Зачем запрещать доступ к USB-портам?
Запрет доступа к USB-портам на корпоративных компьютерах вызван частым использованием сотрудниками неавторизованных устройств.
Сменные накопители и мобильные диски, подключаемые к USB, могут служить инсайдерам отличным инструментом для хищения конфиденциальной информации. Далеко не всегда такие инсайдеры действуют по злому умыслу. Гораздо чаще сотрудники копируют данные ограниченного доступа на USB-носители с благими целями, но потом либо теряют флешки, либо передают их посторонним лицам.
Помимо мобильных носителей к USB-портам могут подключаться и различные шпионские устройства, предназначенные для перехвата клавиатурного ввода и управления компьютером (атака PoisonTap).
Как запретить доступ к USB?
Очевидно, что самый легкий путь это все запретить. Полностью запретить использование USB-портов на компьютерах можно либо физически устранив эти порты, либо отключив их на уровне BIOS. Такой подход хоть и выглядит как простое и надежное решение, однако имеет один большой недостаток – ущерб нормальному рабочему процессу за счет снижения производительности труда сотрудников существенно превысит потенциальный ущерб от утечек данных через USB.
Правильным решением задачи запрета доступа к USB является применение специализированного программного обеспечения для гранулярного контроля и мониторинга действий пользователей с любыми устройствами, подключаемыми через USB-интерфейс.
Принцип гранулярного контроля доступа предполагает следующее:
- возможность задать определенного пользователя или группу пользователей;
- возможность задать тип действия (чтение, запись, форматирование) для устройств с файловой системой;
- возможность задать тип доступа (действие разрешено или запрещено);
- возможность задать период доступа (время, когда действие разрешено или запрещено);
- возможность однозначно идентифицировать USB-устройство по серийному номеру;
- возможность указать разрешенное или запрещенное содержимое файлов (контентный анализ) для устройств с файловой системой;
- возможность указать разрешенный или запрещенный тип файлов, не основываясь на их расширении для устройств с файловой системой;
- возможность сохранять точную копию файлов, копируемых на устройства с файловой системой;
- возможность протоколирования всех действий с любыми устройствами.
Заходим в редактор локальных групповых политик. Пуск — Выполнить — gpedit.msc
В редакторе переходив в следующую ветку: Конфигурация компьютера — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам
Там, где выделенно красным задаёте доступ. Можно полностью заблокировать доступ, заблокировать запись или чтение.
Способ 3. Настройка прав доступа к файлу USBSTOR.SYS (Все операции проводятся под уетной записью администратора)
Этот способ эффективен, если нужно заблокировать доступ одним нужно заблокировать досту, а другим оставить.
Так как файл USBSTOR.SYS осуществляет доступ к флешкам, то изменения прав позволят ограничить доступ
Итак, давайте оставим доступ группе Администраторы, а группе «Пользователи» заблокируем его.
Что бы внести изменеия в файл USBSTOR.SYS, нужно сменить владельца на группу «Администраторы» это позволит внести изменения в безопасность файла и настроить доступ к ниму.
Заходим в Свойства — Безопасность — Владелец — изменить и меняем владельца на «Администраторы».
Должно получиться следующее:
Теперь запрещаем пользователю «Чтение» и «Чтение и выполнение», это заблокирует загрузку драйверов для usb накопителей.
И добавляем группу «Администраторы», это наоборот, предоставит полный доступ группе «Администраторы»
После внесенных изменений, драйвера не будут подгружаться и флешки не определяться. И будут выдавать ошибкию.
Теперь у пользователей флешки не будут работать, а у администраторов флешки будут работать.
© 2021 — 2017 Компания «ITspeC» Москва: +7 (926) 697-78-81
Как отключить USB-накопители в Windows 10
Подключив USB-накопитель к вашему компьютеру, любой пользователь может заразить его вредоносным программным обеспечением или скопировать с него важную информацию. В сегодняшней статье рассмотрим как отключить USB-накопители в Windows 10.
Отключить USB-накопители в редакторе реестра
Данный способ работает во всех изданиях Windows 10, и отключает он только USB-накопители, не влияя на мышь, клавиатуру и принтер подключенный через USB. Перед редактированием реестра рекомендуется создать точку для восстановления системы.
1. Откройте редактор реестра: в строке поиска или в меню выполнить (выполнить вызывается клавишами Win+R) введите команду regedit и нажмите клавишу Enter.
2. Перейдите по пути HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ USBSTOR. В разделе USBSTOR откройте параметр Start => в поле “Значение” установите 4 и нажмите “ОК”.
Теперь, если вы подключите флешку к компьютеру – она нигде отображаться не будет, а в диспетчере устройств вы увидите ошибку установки драйвера для этого устройства. Если вы захотите в будущем снова включить USB-накопители – измените значение параметра “Start” на 3 и нажмите “ОК”.
Отключить USB-накопители в групповых политиках
Данный способ работает в Windows 10 Pro, Enterprise или Education, если у вас домашняя версия десятки – переходите к первому способу. Если вы хотите отключить USB-накопители другим пользователям этого компьютера – сначала выполните всё по инструкции “Как настроить групповые политики для конкретных пользователей“.
1. Откройте групповые политики: в строке поиска или в меню выполнить (выполнить вызывается клавишами Win+R) введите gpedit.msc и нажмите клавишу Enter.
2. Откройте “Конфигурация компьютера” => “Административные шаблоны” => “Система” => “Доступ к съемным запоминающим устройствам” => в правой панели откройте “Съемные диски: запретить выполнение”.
3. Поставьте точку напротив “Включено” и нажмите “ОК”. Также поставьте включено в “Съемные диски: Запретить чтение” и в “Съемные диски: Запретить запись”, они также находятся в “Конфигурация компьютера” => “Административные шаблоны” => “Система” => “Доступ к съемным запоминающим устройствам”.
На сегодня всё, если вы знаете другие способы или у вас есть дополнения – пишите комментарии! Удачи Вам ??