Зачем запрещать доступ к USB-портам?

Запрет доступа к USB-портам на корпоративных компьютерах вызван частым использованием сотрудниками неавторизованных устройств.

Сменные накопители и мобильные диски, подключаемые к USB, могут служить инсайдерам отличным инструментом для хищения конфиденциальной информации. Далеко не всегда такие инсайдеры действуют по злому умыслу. Гораздо чаще сотрудники копируют данные ограниченного доступа на USB-носители с благими целями, но потом либо теряют флешки, либо передают их посторонним лицам.

Помимо мобильных носителей к USB-портам могут подключаться и различные шпионские устройства, предназначенные для перехвата клавиатурного ввода и управления компьютером (атака PoisonTap).

Как запретить доступ к USB?

Очевидно, что самый легкий путь это все запретить. Полностью запретить использование USB-портов на компьютерах можно либо физически устранив эти порты, либо отключив их на уровне BIOS. Такой подход хоть и выглядит как простое и надежное решение, однако имеет один большой недостаток – ущерб нормальному рабочему процессу за счет снижения производительности труда сотрудников существенно превысит потенциальный ущерб от утечек данных через USB.

Правильным решением задачи запрета доступа к USB является применение специализированного программного обеспечения для гранулярного контроля и мониторинга действий пользователей с любыми устройствами, подключаемыми через USB-интерфейс.

Принцип гранулярного контроля доступа предполагает следующее:

  • возможность задать определенного пользователя или группу пользователей;
  • возможность задать тип действия (чтение, запись, форматирование) для устройств с файловой системой;
  • возможность задать тип доступа (действие разрешено или запрещено);
  • возможность задать период доступа (время, когда действие разрешено или запрещено);
  • возможность однозначно идентифицировать USB-устройство по серийному номеру;
  • возможность указать разрешенное или запрещенное содержимое файлов (контентный анализ) для устройств с файловой системой;
  • возможность указать разрешенный или запрещенный тип файлов, не основываясь на их расширении для устройств с файловой системой;
  • возможность сохранять точную копию файлов, копируемых на устройства с файловой системой;
  • возможность протоколирования всех действий с любыми устройствами.

Заходим в редактор локальных групповых политик. Пуск — Выполнить — gpedit.msc

В редакторе переходив в следующую ветку: Конфигурация компьютера — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам

Там, где выделенно красным задаёте доступ. Можно полностью заблокировать доступ, заблокировать запись или чтение.

Способ 3. Настройка прав доступа к файлу USBSTOR.SYS (Все операции проводятся под уетной записью администратора)

Этот способ эффективен, если нужно заблокировать доступ одним нужно заблокировать досту, а другим оставить.

Так как файл USBSTOR.SYS осуществляет доступ к флешкам, то изменения прав позволят ограничить доступ

Итак, давайте оставим доступ группе Администраторы, а группе «Пользователи» заблокируем его.

Что бы внести изменеия в файл USBSTOR.SYS, нужно сменить владельца на группу «Администраторы» это позволит внести изменения в безопасность файла и настроить доступ к ниму.

Заходим в Свойства — Безопасность — Владелец — изменить и меняем владельца на «Администраторы».

Должно получиться следующее:

Теперь запрещаем пользователю «Чтение» и «Чтение и выполнение», это заблокирует загрузку драйверов для usb накопителей.

И добавляем группу «Администраторы», это наоборот, предоставит полный доступ группе «Администраторы»

После внесенных изменений, драйвера не будут подгружаться и флешки не определяться. И будут выдавать ошибкию.

Теперь у пользователей флешки не будут работать, а у администраторов флешки будут работать.

Форма заказа услуг

© 2021 — 2017 Компания «ITspeC» Москва: +7 (926) 697-78-81

Как отключить USB-накопители в Windows 10

Подключив USB-накопитель к вашему компьютеру, любой пользователь может заразить его вредоносным программным обеспечением или скопировать с него важную информацию. В сегодняшней статье рассмотрим как отключить USB-накопители в Windows 10.

Отключить USB-накопители в редакторе реестра

Данный способ работает во всех изданиях Windows 10, и отключает он только USB-накопители, не влияя на мышь, клавиатуру и принтер подключенный через USB. Перед редактированием реестра рекомендуется создать точку для восстановления системы.

1. Откройте редактор реестра: в строке поиска или в меню выполнить (выполнить вызывается клавишами Win+R) введите команду regedit и нажмите клавишу Enter.

2. Перейдите по пути HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ USBSTOR. В разделе USBSTOR откройте параметр Start => в поле “Значение” установите 4 и нажмите “ОК”.

Теперь, если вы подключите флешку к компьютеру – она нигде отображаться не будет, а в диспетчере устройств вы увидите ошибку установки драйвера для этого устройства. Если вы захотите в будущем снова включить USB-накопители – измените значение параметра “Start” на 3 и нажмите “ОК”.

Отключить USB-накопители в групповых политиках

Данный способ работает в Windows 10 Pro, Enterprise или Education, если у вас домашняя версия десятки – переходите к первому способу. Если вы хотите отключить USB-накопители другим пользователям этого компьютера – сначала выполните всё по инструкции “Как настроить групповые политики для конкретных пользователей“.

1. Откройте групповые политики: в строке поиска или в меню выполнить (выполнить вызывается клавишами Win+R) введите gpedit.msc и нажмите клавишу Enter.

2. Откройте “Конфигурация компьютера” => “Административные шаблоны” => “Система” => “Доступ к съемным запоминающим устройствам” => в правой панели откройте “Съемные диски: запретить выполнение”.

3. Поставьте точку напротив “Включено” и нажмите “ОК”. Также поставьте включено в “Съемные диски: Запретить чтение” и в “Съемные диски: Запретить запись”, они также находятся в “Конфигурация компьютера” => “Административные шаблоны” => “Система” => “Доступ к съемным запоминающим устройствам”.

На сегодня всё, если вы знаете другие способы или у вас есть дополнения – пишите комментарии! Удачи Вам ??

Как заблокировать доступ на флешку