Случаются в нашей жизни ситуации, когда требуется ограничить доступ пользователя к USB-устройству, запретить его автозапуск, ограничить права на запись, а то и совершенно прекратить доступ к этому источнику информации в некоторых случаях — источнику заразы, дырке способствующей утечке информации. Причины для этого могут быть самые разные: лично мне, функция автозапуска вообще любого носителя не кажется полезной, на работе существует необходимость ограничения записи на флешку, а тем кто пару раз принес зараженный носитель — я его просто отключаю, либо оставляю доступ только к рабочей флешке без возможности установить драйвер для другой.
И так, начнем с малого и пока просто ограничим права на запись:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl\SetControl\StorageDevicePolicies]
"WriteProtect"=dword:00000001
Отключаем автозапуск с логических, сменных, cd-rom и сетевых дисков:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl\SetServices\Cdrom]
"AutoRun"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Autoplay\Handlers\Cancel\AutoplayFiles]
"*.*"=""
Отключаем всякий автозапуск:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
Значения параметра для более тонкой настройки:
- 0x1 или 0x80 Отключение автозапуска для дисков неизвестного типа
- 0x4 Отключение автозапуска для съемных носителей
- 0x8 Отключение автозапуска для несъемных дисков
- 0x10 Отключение автозапуска для сетевых дисков
- 0x20 Отключение автозапуска для компакт-дисков
- 0x40 Отключение автозапуска для электронных дисков
- 0xFF Отключение автозапуска для дисков всех типов
Значения могут комбинироваться суммированием их числовых значений
Существует возможность отключения автозапуска диска, которому присвоена уже известная буква:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveAutoRun"
Допускаются значения: 0x0–0x3FFFFFF
Значение представляет собой «битовую карту» дисков справа налево — крайний правый бит (в двоичном представлении) соответствует диску А, второй справа — B и так далее. Для отключения автозапуска бит должен быть установлен.
Запрещаем использование файлов autorun.inf
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
Отключаем USB носители:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor]
"Start"=dword:4
В некоторых случаях, это может не сработать, например, если флешка подключалась ранее и драйвера для этой флешки уже установлены. Чтоб зарубить это траблу, в свойствах файлов usbstor.inf и usbstor.pnf (%SystemRoot%InfUsbstor.pnf) и (%SystemRoot%InfUsbstor.inf) устанавливаем галочки Запретить напротив элемента Полный доступ для пользователей которым необходимо прекратить доступ к USB-устройствам. Особенно важно запретить доступ для SYSTEM или система в Windows 7 и Vista.
Если ее нет в списке — добавьте.
5 комментариев. Оставить новый
ХР’ха, готовлю терминал для муниципальных услуг и столкнулся с проблемой… Софтина Sitekiosk, которая блочит рабочий стол под себя, не блочит запуск с флеш… и как сделать чтоб у меня на этом терминале с флешек игры, музыку и фильмы доброходы не запускали… Вот в чем вопрос…
а какая ось?
нет, все правильно. Человек должен записывать файлы на флэш, но ни один из них (покрайней мере кроме doc(x) и pdf) не должен иметь возможности открыть с флэщки(Один и тот же диск(буква))
Илья, Вы не перепутали, может наоборот — запретить запись, оставить только чтение?
Можно ли уточнение…
Требуется запрет исполняемых файлов с USB (Фактически надо запретить все чтение с USB), оставить ее только на запись…