есть два файла - Usbstor.pnf и Usbstor.inf.

Запрещаем доступ к этим файлам, кроме группы администраторов или конкретного пользователя.

Зачем запрещать USB совсем, когда можно запретить только запись?

HKLM\SYSTEM\CurrentControlSet\control\StorageDevicePolicies.

Параметр WriteProtect, скорей всего его нет. Тогда его нужно создать с типом dword и присвоить значение 1.

И не забыть перегрузить компьютер. Чтобы восстановить - присвоить значение 0.

Итак, по шагам (разумеется, нужно обладать правами локального администратора):

  1. Win+R (аналог Пуск -> Выполнить), regedit.
  2. . Этот ключ хранит информацию о всех когда-либо подключенных USB-носителях.
  3. Даем себе полный доступ на USBSTOR (правая клавиша мыши -> Разрешения, отметить пункт Полный доступ у группы ВСЕ).
  4. Удаляем все содержимое USBSTOR.
  5. Подключаем одобренную фэшку, убеждаемся в том, что она определилась. Внутри USBSTOR должен появиться ключ типа Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07 (F5 для обновления списка).
  6. Опять ПКМ на USBSTOR, Разрешения. Убираем Полный доступ у группы ВСЕ, право на чтение оставляем.
  7. Те же самые права нужно назначить пользователю SYSTEM, но напрямую это сделать не получится. Сначала нужно нажать кнопку Дополнительно, убрать галку Наследовать от родительского обьекта…, в появившемся окне Безопасность сказать Копировать. После очередного нажатия на ОК права пользователя SYSTEM станут доступны для изменения.
  8. Для закрепления эффекта нажимаем кнопку Дополнительно еще раз и отмечаем пункт Заменить разрешения для всех дочерних объектов… Подтверждаем выполнение.

Чего же мы добились в итоге?Разрешенная флешка подключается и отключается без проблем. При попытке же несанкционированного подключения Windows определит устройство, но установить его не сможет, ругнувшись следующим образом:

Причем, в USBSTOR"е будет создан новый ключ, который недвусмысленно укажет на попытку подключения неодобренного USB-накопителя.



Эта статья также доступна на следующих языках: Тайский
  • Next

    Огромное Вам СПАСИБО за очень полезную информацию в статье. Очень понятно все изложено. Чувствуется, что проделана большая работа по анализу работы магазина eBay

    • Спасибо вам и другим постоянным читателям моего блога. Без вас у меня не было бы достаточной мотивации, чтобы посвящать много времени ведению этого сайта. У меня мозги так устроены: люблю копнуть вглубь, систематизировать разрозненные данные, пробовать то, что раньше до меня никто не делал, либо не смотрел под таким углом зрения. Жаль, что только нашим соотечественникам из-за кризиса в России отнюдь не до шоппинга на eBay. Покупают на Алиэкспрессе из Китая, так как там в разы дешевле товары (часто в ущерб качеству). Но онлайн-аукционы eBay, Amazon, ETSY легко дадут китайцам фору по ассортименту брендовых вещей, винтажных вещей, ручной работы и разных этнических товаров.

      • Next

        В ваших статьях ценно именно ваше личное отношение и анализ темы. Вы этот блог не бросайте, я сюда часто заглядываю. Нас таких много должно быть. Мне на эл. почту пришло недавно предложение о том, что научат торговать на Амазоне и eBay. И я вспомнила про ваши подробные статьи об этих торг. площ. Перечитала все заново и сделала вывод, что курсы- это лохотрон. Сама на eBay еще ничего не покупала. Я не из России , а из Казахстана (г. Алматы). Но нам тоже лишних трат пока не надо. Желаю вам удачи и берегите себя в азиатских краях.

  • Еще приятно, что попытки eBay по руссификации интерфейса для пользователей из России и стран СНГ, начали приносить плоды. Ведь подавляющая часть граждан стран бывшего СССР не сильна познаниями иностранных языков. Английский язык знают не более 5% населения. Среди молодежи — побольше. Поэтому хотя бы интерфейс на русском языке — это большая помощь для онлайн-шоппинга на этой торговой площадке. Ебей не пошел по пути китайского собрата Алиэкспресс, где совершается машинный (очень корявый и непонятный, местами вызывающий смех) перевод описания товаров. Надеюсь, что на более продвинутом этапе развития искусственного интеллекта станет реальностью качественный машинный перевод с любого языка на любой за считанные доли секунды. Пока имеем вот что (профиль одного из продавцов на ебей с русским интерфейсом, но англоязычным описанием):
    https://uploads.disquscdn.com/images/7a52c9a89108b922159a4fad35de0ab0bee0c8804b9731f56d8a1dc659655d60.png