Запрет, разрешение использования USB устройств

Политика безопасности предприятия может требовать ограничений по использованию usb-устройств.

Копание в Интернете и чтение различных форумов привело к такому сборнику советов.

flash

Глобально

Запретить все usb-устройства.

Управление компьютером->диспетчер устройств->контроллеры универсальной последовательной шины USB->(корневые USB концентраторы) -> «применение устройства: [отключено]

Например, если принтер подключен к какому-либо концентратору, то его можно не отключать.

примечание 1. Диспетчер устройств можно запустить из командной строки start devmgmt.msc.

примечание 2. Интересное свойство диспетчера устройств из консоли выполнить две команды:

set devmgr_show_nonpresent_devices=1
start devmgmt.msc

Тогда в Диспетчере устройств отобразятся скрытые устройства.

Быстрый и простой способ

Остановка службы Съемные ЗУ.

Если не требуется USB — отключение контролеров USB.

Запретить использование всем, кроме избранных через «Управление компьютером -> Запоминающие устройства -> СъемныеЗУ -> Свойства -> Безопасность.

Недостаток

Здесь есть некие подводные камни, например, запрет на использование группе USER. Но администратор может входить в группу USER.

Впрочем, это равносильно изменению параметра
HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR "Start"
"Start"=dword:00000004 - запретить;
"Start"=dword:00000003 - разрешить.

примечание. Запустить службу можно из командной строки
net start «Съемные ЗУ»

USB-устройство еще ни разу не подключалось к компьютеру.

Только-только установленная система.

Идем в папку %Windows%\inf (папка имеет атрибут hidden) , в ней есть два файла — Usbstor.pnf и Usbstor.inf.

Запрещаем доступ к этим файлам, кроме группы администраторов или конкретного пользователя.

Более подробно это описано у Microsoft

Запрет записи на USB-устройство

Зачем запрещать USB совсем, когда можно запретить только запись?

HKLM\SYSTEM\CurrentControlSet\control\StorageDevicePolicies.
Параметр WriteProtect, скорей всего его нет. Тогда его нужно создать с типом dword и присвоить значение 1.

И не забыть перегрузить компьютер. Чтобы восстановить — присвоить значение 0.

Групповые политики

CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by
disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by
disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by
disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity
Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"

Сохранить приведенный код в файл с расширением adm.

Запустить редактор групповых политик (gpedit.msc)

В разделе «Конфигурация компьютера» -> Административные шаблоны добавляем новый шаблон (правый клик), предварительно скопировав файл шаблона в папку %Windows%\system32\GroupPolicy\Adm\.
Должен появиться пункт Custom Policy Settings. Если не появился, то Вид -> Фильтрация… , и снять галочку с «Показывать только управляемые параметры политики”.
Если вы дошли до этого пункта, то, я думаю, что дальше сами разберётесь.

Замечу, что в этой политике, также задействованы и другие устройства (CD-ROM, НГМД).
Принцип основан на изменении параметра start на значение 4. Эта политика отработает после перезагрузки компьютера.

Еще один из вариантов для групповой политики.

CLASS MACHINE

CATEGORY "Services und Drivers"
POLICY "USB Storage"
KEYNAME "System\CurrentControlSet\Services\usbstor"
PART "Startup type" DROPDOWNLIST
VALUENAME "Start"
ITEMLIST
NAME "Boot" VALUE NUMERIC 0
NAME "System" VALUE NUMERIC 1
NAME "Auto Load" VALUE NUMERIC 2 DEFAULT
NAME "Load On Demand" VALUE NUMERIC 3
NAME "Disabled" VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY

Выборочное использовние.

Это способ как организовать выборочное использование usb накопителей. Поэтому приведу здесь только краткое описание.

HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR. Этот ключ хранит информацию о всех когда-либо подключенных USB-носителях.
Даем себе полный доступ на USBSTOR (правая клавиша мыши -> Разрешения, отметить пункт Полный доступ у группы ВСЕ). Удаляем все содержимое USBSTOR.
Подключаем одобренную фэшку, убеждаемся в том, что она определилась. Внутри USBSTOR должен появиться ключ типа Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07 (F5 для обновления списка).
Опять ПКМ на USBSTOR, Разрешения. Убираем Полный доступ у группы ВСЕ, право на чтение оставляем.
Те же самые права нужно назначить пользователю SYSTEM, но напрямую это сделать не получится. Сначала нужно нажать кнопку Дополнительно, убрать галку Наследовать от родительского обьекта…, в появившемся окне Безопасность сказать Копировать. После очередного нажатия на ОК права пользователя SYSTEM станут доступны для изменения.
Для закрепления эффекта нажимаем кнопку Дополнительно еще раз и отмечаем пункт Заменить разрешения для всех дочерних объектов… Подтверждаем выполнение.