Запрет использования USB накопителей с помощью групповых политик (GPO) Windows

При подключении нового USB устройства к компьютеру, Windows автоматически определяет устройство и устанавливает подходящий драйвер, в результате чего пользователь практически сразу может использовать подключенное USB устройство или накопитель. В некоторых организациях для предотвращения утечки конфиденциальных данных и проникновения в сеть вирусов, возможность использования USB накопителей (флешки, USB HDD, SD-карты и т.п) блокируют из соображений безопасности. В этой статье мы покажем, как с помощью групповых политик (GPO) заблокировать возможность использовать внешних USB накопителей в Windows, запретить запись данных на подключенные флешки и запуск исполняемых файлов.

 

Политики управления доступом к внешним носителям в Windows

В ОС Windows начиная с Windows 7 / Vista появилась возможность достаточно гибкая возможность управления доступом к внешним накопителям (USB, CD / DVD и др.) с помощью групповых политик. Теперь вы можете программно запретить использование USB накопителей, не затрагивая такие USB устройства, как мышь, клавиатура, принтер и т.д.

Политика блокировки USB устройств будет работать, если инфраструктура вашего домена AD соответствует следующим требованиям:

  • Версия схемы Active Directory — Windows Server 2008 или выше [alert]Примечание. Набор политик, позволяющий полноценно управлять установкой и использованием съемных носителей в Windows, появился только в этой версии AD (версия схемы 44).[/alert]
  • Клиентские ОС – Windows Vista, Windows 7 и выше
Примечание. В групповых политиках Windows XP отсутствует возможность ограничения доступа к внешним USB устройствам.  Для ограничения доступа к внешним носителям в этой ОС приходилось использовать сторонние продукты, либо запрещать запуск определённых драйверов (UsbStor, Cdrom, Flpydisk, Sfloppy) в ветке HKLM\SYSTEM\CurrentControlSet\Services\ с помощью значения параметра ключа Start=0.  Однако c 2014 года эта ОС снята с поддержки и ее уже практически не используют в корпоративных сетях.

Настройка GPO для блокировки USB носителей и других внешних накопителей

Итак, мы планируем ограничить использование USB накопителей на всех компьютерах в определенном контейнере (OU) домена (можно применить политику запрета использования USB ко всему домену, но это затронет в том числе сервера и другие технологические устройства). Предположим, мы хотим распространить действие политики на OU с именем Workstations. Для этого, откройте консоль управления доменными GPO (gpmc.msc) и, щелкнув ПКМ по OU Workstations, создайте новую политику (Create a GPO in this domain and Link it here).

Совет. В случае использования отдельно стоящего компьютера, политика ограничения использования USB портов может быть отредактирована с помощью локального редактора групповых политик – gpedit.msc. В домашних редакция Windows локальный редактор групповых отсутствует, но это можно установить так: в Windows 10, в Windows 7.

Создать новую групповую политикуНазовем политику Disable USB Access.

Политика Disable USB AccessЗатем отредактируем ее параметры (Edit).

Отредактировать GPO

Настройки блокировки внешних запоминающих устройства присутствуют в пользовательском и компьютерных разделах GPO:

  • User Configuration-> Policies-> Administrative Templates-> System->Removable Storage Access (Конфигурация  пользователя -> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам)
  • Computer Configuration-> Policies-> Administrative Templates-> System-> Removable Storage Access (Конфигурация  компьютера-> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам)

Если нужно заблокировать USB накопители для всех пользователей доменного компьютера, нужно редактировать политики в разделе «Конфигурация компьютера». Разверните его.

В разделе «Доступ к съемным запоминающим устройствам” (Removable Storage Access) есть несколько политик, позволяющих отключить возможность использования различных классов устройств хранения: CD/DVD дисков, флоппи дисков (FDD), USB устройств, ленты и т.д.

  • Компакт-диски и DVD-диски: Запретить выполнение (CD and DVD: Deny execute access).
  • Компакт-диски и DVD-диски: Запретить чтение (CD and DVD: Deny read access).
  • Компакт-диски и DVD-диски: Запретить запись (CD and DVD: Deny write access).
  • Специальные классы: Запретить чтение (Custom Classes: Deny read access).
  • Специальные классы: Запретить запись (Custom Classes: Deny write access).
  • Накопители на гибких дисках: Запретить выполнение (Floppy Drives: Deny execute access).
  • Накопители на гибких дисках: Запретить чтение (Floppy Drives: Deny read access).
  • Накопители на гибких дисках: Запретить запись (Floppy Drives: Deny write access).
  • Съемные диски: Запретить выполнение (Removable Disks: Deny execute access).
  • Съемные диски: Запретить чтение (Removable Disks: Deny read access).
  • Съемные диски: Запретить запись (Removable Disks: Deny write access).
  • Съемные запоминающие устройства всех классов: Запретить любой доступ (All Removable Storage classes: Deny all access).
  • Все съемные запоминающие устройства: разрешение прямого доступа в удаленных сеансах (All Removable Storage: Allow direct access in remote sessions).
  • Ленточные накопители: Запретить выполнение (Tape Drives: Deny execute access).
  • Ленточные накопители: Запретить чтение (Tape Drives: Deny read access).
  • Ленточные накопители: Запретить запись (Tape Drives: Deny write access).
  • WPD-устройства: Запретить чтение (WPD Devices: Deny read access) – это класс портативных устройств (Windows Portable Device). Включает в себя смартфоны, планшеты, плееры и т.д.
  • WPD-устройства: Запретить запись (WPD Devices: Deny write access).

Как вы видите, для каждого класса устройств вы можете запретить запуск исполняемых файлов (защита от вирусов), запретить чтение данных и запись/редактирование информации на внешнем носителе.

политики управления доступом к съемным запоминающим устройствам

Наиболее «суровая» ограничительная политика — All Removable Storage Classes: Deny All Access (Съемные запоминающие устройства всех классов: Запретить любой доступ) – позволяет полностью отключить доступ к любым типам внешних устройств хранения данных. Чтобы включить эту политику, откройте ее и переведите в состояние Enable.

All Removable Storage Classes: Deny All Access После активации политики и обновления ее на клиентах (gpupdate /force) внешние подключаемые устройства (не только USB устройства, но и любые внешние накопители) определяются системой, но при попытке их открыть появляется ошибка доступа:

Location is not available

Drive is not accessible. Access is denied

USB Location is not available

Совет. Аналогичное ограничение можно задать, через реестр, создав в ветке HKEY_CURRENT_USER (или ветке HKEY_LOCAL_MACHINE) \Software\Policies\Microsoft\Windows\RemovableStorageDevices ключ Deny_All типа Dword со значением 00000001 .

В этом же разделе политик можно настроить более гибкие ограничение на использование внешних USB накопителей.

К примеру, чтобы запретить запись данных на USB флешки, и другие типы USB накопителей, достаточно включить политику Removable Disk: Deny write access (Съемные диски: Запретить запись).

Removable Disk: Deny write access

В этом случае пользователи смогут читать данные с флешки, но при попытке записать на нее информацию, получат ошибку доступа:

Destination Folder Access Denied

You need permission to perform this action

Destination Folder Access DeniedС помощью политики Removable Disks: Deny execute access (Съемные диски: Запретить выполнение) можно запретить запуск с USB дисков исполняемых файлов и файлов сценариев.

Removable Disks: Deny execute access

Как запретить использовать USB накопители определенным пользователям

Довольно часто необходимо запретить использовать USB диски всем пользователям в домене, кроме, например, администраторов.

Проще всего это реализуется с помощью использования Security Filtering в GPO. Например, чтобы запретить применять политику блокировки USB к группе администраторов домена.

  1. Выберите в консоли Group Policy Management вашу политику Disable USB Access.
  2. В разделе Security Filtering добавьте группуDomain Admins.gpo Security Filtering
  3. Перейдите на вкладку Delegation, нажмите на кнопкуAdvanced. В редакторе настроек безопасности, укажите что, группе Domain Admins запрещено применять данную GPO (Apply group policy – Deny).запретить применение политики ограничения USB к админам

Если задача стоит по-другому: нужно разрешить использовать USB диски всем, кроме определённой группы пользователей, нужно в настройках безопасности политики добавить вашу группу пользователей с разрешениями на чтение и применение GPO, а у группы Authenticated Users или Domain Computers оставить только разрешение на чтение (сняв галку у пункта Apply group policy).gpo auth users read

Блокирование доступа к USB накопителям через реестр и GPP

Более гибко управлять доступом к внешним устройствам можно с помощью настройки параметров реестра, которые задаются рассмотренными выше политиками через механизм Group Policy Preferences (GPP). Всем указанным выше политикам соответствуют определенные ключи реестра в ветке HKLM (или HKCU) \SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices (по умолчанию этого раздела в реестре нет). Чтобы включить ту или иную политику нужно создать в указанном ключе новую подветку с именем класса устройств, доступ к которым нужно заблокировать (столбец 2) и REG_DWORD параметром с типом ограничения Deny_Read или Deny_Write. Если значение ключа равно 1—  ограничение активно, если 0  – запрет использования данного класса устройств не действует.

Имя политикиПодветка с именем Device Class GUIDИмя параметра реестра
Floppy Drives:
Deny read access
{53f56311-b6bf-11d0-94f2-00a0c91efb8b}Deny_Read
Floppy Drives:
Deny write access
{53f56311-b6bf-11d0-94f2-00a0c91efb8b}Deny_Write
CD and DVD:
Deny read access
{53f56308-b6bf-11d0-94f2-00a0c91efb8b}Deny_Read
CD and DVD:
Deny write access
{53f56308-b6bf-11d0-94f2-00a0c91efb8b}Deny_Write
Removable Disks:
Deny read access
{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}Deny_Read
Removable Disks:
Deny write access
{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}Deny_Write
Tape Drives:
Deny read access
{53f5630b-b6bf-11d0-94f2-00a0c91efb8b}Deny_Read
Tape Drives:
Deny write access
{53f5630b-b6bf-11d0-94f2-00a0c91efb8b}Deny_Write
WPD Devices:
Deny read access
{6AC27878-A6FA-4155-BA85-F98F491D4F33}
{F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE}
Deny_Read
WPD Devices:
Deny write access
{6AC27878-A6FA-4155-BA85-F98F491D4F33}
{F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE}
Deny_Write

Таким образом с помощью данных ключей реестра и возможностями нацеливания политик GPP с помощью Item-level targeting вы сможете гибко применять политики, ограничивающие использование внешних устройств хранения, к определённым группам безопасности AD, сайтам, версиям ОС, OU и другим характеристикам компьютеров, вплоть до WMI запросов. Таким образом можно сделать так, чтобы политики блокировки USB применялись только к компьютерам, которые входят (не входят) в определенную группу AD.

Примечание. Аналогичным образом вы можете создать собственную политики для классов устройств, которые в данном списке не перечислены. Узнать идентификатор класса устройства можно в свойствах драйвера в значении атрибута Device Class GUID.
Если при попытке выполнить форматирование флешке, система пишет «Windows не удается завершить форматирование», воспользуйтесь рекомендациями из статьи Почему не форматируется sd карта или флешка

Предыдущая статья Следующая статья


Комментариев: 10 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)