thuis-Download software-We sluiten de toegang tot USB-flashstations Favorieten. Ratoo is een gratis hulpprogramma voor het beperken van de toegang tot USB-flashstations

We sluiten de toegang tot USB-flashstations Favorieten. Ratoo is een gratis hulpprogramma voor het beperken van de toegang tot USB-flashstations

Heel vaak kunnen flashdrives en externe harde schijven malware bevatten. Dit probleem is vooral relevant in gevallen waarin u te maken heeft met veel onbekende mensen (bijvoorbeeld klanten). In het artikel van vandaag zullen we het hebben over het beheren van USB-poorten, het blokkeren en ontgrendelen ervan indien nodig.

Mensen vragen vaak: “Bestaat er een programma waarmee ik de toegang tot de USB-poorten van mijn laptop kan beperken voor ‘onnodige’ mensen?”

Wij antwoorden: “Ja, er bestaat zo’n programma en het heet Microsoft Windows!” In feite is alles niet zo ingewikkeld, omdat u kunt bepalen of USB-poorten zijn in- of uitgeschakeld door het register te bewerken. En omdat alleen de beheerder het register kan corrigeren, kunnen "gasten" natuurlijk geen uitgeschakelde poorten activeren zonder uw toestemming.

Voordat we u het specifieke recept vertellen, willen we u eraan herinneren dat het manipuleren van het Windows-register een belangrijke verandering is. Als uw computer of laptop kapot gaat, raden wij u aan om reparaties uit te voeren op srochnyi-remont.ru. De specialisten van het bedrijf zullen u adviseren en helpen het probleem snel op te lossen.

USB-poorten blokkeren en deblokkeren

Als u vaak in het register werkt, bevindt de benodigde sleutel zich op: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR. Zoek de gebelde sleutel Begin en verander de waarde in 4 als u USB-ondersteuning wilt uitschakelen. Wilt u het weer inschakelen? Installeer er vervolgens opnieuw 3.

Wil je het makkelijker maken? Open vervolgens gewoon een leeg Kladblok-bestand en plak de volgende inhoud erin:

Windows Register-editor versie 5.00


”Begin”=dword:00000004


”Aantal”=dword:00000000
”VolgendeInstance”=dword:00000000

Het zal er ongeveer zo uitzien:

Sla dit bestand nu op door het type " Alle bestanden" en geef een duidelijke naam op, bijvoorbeeld "USB-Off.reg". Je hebt een ‘schakelaar’ klaarstaan ​​en het enige wat je hoeft te doen is er een tegenstander voor te maken.

Om dit te doen, herhaalt u alles vanaf het begin, maar dan in de regel

”Begin”=dword:00000004

vervangen 4 op 3 . En sla het bestand vervolgens op, maar onder de tegenovergestelde naam, bijvoorbeeld "USB-On.reg".

Door nu het eerste bestand uit te voeren, schakelt u de USB-poorten uit, en als u de tweede gebruikt, hervat u hun werking.

Van alle methoden die na een korte zoektocht werden gevonden, werkte er in mijn geval geen enkele :)

Zelfs de optie om de rechten voor gebruikers in het register te beperken leverde geen resultaat op (zelfs het verwijderen van rechten voor het systeem en de beheerder - dat wil zeggen: alle rechten volledig voor iedereen - hielp niet).

Als resultaat heb ik mijn versie gecombineerd (twee verschillende samengesteld).

In mijn geval heeft een gewone gebruiker geen rechten in het systeem (een echte droom!) En natuurlijk was maximale functionaliteit vereist - d.w.z. gebruik van bepaalde (geregistreerde) media op individuele pc's.

Om dit te doen, gebruiken we slechts twee procedures (acties):

  1. We verwijderen uit het register informatie over alle gebruikte (geregistreerd in het register) USB-opslagapparaten met behulp van elke handige methode (naar uw smaak).
    Het bleek dat de snelste en gemakkelijkste manier voor mij was om een ​​eenvoudig hulpprogramma te gebruiken. Vervolgens verwijderen we de bestanden van het systeem %Windows%\inf\Usbstor.pnf En Usbstor.inf .
  2. Als u in de toekomst een opslagapparaat moet toevoegen (registreren), voegt u de opgegeven bestanden toe aan het systeem, sluit u vervolgens het USB-station aan (opnieuw aansluiten) en wordt het volledig geïdentificeerd (geregistreerd) in het systeem. Na registratie in het systeem verwijderen we opnieuw de opgegeven bestanden, waardoor opnieuw alle pogingen van het systeem om een ​​nieuw USB-station te detecteren worden geblokkeerd.

In het geval dat rechten in het besturingssysteem worden verdeeld en “normaal” werk wordt uitgevoerd door een gebruiker met beperkte rechten, blokkeert deze methode volledig de mogelijkheid om “Flashdrives” die niet zijn geregistreerd (door de systeembeheerder) op het besturingssysteem aan te sluiten .

Het verwijderen en toevoegen van de bestanden Usbstor.pnf en Usbstor.inf kan ongeveer als volgt worden gedaan met behulp van .bat-bestanden:

verwijdering

del /f /s /q C:\WINDOWS\inf\usbstor.inf C:\WINDOWS\inf\usbstor.PNF

herstellen (op voorwaarde dat de bestanden zich naast het bat-bestand bevinden)

xcopy ".\usbstor.inf" "C:\WINDOWS\inf\"
xcopy ".\usbstor.PNF" "C:\WINDOWS\inf\"

Aandacht! Voor Windows 7 en hoger moeten alle .bat-bestanden worden uitgevoerd als beheerder ("Uitvoeren als beheerder" in het contextmenu).

Hieronder staan ​​andere manieren om de toegang tot deze apparaten te beperken (ze werkten bij mij afzonderlijk niet).

Computerbeheer->Apparaatbeheer->USB Universal Serial Bus-controllers->(USB-hoofdhubs) -> "Apparaattoepassing: [Uitgeschakeld]

Als de printer bijvoorbeeld op een hub is aangesloten, hoeft deze niet te worden losgekoppeld.

notitie 1. Apparaatbeheer kan worden gestart vanaf de opdrachtregel start devmgmt.msc.

opmerking 2. Een interessante functie van Apparaatbeheer is om twee opdrachten vanaf de console uit te voeren:

Stel devmgr_show_nonpresent_devices=1 in
start devmgmt.msc

Vervolgens verschijnen verborgen apparaten in Apparaatbeheer.

Als USB niet vereist is, schakelt u de USB-controllers uit.

Verbied het gebruik door iedereen behalve degenen die zijn geselecteerd via “Computerbeheer -> Opslagapparaten -> Verwisselbare opslag -> Eigenschappen -> Beveiliging.

Gebrek

Er zijn hier enkele valkuilen, bijvoorbeeld een verbod op het gebruik van de GEBRUIKERsgroep. Maar de beheerder kan lid zijn van de GEBRUIKERsgroep.

Dit komt echter overeen met het wijzigen van de parameter
HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR "Start"
"Start"=dword:00000004 - uitschakelen;
"Start"=dword:00000003 - toestaan.

opmerking. U kunt de service starten vanaf de opdrachtregel
netto start "Verwisselbaar geheugen"

We gaan naar de map %Windows%\inf (de map heeft het verborgen kenmerk), er staan ​​twee bestanden in: Usbstor.pnf en Usbstor.inf.

We weigeren toegang tot deze bestanden, behalve voor de beheerdersgroep of een specifieke gebruiker.

Waarom USB volledig verbieden als je alleen opnames kunt verbieden?

HKLM\SYSTEM\CurrentControlSet\control\StorageDevicePolicies.

De parameter WriteProtect bestaat hoogstwaarschijnlijk niet. Vervolgens moet het worden gemaakt met het type dword en de waarde 1 krijgen.

En vergeet niet uw computer opnieuw op te starten. Om te herstellen: wijs de waarde 0 toe.

Dus stap voor stap (u moet uiteraard lokale beheerdersrechten hebben):

  1. Win+R (vergelijkbaar met Start -> Uitvoeren), regedit.
  2. . Deze sleutel slaat informatie op over alle USB-drives die ooit zijn aangesloten.
  3. We geven onszelf volledige toegang tot USBSTOR (rechtermuisknop -> Machtigingen, vink de optie Volledige toegang aan voor de ALL-groep).
  4. We verwijderen alle inhoud van USBSTOR.
  5. Wij sluiten de goedgekeurde flashdrive aan en zorgen ervoor dat deze geïdentificeerd wordt. Een sleutel zoals Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07 zou in USBSTOR moeten verschijnen (F5 om de lijst bij te werken).
  6. Opnieuw RMB op USBSTOR, machtigingen. We verwijderen de volledige toegang van de ALL-groep en laten het leesrecht over.
  7. Dezelfde rechten moeten worden toegewezen aan de SYSTEEMgebruiker, maar dit kan niet rechtstreeks worden gedaan. Eerst moet u op de knop Geavanceerd klikken, het selectievakje Overnemen van bovenliggend object... uitschakelen en in het venster Beveiliging dat verschijnt, Kopiëren zeggen. Nadat u opnieuw op OK hebt geklikt, zijn de SYSTEEM-gebruikersrechten beschikbaar voor wijziging.
  8. Om het effect te consolideren, klikt u nogmaals op de knop Geavanceerd en vinkt u de bevoegdheden Vervangen voor alle onderliggende objecten aan... Uitvoering bevestigen.

Wat hebben we uiteindelijk bereikt? Een goedgekeurde flashdrive kan zonder problemen worden aangesloten en losgekoppeld. Als er wordt geprobeerd een ongeautoriseerde verbinding tot stand te brengen, zal Windows het apparaat detecteren, maar het niet kunnen installeren, en vloekt als volgt:

Bovendien wordt er in USBSTOR een nieuwe sleutel aangemaakt, die duidelijk aangeeft dat er is geprobeerd een niet-goedgekeurde USB-drive aan te sluiten.

Wij hebben een taak gesteld blokkeer USB-drives op werkstations. Bovendien zouden printers die via USB zijn aangesloten, moeten werken, maar flashdrives die op USB zijn aangesloten niet!

De taak wordt gecompliceerd door het feit dat het lokale beveiligingsbeleid, en zelfs het domeinbeleid in het Windows 2003 Server-domein, u niet toestaat USB-drives uit te schakelen. Een dergelijk beleid bestaat niet.

Alles wordt gecompliceerd door het feit dat er printers zijn aangesloten via USB. De USB-bus zelf kan via het register worden uitgeschakeld, maar hoe je de printers aan het werk kunt krijgen, is een grote vraag...

Betaalde programma's kunnen niet worden gebruikt. Het management is niet bereid ze te kopen, maar je kunt ze niet illegaal maken. Alles moet wit en ruig zijn. 🙂

Er is een oplossing. Het resultaat van het lezen van het document en het googlen werd opgemaakt als een artikel voor de toekomst

Het probleem wordt opgelost door bestandsrechten in te stellen usb.inf En usbstor.inf, die gevestigd zijn in C:\Windows\inf

Alles is briljant en eenvoudig! Via toegangsrechten kun je niet zomaar blokkeer de toegang tot USB, A beperk de toegang tot USB per gebruiker.

Gids voor het instellen van toegangsrechten tot USB-media en het blokkeren van flashdrives

  1. Wij installeren alle benodigde USB-printers, scanners en andere USB-apparaten die u mogelijk nodig heeft op deze computer. Dan zal het moeilijker zijn om ze te installeren. 🙂 We zullen tenslotte USB-apparaten blokkeren.
  2. We verwijderen ALLE USB-drives die eerder op het werkstation zijn aangesloten, anders zijn deze flashdrives beschikbaar voor ELKE gebruiker van het werkstation. BELANGRIJK: Zie onderstaande informatie voor Windows 7.
    Alle eerder geïnstalleerde USB-flashstations staan ​​in het register; voer regedit uit (Start->Uitvoeren->regedit->Enter), ga naar de sectie

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

    en van daaruit verwijderen ALLE onderafdelingen.

    BELANGRIJK in Windows XP: er kan een melding verschijnen dat de subsleutel niet kan worden verwijderd. Klik in dit geval met de rechtermuisknop op de USBSTOR-partitie en selecteer "Rechten...", ingesteld voor "Alle" - volledige toegang. Nu proberen we subpartities in de USBSTOR-sectie te verwijderen, het zou moeten werken.

    Het register is in Windows 7 veel beter beschermd dan in Windows XP. Om eerder aangesloten apparaten te verwijderen, moet u opstarten vanaf de Live CD en het hulpprogramma gebruiken om vermeldingen uit het register te verwijderen. Op een draaiende Windows 7 kunt u geen registervermeldingen over eerder verbonden apparaten verwijderen. U kunt een Live CD-image downloaden met een hulpprogramma voor het bewerken van het register voor Windows 7 32 bit, Windows 7 64 bit, Live CD voor Windows XP kan worden gedownload.

  3. Laten we naar de map gaan <диск, где у вас стоит Windows>:\Windows\inf, we vinden de bestanden: usb.inf, usbstor.inf.
  4. Bestanden selecteren usb.inf, usbstor.inf, ga naar eigenschappen, ga in het dialoogvenster dat verschijnt naar het tabblad Beveiliging. Het vinden van de knop "Aanvullend" en druk op.
  5. Als het selectievakje 'Overnemen van de machtigingen van het bovenliggende object die van toepassing zijn op onderliggende objecten, voeg ze toe aan de machtigingen die expliciet in dit venster zijn opgegeven' is ingeschakeld, moet dit worden uitgeschakeld. Er verschijnt een venster met knoppen: "Kopiëren", "Verwijderen","Annuleren"- Klik "Kopiëren" En "OK". Als u dit selectievakje niet heeft, kunt u dit item overslaan.
  6. Op het tabblad "Veiligheid", op veld "Groepen en gebruikers" wij doen het volgende:
    USB-flashstations volledig blokkeren voor ALLE werkstationgebruikers:
    We verwijderen ALLE gebruikers.
    Om USB-drives alleen te blokkeren voor gebruikers zonder beheerdersrechten:
    We verwijderen alle gebruikers en voegen gebruikers of groepen met beheerdersrechten toe. Lokaal of domein hangt ervan af of uw domein al dan niet verhoogd is. Het is juister om de lokale groep Administrators toe te voegen, en de domeingroep toe te voegen aan de lokale groep via “Lokale gebruikers en wachtwoorden”. Maar hier handelt iedereen zoals het hem uitkomt.

Dat is alles. Wanneer u nu USB-flashdrives en andere USB-apparaten op het werkstation aansluit, gebeurt er, afhankelijk van de hierboven geselecteerde optie, het volgende: een gebruiker zonder beheerdersrechten wordt gevraagd in te loggen met beheerdersrechten, of het USB-apparaat wordt geblokkeerd en zal helemaal niet werken.

Dit artikel is getest op functionaliteit onder Windows XP SP3, Windows 7 SP1, Windows 2003 Server.

Soms is het nodig om USB-poorten op een computer of laptop uit te schakelen om de toegang tot het aansluiten van flashdrives, harde schijven en andere USB-apparaten te beperken. Als u USB-poorten uitschakelt, voorkomt u dat er schijven worden aangesloten die kunnen worden gebruikt om belangrijke informatie te stelen of ervoor te zorgen dat een virus uw computer infecteert en malware over het lokale netwerk verspreidt.

Toegang tot USB-poorten beperken

Laat ons nadenken 7 manieren, waarmee u USB-poorten kunt blokkeren:

  1. USB uitschakelen via BIOS-instellingen
  2. Registerinstellingen voor USB-apparaten wijzigen
  3. USB-poorten uitschakelen in Apparaatbeheer
  4. USB-controllerstuurprogramma's verwijderen
  5. Gebruik Microsoft FixIt 50061
  6. Extra programma's gebruiken
  7. Fysiek loskoppelen van USB-poorten

1. USB-poorten uitschakelen via BIOS-instellingen

  1. Voer de BIOS-instellingen in.
  2. Schakel alle items uit die verband houden met de USB-controller (bijvoorbeeld USB-controller of Legacy USB-ondersteuning).
  3. Nadat u deze wijzigingen heeft aangebracht, moet u de instellingen opslaan en het BIOS afsluiten. Meestal gebeurt dit met behulp van de sleutel F10.
  4. Start uw computer opnieuw op en zorg ervoor dat de USB-poorten zijn uitgeschakeld.

2. USB-drives in- en uitschakelen met behulp van de Register-editor

Als uitschakelen via BIOS u niet bevalt, kunt u de toegang rechtstreeks in het Windows-besturingssysteem zelf blokkeren met behulp van het register.

Met de onderstaande instructies kunt u de toegang tot verschillende USB-drives (bijvoorbeeld flashdrives) blokkeren, maar andere apparaten zoals toetsenborden, muizen, printers en scanners zullen nog steeds werken.

  1. Open het Startmenu -> Uitvoeren, voer de opdracht " regedit" en klik op OK om de Register-editor te openen.
  2. Ga door naar het volgende gedeelte

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR

  3. Zoek aan de rechterkant van het venster het item “ Begin' en dubbelklik erop om het te bewerken. Voer waarde in " 4 » om de toegang tot USB-opslagapparaten te blokkeren. Dienovereenkomstig, als u de waarde opnieuw invoert “ 3 ", de toegang wordt heropend.

Klik op OK, sluit de Register-editor en start uw computer opnieuw op.

De bovenstaande methode werkt alleen als het stuurprogramma voor de USB-controller is geïnstalleerd. Als er om veiligheidsredenen geen stuurprogramma is geïnstalleerd, wordt de Start-instelling mogelijk automatisch opnieuw ingesteld op 3 wanneer de gebruiker het USB-station aansluit en Windows het stuurprogramma installeert.

3. Schakel USB-poorten uit in Apparaatbeheer

  1. Klik met de rechtermuisknop op de " Computer" en selecteer het item "Eigenschappen" in het contextmenu. Er wordt een venster geopend aan de linkerkant waarvan u op de link moet klikken “ apparaat beheerder».
  2. Zoek in de apparaatbeheerstructuur het item " USB-controllers" en open het.
  3. Schakel controllers uit door met de rechtermuisknop te klikken en het menu-item "Uitschakelen" te selecteren.

Deze methode werkt niet altijd. In het voorbeeld in bovenstaande figuur leidde het uitschakelen van de controllers (de eerste 2 punten) niet tot het gewenste resultaat. Het uitschakelen van de derde optie (USB-massaopslagapparaat) werkte, maar hiermee kunt u slechts één exemplaar van het USB-opslagapparaat uitschakelen.

4. Stuurprogramma's voor de USB-controller verwijderen

Als alternatief kunt u, om de poorten uit te schakelen, eenvoudigweg het stuurprogramma van de USB-controller verwijderen. Maar het nadeel van deze methode is dat wanneer de gebruiker een USB-station aansluit, Windows zal controleren op stuurprogramma's en, als deze ontbreken, zal aanbieden het stuurprogramma te installeren. Dit geeft op zijn beurt toegang tot het USB-apparaat.

5. Voorkom dat gebruikers USB-opslagapparaten aansluiten met behulp van een Microsoft-applicatie

Een andere manier om de toegang tot USB-drives te weigeren is door gebruik te maken van Microsoft Fix-It 50061(http://support.microsoft.com/kb/823732/ru - de link wordt mogelijk geopend in de buurt van de mituta). De essentie van deze methode is dat er rekening wordt gehouden met 2 voorwaarden voor het oplossen van het probleem:

  • Het USB-station is nog niet op de computer geïnstalleerd
  • Het USB-apparaat is al op de computer aangesloten

In het kader van dit artikel zullen we deze methode niet in detail bespreken, vooral omdat u deze in detail kunt bestuderen op de Microsoft-website via de bovenstaande link.

Er moet ook worden opgemerkt dat deze methode niet geschikt is voor alle versies van Windows OS.

6. Programma's gebruiken om de toegang tot USB-opslagapparaten in/uit te schakelen

Er zijn veel programma's voor het instellen van een toegangsverbod tot USB-poorten. Laten we een van hen bekijken: het programma USB-drive uitschakelen.

Het programma heeft een eenvoudige set instellingen waarmee u toegang tot bepaalde schijven kunt weigeren/toestaan. Met USB Drive Disabler kunt u ook waarschuwingen en toegangsniveaus configureren.

7. USB loskoppelen van het moederbord

Hoewel het fysiek loskoppelen van USB-poorten op een moederbord een bijna onmogelijke taak is, kunt u poorten aan de voor- of bovenkant van uw computer uitschakelen door de kabel los te koppelen die naar het moederbord gaat. Deze methode blokkeert de toegang tot USB-poorten niet volledig, maar verkleint de kans op het gebruik van schijven door onervaren gebruikers en degenen die simpelweg te lui zijn om apparaten op de achterkant van de systeemeenheid aan te sluiten.

! Toevoeging

Toegang tot verwisselbare media weigeren via de Groepsbeleid-editor

In moderne versies van Windows is het mogelijk om de toegang tot verwisselbare opslagapparaten (inclusief USB-drives) te beperken met behulp van de Local Group Policy Editor.

  1. Loop gpedit.msc via het venster Uitvoeren (Win + R).
  2. Ga naar de volgende vestiging" Computerconfiguratie -> Beheersjablonen -> Systeem -> Toegang tot verwisselbare opslagapparaten»
  3. Zoek aan de rechterkant van het scherm de optie "Verwisselbare schijven: Lezen weigeren".
  4. Activeer deze optie ("Enable" positie).

In dit gedeelte van Lokaal groepsbeleid kunt u lees-, schrijf- en uitvoertoegang configureren voor verschillende klassen verwisselbare media.

Gerelateerde publicaties: