Отключение портов USB на компьютере. Закрываем доступ к USB-флешкам Избранное

Песочница

Быстро и просто отключить USB-порты на Win7 2 часть

В предыдущей статье я написал как неопытному пользователю отключить USB-порты порты по средствам групповых политик . Однако я забыл о том что разные версии OS Windows 7 содержат разные функции.
Прошу заметить я не говорю о том чтобы ставить дополнительный бесплатный софт, так как по опыту знаю, что закрывая дырку бесплатным ПО рискуешь открыть еще пять. Я предлагаю воспользоватся встроенными функциями ОС.

По опыту знаю что для экономии маленькие фирмы ставят такие версии «Home Basic» или «Home Premium» на машины персонала (ну это только ставят если фирма пытается работать легально и не хочет штрафа за нелегальное ПО. А те фирмы которые не боятся проверок то ставят все пиратское ПО и не мучаются))).
А на версиях «Home Basic» и «Home Premium» нет оснасток присущим старшим братьям. И закрыть порты по средствам групповых политик не получится. Поэтому нам нужно закрыть доступ непосредственно к исполнительным файлам которые запускают инициализацию устройств подключаемых к USB-портам.

Допустим, что на машине есть 3 пользователя, «Оператор», «Менеджер» и «Администратор» в группах Администраторы и Пользователи
Нужно сделать так чтобы флешкой мог воспользоватся, только пользователь под учетной записью «Администратор».

Включаем комп, заходим под учетной записью администратора, открываем проводник и пишем "%SystemRoot%\inf\" (здесь и далее по тексту копировать без кавычек).

Далее в поиске пишем «USB»

Выведет приблизительно 18 элементов. (зависит какая система стоит, версия ОС, установленные доп драйвера для USB)
Нам нужно по сути только 8 файлов.
usb.inf
usbstor.inf
usbport.inf
winusb.inf
usb.PNF
usbstor.PNF
usbport.PNF
winusb.PNF

Потом нам нужно закрыть доступ к этим файлам другим пользователям. Нажимаем правой кнопкой на файле «usbstor.inf» -> «свойства»

Переходим на вкладку «безопасность» , и нажимаем кнопку «изменить»

Потом выбираем пользователей которых нам нужно отключить. У нас это «Оператор», «Менеджер» и «Система». Если нам нужно отключить всем учетным записям которые относятся к группе «Пользователи» (это «Оператор» и «Менеджер») то просто ставим запрет группе. Если только конкретному, допустим «Оператору», то выбираем конкретно эту учетную запись.

Внимание учетной записи «Система» тоже нужно выставить запрет на использование файла.
Потом выставляем запрет на использование, переключаемся на другого пользователя и тоже выставляем запреты. Когда нужные пользователи будут отключены (у меня это только «система» и «пользователи»)

жмакаем кнопку «Ок»

Будет предупреждение о том что это приведет к тому, что доступ к файлу будет недоступен и всякое такое (если есть желание можете почитать), жмакаем снова кнопку «Ок».
Снова читаем сообщение о том что точно ли мы хотим это сделать, (если есть желание можете почитать), жмакаем снова кнопку «Ок».

И такую процедуру повторяем для следующих 7 файлов.
usb.inf
usbport.inf
winusb.inf
usb.PNF
usbstor.PNF
usbport.PNF
winusb.PNF

Если это только установленная ОС то все в порядке и по идее доступ к флешке выбранным пользователям будет недоступен. Однако если к этой системе уже были подключены флешки теми пользователями которым нужно было отключить доступ к флешкам, то понадобится изменить ключ в реестре.

Жмем пуск -> пишем regedit -> открываем реестр

Открываем папку «USBSTOR»
и меняем значение параметра «Start» на 4

Теги: отключить, USB-порты, флеш-накопитель

Я Вам уже рассказывал как отключить тачпад или веб-камеру на ноутбуке, клавиатуру и мышь … сегодня речь пойдёт о том, как отключить usb-порты на любом компьютере. Это может обезопасить Ваши данные от воровства или предотвратить заражение компьютера с помощью флешки.

Легко и просто отключаем usb-порты

Простая и бесплатная компьютерная программа USB Ports Disabler ничего особенного не делает — она лишь позволяет, не углубляясь в дебри операционной системы, отключать и включать одним кликом мышки службу USBSTOR, которая отвечает за работу всех usb-портов на компьютере.

При деактивации этой службы, система перестаёт видеть их — это удобно использовать в целях безопасности. Таким простым способом мы закроем лазейку для внедрения вирусов в компьютер с помощью внешних носителей и одновременно предотвратим возможность украсть (скопировать) наши данные из него.

Больше всего мне в этой программе понравилось, что она отключает usb-порты только для внешних носителей информации (флешки, диски, сторонние дисководы…), а такие вещи, как например usb-адаптер беспроводной мышки, продолжает определяться и работать — великолепно.

Итак, запускаем USB Ports Disabler и кликаем на кнопку с надписью «Disable USB»…

…соглашаемся отключить usb-порты (на месте автора программы я бы второе окно убрал — зачем это промежуточное подтверждение?)…

Всё — порты отключены. Производитель советует перезагрузку системы, но это не обязательно, как я убедился. Если во время отключения портов у Вас в одном из них торчала флешка, то не удивляетесь, что она продолжает определяться — извлеките её из порта и заново попробуйте подключить… вот и всё, компьютер её больше не видит.

Чтоб компьютер прозрел и снова мог определять внешние носители информации достаточно кликнуть на вторую кнопку в главном окне программы — «Enable USB».

Самую правую кнопку с надписью «Hide IP Address» я не советую тыкать — Вас перекинет в браузер, на страницу какого-то VPN сервиса. Видимо автор таким образом зарабатывает денежку — не будем винить его в этом. Для скрытия ip-адреса есть другие бесплатные и надёжные способы .

Скачать USB Ports Disabler

На официальной странице программы USB Ports Disabler Вы найдёте две кнопки-ссылки на скачивание обычной и портативной версии…

Весят они чуть больше 1 Мб каждая. Программа чудно работает во всех операционных системах Windows (XP, Vista, 7, 8, 10 (32\64-bit)).

До новых полезных и интересных компьютерных программ.

USB-порты можно отключить без использования сторонних программ. Средствами Windows можно отключить сразу все USB-порты, или те, которые необходимо выключить в настоящий момент.

Кража конфиденциальной информации с компьютеров пользователей в настоящее время носит крайне актуальный характер. Для предотвращения утечки данных может понадобиться отключение USB-портов. Очень часто нам приходится подключать к ПК различные внешние накопительные устройства, в частности через USB-порты. Эти внешние устройства могут содержать вредоносный код, который собственно и является причиной “слива” конфиденциальных данных в руки “зловредам”. Сегодня мы расскажем вам как можно научить компьютер быстро отключать USB-порты не прибегая при этом к установке и использованию сторонних программ.

Чтобы реализовать задуманное нам потребуется внести некоторые изменения в реестр Windows. Чтобы сделать это, сначала нам нужное его открыть, для этого в поисковой строке Windows (в Windows XP-7 поисковая строка находится в меню “Пуск”, в Windows 8 на панели, как показано на рисунке ниже) необходимо ввести команду regedit, нажать клавишу “Enter” и в результатах поиска выбрать редактор реестра regedit.exe.

В открывшемся на вашем экране окне редактора реестра, чтобы приступить к отключению USB-портов, перейдите к разделу реестра “UsbStor”, раскрыв последовательно разделы HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\ Services. Найдите в конечном разделе параметр “Start”, кликните по нему левой клавишей мыши и в контекстном меню выберите пункт “Изменить”, и измените его значение с “3” на “4”, где “3” это значение параметра по умолчанию.

После внесенных в реестр изменений, подключенный к компьютеру через USB-порт флеш-накопитель, как и прежде будет определяться системой, но автоматически подключаться к ней не будет. Другими словами, записать с флешки данные, или запустить какие-либо программы с нее будет невозможно. Если вам понадобиться вернуть настройки USB-портов к изначальным, до для этого достаточно будет изменить значение параметра “Start” на прежнее, то есть “3”. При этом вами не потребуется перезагружать свой компьютер чтобы изменения сделанные вами вступили в силу.

Отключаем определенные USB-порты

Бывают случаи, когда нет возможности отключить сразу все USB-порты в системе и требуется отключить только некоторые из USB-портов. В таком случае можно воспользоваться другим способом.

Запустите на своем компьютере “Диспетчер устройств”, затем найдите в нем и перейдите к строке “Контроллеры USB”. Кстати, чтобы открыть “Диспетчер устройств” достаточно нажать сочетание клавиш “Win” + “Pause” и в открывшемся окне щелкнуть по соответствующей ссылке в левой его части.

Теперь во вновь открывшемся окне “Свойства USB-порта ” перейди во вкладку “Драйвера” и щелкните в ней по кнопке “Отключить”. Все готово!

Надеемся, что вы нашли ответ на свой вопрос – “как отключить USB-порты” и теперь в зависимости от ситуации сможете отключать их сразу все, или только те, которые считаете нужным.

Если вы столкнулись с ситуацией, когда компьютер перестает реагировать на вводимые команды с помощью подключенной USB-клавиатуры или мыши, проверьте параметры USB в настройках плана электропитания . Иногда Windows может отключать USB-устройства во время простоя , что способствует энергосбережению компьютера , но не всегда оправдано и удобно в плане работы.
Предотвратить временное отключение USB-порта , если вы столкнулись с подобной ситуацией, в плане электропитания следует изменить параметры питания . Для этого нажмите кнопку "Пуск" и в поле "Найти программы и файлы" введите слово "Электропитание", нажмите "Enter". Появится значок "Электропитание", щелкните по нему левой клавишей мышки.

Открыть планы электропитания так же можно из панели управления , перейдя в нее удобным для вас способом и при необходимости переключившись в режим просмотра "Мелкие значки" выбрать пункт "Электропитание".

Откроется окно "Выбор плана электропитания", в котором напротив текущего плана энергосбережения нажмите пункт "Настройка плана электропитания".

В следующем шаге нажмите "Изменить дополнительные параметры питания".

В открывшемся окошке найдите пункт "Параметры USB" и раскройте сначала его, а затем "Параметр временного отключения USB порта", нажав на +.

Щелкните по значению "Разрешено", после чего появится раскрывающаяся панель с выбором вариантов. Их всего два, выберете "Запрещено".

Из всех найденных не долгим поиском методов в моём случае не подошёл ни один:)

Даже вариант с ограничением прав для пользователей в реестре не дал результата (удалил даже права для системы и администратора - т.е. все права полностью для всех - не помогло).

В итоге комбинировал свой вариант (сборка из двух разных).

В моём случае обычный пользователь не имеет никаких привелегий в системе (прям мечта!) и разумеется потребовался максимальный функционал - т.е. использование определённых (зарегистрированных) носителей на отдельных ПК.

Для этого используем всего две процедуры (действия):

1. Удаляем из реестра информацию о всех использованных (зарегистрированных в реестре) запоминающих устройствах USB любым удобным методом (на Ваш вкус).
   Мне быстрее и проще всего оказалось воспользоваться простенькой утилитой После чего удаляем из системы файлы %Windows%\inf\Usbstor.pnf и Usbstor.inf .
2. В дальнейшем, при необходимости добавить (зарегистрировать) запоминающее устройство добавляем указанные файлы в систему, затем подключаем (переподключаем) USB накопитель и он полноценно определяется (регистрируется) в системе. После регистрации в системе опять удаляем указанные файлы, что вновь блокирует любые попытки определить системой новый USB накопитель.

В случае, когда права в ОС распределены и "обычная" работа выполняется пользователем с ограниченными правами данный метод полностью блокирует возможность подключить к ОС не зарегистрированный (системным администратором) "Флешки".

Удаление и добавление файлов Usbstor.pnf и Usbstor.inf можно осуществлять с помощью файлов.bat примерно следующего вида:

удаление

del /f /s /q C:\WINDOWS\inf\usbstor.inf C:\WINDOWS\inf\usbstor.PNF

восстановить (при условии, что файлы лежат рядом с bat-файлом)

xcopy ".\usbstor.inf" "C:\WINDOWS\inf\"
xcopy ".\usbstor.PNF" "C:\WINDOWS\inf\"

Внимание! Для Windows 7 и выше все.bat файлы нужно запускать от имени администратора ("Запустить от имени администратора" в контекстном меню).

Ниже приведены другие способы ограничения доступа к данным устройствам (у меня по отдельности не сработали).

Управление компьютером->диспетчер устройств->контроллеры универсальной последовательной шины USB->(корневые USB концентраторы) -> "применение устройства: [отключено]

Например, если принтер подключен к какому-либо концентратору, то его можно не отключать.

примечание 1. Диспетчер устройств можно запустить из командной строки start devmgmt.msc .

примечание 2. Интересное свойство диспетчера устройств из консоли выполнить две команды:

Set devmgr_show_nonpresent_devices=1
start devmgmt.msc

Тогда в Диспетчере устройств отобразятся скрытые устройства.

Если не требуется USB - отключение контролеров USB.

Запретить использование всем, кроме избранных через "Управление компьютером -> Запоминающие устройства -> СъемныеЗУ -> Свойства -> Безопасность.

Недостаток

Здесь есть некие подводные камни, например, запрет на использование группе USER. Но администратор может входить в группу USER.

Впрочем, это равносильно изменению параметра
HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR "Start"
"Start"=dword:00000004 - запретить;
"Start"=dword:00000003 - разрешить.

примечание. Запустить службу можно из командной строки
net start "Съемные ЗУ"

Идем в папку %Windows%\inf (папка имеет атрибут hidden) , в ней есть два файла - Usbstor.pnf и Usbstor.inf.

Запрещаем доступ к этим файлам, кроме группы администраторов или конкретного пользователя.

Зачем запрещать USB совсем, когда можно запретить только запись?

HKLM\SYSTEM\CurrentControlSet\control\StorageDevicePolicies.

Параметр WriteProtect, скорей всего его нет. Тогда его нужно создать с типом dword и присвоить значение 1.

И не забыть перегрузить компьютер. Чтобы восстановить - присвоить значение 0.

Итак, по шагам (разумеется, нужно обладать правами локального администратора):

1. Win+R (аналог Пуск -> Выполнить), regedit.
2. . Этот ключ хранит информацию о всех когда-либо подключенных USB-носителях.
3. Даем себе полный доступ на USBSTOR (правая клавиша мыши -> Разрешения, отметить пункт Полный доступ у группы ВСЕ).
4. Удаляем все содержимое USBSTOR.
5. Подключаем одобренную фэшку, убеждаемся в том, что она определилась. Внутри USBSTOR должен появиться ключ типа Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07 (F5 для обновления списка).
6. Опять ПКМ на USBSTOR, Разрешения. Убираем Полный доступ у группы ВСЕ, право на чтение оставляем.
7. Те же самые права нужно назначить пользователю SYSTEM, но напрямую это сделать не получится. Сначала нужно нажать кнопку Дополнительно, убрать галку Наследовать от родительского обьекта…, в появившемся окне Безопасность сказать Копировать. После очередного нажатия на ОК права пользователя SYSTEM станут доступны для изменения.
8. Для закрепления эффекта нажимаем кнопку Дополнительно еще раз и отмечаем пункт Заменить разрешения для всех дочерних объектов… Подтверждаем выполнение.

Чего же мы добились в итоге?Разрешенная флешка подключается и отключается без проблем. При попытке же несанкционированного подключения Windows определит устройство, но установить его не сможет, ругнувшись следующим образом:

Причем, в USBSTOR"е будет создан новый ключ, который недвусмысленно укажет на попытку подключения неодобренного USB-накопителя.