Отключение USB накопителей через групповые политики (GPO) | Windows для системных администраторов

Отключение USB накопителей через групповые политики (GPO)

При подключении нового USB устройства к компьютеру, система автоматически определяет устройство и устанавливает подходящий драйвер, в результате чего пользователь практически сразу может использовать подключенное USB устройство или накопитель. В некоторых организациях для предотвращения утечки конфиденциальных данных и проникновения в сеть вирусов, возможность использования USB накопителей (флешки, USB HDD, SD-карты и т.п) отключают из соображений безопасности. В этой статье мы покажем, как с помощью групповых политик (GPO) отключить возможность использовать внешних USB накопителей, запретить запись данных и запуск исполняемых файлов.

Политика блокировки USB устройств будет работать, если инфраструктура соответствует требованиям:

  • Версия схемы Active Directory — Windows Server 2008 и выше
    Примечание. Набор политик, позволяющий управлять установкой и использованием съемных носителей, появился только в этой версии AD
  • Клиентские ОС – Windows Vista, Windows 7 и выше

Итак, мы планируем ограничить использование USB накопителей для всех компьютеров в определенном контейнере (OU). Предположим, мы хотим распространить действие политики на OU с именем Workstations. Для этого, откроем консоль управления GPO (gpmc.msc) и, щелкнув ПКМ по OU Workstations, создадим новую политику (Create a GPO in this domain and Link it here).

Совет. В случае использования отдельно стоящего компьютера, политика  ограничения использования USB портов может быть отредактирована с помощью локального редактора групповых политик – gpedit.msc.

Создать новую групповую политикуНазовем политику Disable USB Access.

Политика Disable USB AccessЗатем отредактируем ее параметры (Edit).

Отредактировать GPO

Настройки блокировки внешних носителей присутствуют в пользовательском и компьютерных разделах GPO:

  • User Configuration-> Policies-> Administrative Templates-> System->Removable Storage Access (Конфигурация  пользователя -> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам)
  • Computer Configuration-> Policies-> Administrative Templates-> System-> Removable Storage Access (Конфигурация  компьютера-> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам)

В нашем случае, мы хотим заблокировать USB накопители на уровне компьютера, поэтому нас интересует второй раздел. Разверните его.

В разделе Removable Storage Access есть несколько политик, позволяющих отключить возможность использования различных классов устройств хранения: CD/DVD диски, флоппи диски (FDD), USB устройства, ленты и т.д.

Наиболее «суровая» ограничительная политика — All Removable Storage Classes: Deny All Access (Съемные запоминающие устройства всех классов: Запретить любой доступ)– позволяет полностью отключить доступ к любым типам внешних устройств хранения данных. Чтобы включить эту политику, откройте ее и переведите в состояние Enable.

All Removable Storage Classes: Deny All Access После активации политики и обновления ее на клиентах (gpupdate /force) внешние подключаемые устройства определяются системой, но при попытке их открыть появляется ошибка:

Location is not available

Drive is not accessible. Access is denied

USB Location is not available

Совет. Аналогичное ограничение можно задать, через реестр, создав в ветке HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\RemovableStorageDevices ключ Deny_All типа Dword со значением 00000001

В этом же разделе политик можно настроить более гибкие ограничение на использование внешних USB накопителей.

К примеру, чтобы запретить запись данных на USB флешки и диски, достаточно включить политику Removable Disk: Deny write access (Съемные диски: Запретить запись).

Removable Disk: Deny write access

В этом случае пользователи смогут читать данные с флешки, но при попытке записать на нее информацию, получат ошибку:

Destination Folder Access Denied

You need permission to perform this action

Destination Folder Access DeniedС помощью политики Removable Disks: Deny execute access (Съемные диски: Запретить выполнение) можно запретить запуск с USB дисков исполняемых файлов и файлов сценариев.

Removable Disks: Deny execute access

Еще записи по теме: Group Policy
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Есть 1 комментарий

Оставить комментарий
  1. Павел | 25.09.2015

    Я работаю в школе и для меня эта статья очень полезна. Так как AD у нас нет, то решил использовать эту политику локально на каждом компьютере в классе. Но прежде решил посмотреть эти политики у себя на компьютере (использую Win 10 Edu), так вот политика «Съемные диски: Запретить выполнение» присутствует только в разделе «Конфигурация компьютера», в разделе «Конфигурация пользователя» её нет… :(

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.24MB/0.00116 sec