Будем предусмотрительны. Запрещаем автозапуск, запись и чтение USB-устройств.


Случаются в нашей жизни ситуации, когда требуется ограничить доступ пользователя к USB-устройству, запретить его автозапуск, ограничить права на запись, а то и совершенно прекратить доступ к этому источнику информации в некоторых случаях — источнику заразы, дырке способствующей утечке информации. Причины для этого могут быть самые разные: лично мне, функция автозапуска вообще любого носителя не кажется полезной, на работе существует необходимость ограничения записи на флешку, а тем кто пару раз принес зараженный носитель — я его просто отключаю, либо оставляю доступ только к рабочей флешке без возможности установить драйвер для другой.
И так, начнем с малого и пока просто ограничим права на запись:


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl\SetControl\StorageDevicePolicies]
"WriteProtect"=dword:00000001


Отключаем автозапуск с логических, сменных, cd-rom и сетевых дисков:


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl\SetServices\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Autoplay\Handlers\Cancel\AutoplayFiles]
"*.*"=""

Отключаем всякий автозапуск:


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

Значения параметра для более тонкой настройки:

  • 0x1 или 0x80 Отключение автозапуска для дисков неизвестного типа
  • 0x4 Отключение автозапуска для съемных носителей
  • 0x8 Отключение автозапуска для несъемных дисков
  • 0x10 Отключение автозапуска для сетевых дисков
  • 0x20 Отключение автозапуска для компакт-дисков
  • 0x40 Отключение автозапуска для электронных дисков
  • 0xFF Отключение автозапуска для дисков всех типов

Значения могут комбинироваться суммированием их числовых значений
Существует возможность отключения автозапуска диска, которому присвоена уже известная буква:


[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveAutoRun"

Допускаются значения: 0x0–0x3FFFFFF
Значение представляет собой «битовую карту» дисков справа налево — крайний правый бит (в двоичном представлении) соответствует диску А, второй справа — B и так далее. Для отключения автозапуска бит должен быть установлен.
Запрещаем использование файлов autorun.inf


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

Отключаем USB носители:


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor]
"Start"=dword:4

В некоторых случаях, это может не сработать, например, если флешка подключалась ранее и драйвера для этой флешки уже установлены. Чтоб зарубить это траблу, в свойствах файлов usbstor.inf и usbstor.pnf (%SystemRoot%InfUsbstor.pnf) и (%SystemRoot%InfUsbstor.inf) устанавливаем галочки Запретить напротив элемента Полный доступ для пользователей которым необходимо прекратить доступ к USB-устройствам. Особенно важно запретить доступ для SYSTEM или система в Windows 7 и Vista.
Если ее нет в списке — добавьте.

Оцените статью
( Пока оценок нет )

Добавить комментарий

  1. Илья

    Можно ли уточнение…
    Требуется запрет исполняемых файлов с USB (Фактически надо запретить все чтение с USB), оставить ее только на запись…

    Ответить
  2. mllr

    Илья, Вы не перепутали, может наоборот — запретить запись, оставить только чтение?

    Ответить
  3. Илья

    нет, все правильно. Человек должен записывать файлы на флэш, но ни один из них (покрайней мере кроме doc(x) и pdf) не должен иметь возможности открыть с флэщки(Один и тот же диск(буква))

    Ответить
  4. username

    а какая ось?

    Ответить
  5. Илья

    ХР’ха, готовлю терминал для муниципальных услуг и столкнулся с проблемой… Софтина Sitekiosk, которая блочит рабочий стол под себя, не блочит запуск с флеш… и как сделать чтоб у меня на этом терминале с флешек игры, музыку и фильмы доброходы не запускали… Вот в чем вопрос…

    Ответить