Как отключить флешки через групповые политики
Перейти к содержимому

Как отключить флешки через групповые политики

  • автор:

Как сбросить локальные групповые политики и политики безопасности в Windows

Как сбросить политики Windows

Многие твики и настройки Windows (в том числе описываемые на этом сайте) затрагивают изменение параметров локальной групповой политики или политик безопасности с помощью соответствующего редактора (присутствует в профессиональных и корпоративных версиях ОС), редактора реестра или, иногда, сторонних программ.

Сброс вручную с помощью редактора локальной групповой политики

Первый способ сброса — использовать встроенный в Windows 11, Windows 10 и предыдущих версий в редакцииях Pro, Enterprise или Ultimate (в Домашней отсутствует) редактор локальной групповой политики. При использовании этого метода получится сбросить только политики, настроенные в разделе «Административные шаблоны», но так как у большинства пользователей параметры в других расположениях не меняются, этого может быть достаточно.

Шаги будут выглядеть следующим образом

  1. Запустите редактор локальной групповой политики. Для этого нажмите клавиши Win+R на клавиатуре (Win — клавиша с эмблемой Windows), введите gpedit.msc и нажмите Enter.
  2. Раскройте раздел «Конфигурация компьютера» — «Административные шаблоны» и выберите пункт «Все параметры». Выполните сортировку по столбцу «Состояние». Обратите внимание: сортировка выполняется по алфавиту, то есть отключенные политики, если отсортировать состояние как на изображении ниже, окажутся внизу списка.Просмотр измененных локальных групповых политик
  3. Для всех параметров, у которых значение состояния отличается от «Не задана» (то есть в состоянии указано Включена или Отключена) дважды кликните по параметру и установите значение «Не задано». Сброс локальной групповой политики
  4. Проверьте, нет ли в аналогичном подразделе, но в «Конфигурация пользователя» политик с заданными значениями (включено или отключено). Если есть — поменяйте на «Не задана».

Готово — параметры всех локальных политик были изменены на те, которые установлены по умолчанию в Windows (а они именно не заданы).

Как сбросить локальные политики безопасности в Windows 10, 8 и Windows 7

Для локальных политик безопасности есть отдельный редактор — secpol.msc, однако, способ для сброса локальных групповых политик здесь не подойдет, потому как некоторых из политик безопасности по умолчанию уже имеют заданные значения.

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

Сброс политик безопасности Windows

Удаление локальных групповых политик для восстановления значений по умолчанию

Важно: этот способ потенциально нежелателен, выполняйте его только на свой страх и риск. Также этот способ не сработает для политик, измененных путем внесения правок в редакторе реестра минуя редакторы политик.

Политики загружаются в реестр Windows из файлов в папках Windows\System32\GroupPolicy и Windows\System32\GroupPolicyUsers. Если удалить эти папки (может потребоваться загрузиться в безопасном режиме) и перезагрузить компьютер, политики будут сброшены на настройки по умолчанию.

Удаление можно произвести и в командной строке, запущенной от имени администратора, по порядку выполнив команды (последняя команда выполняет перезагрузку политик):

RD /S /Q "%WinDir%\System32\GroupPolicy" RD /S /Q "%WinDir%\System32\GroupPolicyUsers" gpupdate /force

Видео инструкция

Если ни один из способов вам не помог, можно Сбросить Windows 11 к заводским настройкам или Сбросить Windows 10 (доступно и в Windows 8/8.1) на настройки по умолчанию, в том числе и с сохранением данных.

А вдруг и это будет интересно:

  • Лучшие бесплатные программы для Windows
  • Как разрешить обычному пользователю запускать программу от имени Администратора без ввода пароля
  • Как выйти из полноэкранного режима в Windows
  • Как включить компактный вид панели быстрых настроек Windows 11
  • Шрифты в интерфейсе Chrome стали более жирными и размытыми — как исправить?
  • Msftconnecttest.com — что это и как исправить возможные ошибки
  • Windows 11
  • Windows 10
  • Android
  • Загрузочная флешка
  • Лечение вирусов
  • Восстановление данных
  • Установка с флешки
  • Настройка роутера
  • Всё про Windows
  • В контакте
  • Одноклассники

    Виктор 17.01.2018 в 11:19

  • Dmitry 18.01.2018 в 08:37
  • Dmitry 18.01.2018 в 08:51
  • Dmitry 16.03.2018 в 08:57
  • Dmitry 17.04.2018 в 08:53

Да.
1. Как в этой статье https://remontka.pro/reset-windows-password-easy-way/ добиваемся командной строки от админа на экране до входа в систему.
2. Создаем в командной строке пользователя, даем ему права админа — https://remontka.pro/create-new-user-windows-10/ (инструкция для 10-ки, но в 7 то же самое). Ответить

  • Dmitry 13.09.2018 в 11:50
  • Dmitry 24.12.2019 в 13:31
  • Dmitry 20.09.2021 в 15:27

За эту политику отвечает параметр AllowMUUpdateService в разделе реестра

KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
  • Dmitry 12.04.2022 в 14:02

Здравствуйте.
Есть такое, держите:

https://www.microsoft.com/en-us/download/101451
  • Urey 13.04.2022 в 20:18
  • Dmitry 05.02.2023 в 11:13
  • Вадим 05.02.2023 в 19:37
  • Dmitry 03.09.2023 в 10:14
  • Dmitry 30.09.2023 в 10:09
  • Живые обои на рабочий стол Windows 11 и Windows 10
  • Лучшие бесплатные программы на каждый день
  • Как скачать Windows 10 64-бит и 32-бит оригинальный ISO
  • Как смотреть ТВ онлайн бесплатно
  • Бесплатные программы для восстановления данных
  • Лучшие бесплатные антивирусы
  • Средства удаления вредоносных программ (которых не видит ваш антивирус)
  • Встроенные системные утилиты Windows 10, 8 и 7, о которых многие не знают
  • Бесплатные программы удаленного управления компьютером
  • Запуск Windows 10 с флешки без установки
  • Лучший антивирус для Windows 10
  • Бесплатные программы для ремонта флешек
  • Что делать, если сильно греется и выключается ноутбук
  • Программы для очистки компьютера от ненужных файлов
  • Лучший браузер для Windows
  • Бесплатный офис для Windows
  • Запуск Android игр и программ в Windows (Эмуляторы Android)
  • Что делать, если компьютер не видит флешку
  • Управление Android с компьютера
  • Как разрешить обычному пользователю запускать программу от имени Администратора без ввода пароля
  • Настройка возможностей восстановления Apple ID на iPhone
  • Как выйти из полноэкранного режима в Windows
  • Как включить компактный вид панели быстрых настроек Windows 11
  • Delta — эмулятор старых консолей на iPhone теперь доступен в AppStore
  • Шрифты в интерфейсе Chrome стали более жирными и размытыми — как исправить?
  • Msftconnecttest.com — что это и как исправить возможные ошибки
  • Как вывести результат выполнения команды в файл в Windows
  • Как запускать программу на определенном мониторе в Windows
  • Как запретить использование режима Инкогнито в браузере
  • После изменения числа процессоров и максимума памяти Windows перестала запускаться — что делать?
  • Использование Desktop.ini Editor для редактирования свойств папок Windows
  • Флешка отображается как два отдельных диска — почему и что делать?
  • Как удалить дубликаты фото и видео на iPhone
  • Компьютер или ноутбук не запускается после замены батарейки CMOS — что делать?
  • Windows
  • Android
  • iPhone, iPad и Mac
  • Программы
  • Загрузочная флешка
  • Лечение вирусов
  • Восстановление данных
  • Ноутбуки
  • Wi-Fi и настройка роутера
  • Интернет и браузеры
  • Для начинающих
  • Безопасность
  • Ремонт компьютеров
  • Windows
  • Android
  • iPhone, iPad и Mac
  • Программы
  • Загрузочная флешка
  • Лечение вирусов
  • Восстановление данных
  • Ноутбуки
  • Wi-Fi и настройка роутера
  • Интернет и браузеры
  • Для начинающих
  • Безопасность
  • Ремонт компьютеров

Отключение обновлений Windows 10 через «Редактор локальных групповых политик»

Важно! В этой статье будет рассказано о том, как отключить в операционной системе Windows 10 функцию автоматического обновления. Если вам необходимо отключить службу апдейтов полностью, обратитесь за помощью к другой нашей статье, перейдя по представленной ниже ссылке.

Подробнее: Как навсегда запретить обновление Windows 10

как отключить обновления через групповые политики в windows 10_01

Чтобы отключить обновления в Windows 10, необходимо открыть «Редактор локальных групповых политик», перейти в соответствующий раздел и изменить значение параметра, отвечающего за эту функцию.

    Откройте «Редактор локальных групповых политик» любым доступным способом. Например, это можно сделать посредством окна «Выполнить». Вызовите его с помощью горячих клавиш Win + R, а затем введите команду gpedit.msc и нажмите по кнопке «ОК».

как отключить обновления через групповые политики в windows 10_02

как отключить обновления через групповые политики в windows 10_03

как отключить обновления через групповые политики в windows 10_04

После проделанных действий операционная система перестанет обновляться в автоматическом режиме. Для этого вам потребуется вручную проверять выход новых апдейтов и инициализировать их инсталляцию. У нас на сайте есть отделительная статья, в которой наглядно демонстрируется то, как это делать.

как отключить обновления через групповые политики в windows 10_05

Вадим Матузок Вам помогли мои советы?

Подключение сетевых дисков в Windows через групповую политику

date

15.11.2022

user

itpro

directory

Active Directory, Windows 10, Windows Server 2016, Групповые политики

comments

комментариев 56

Вы можете использовать групповые политики для гибкого подключения сетевых папок с файловых серверов в виде отдельных сетевых дисков Windows. Исторически для подключения сетевых дисков использовались логон bat скрипты с командой net use U: \\server1\share . Однако групповые политики намного гибче, отрабатывают быстрее и обновляются в фоновом режиме (не нужно выполнять перезагрузку или логоф пользователя для подключения сетевых дисков через GPO).

В этой статье мы покажем, как использовать GPO для подключения сетевых дисков в Windows: рассмотрим подключение общей сетевой папки отдела на основе групп безопасности AD и персональных сетевых дисков пользователей на сетевом хранилище.

Поддержка подключения сетевых дисков в GPO появилась в Windows Server 2008.

Создайте в Active Directory новую группу для отдела менеджеров и добавьте в нее учетные записи сотрудников. Можно создать и наполнить группу из графической консоли ADUC или воспользоваться командлетами PowerShell для управления группами AD (входят в модуль AD PowerShell):

New-ADGroup «SPB-managers» -path ‘OU=Groups,OU=SPB,dc=test,DC=com’ -GroupScope Global -PassThru –Verbose
Add-AdGroupMember -Identity SPB-managers -Members a.novak, r.radojic, a.petrov, n.pavlov

Для создание автоматически наполняющихся групп AD можно использовать скрипт из статьи Динамические группы в Active Directory.

Предположим, у вас есть файловый сервер, на котором хранятся общие сетевые каталоги департаментов. UNC путь к общему рабочему каталогу менеджеров, который нужно подключить всем сотрудникам отдела — \\server1\share\managers .

Теперь нужно создать GPO для подключения данного сетевого каталога в виде диска.

  1. Откройте консоль управления доменными GPO — Group Policy Management Console ( gpmc.msc );
  2. Создайте новую политику и прилинкуйте ее к OU с учетными записями пользователей, перейдите в режим редактирования политики; создать gpo для подключения сетевых дисков
  3. Перейдите в секцию GPO User Configuration ->Preferences ->Windows Settings ->Drive Maps. Создайте новый параметр политики New ->Mapped Drive; gpo для подключения диска
  4. На вкладке General укажите параметры подключения сетевого диска:
    • Action: Update (этот режим используется чаше всего);
    • Location: UNC путь к каталогу, который нужно подключить;
    • Label as: метка диска;
    • Reconnect: сделать сетевой диск постоянным (будет переподключаться каждый раз при входе, даже если вы удалите политику – аналог параметра /persistent в net use);
    • Drive Letter – назначить букву диска;
    • Connect as: опция сейчас не доступна, т.к. Microsoft запретила сохранять пароли в Group Policy Preferences. настройки подключения сетевого диска политикой
  • Переключитесь на вкладку Common, включите опции “Run in logged on users’s security context” и “Item-level Targeting”. Затем нажмите на кнопку “Targeting”;
  • Здесь мы укажем, что данная политика должна применяться только к пользователям, которые состоят в группе безопасности AD, созданной ранее. Выберите New Item ->Security Group -> укажите имя группы; gpo - таргетинг на пользователей, состоящих в определенной группе AD
  • Сохраните изменения;
  • После обновления политик в сессии пользователя подключиться сетевой диск, доступный из File Explorer и других программ. сетевой диск подключенные через политику в сессии пользователя
  • Если подключенные сетевые диски не доступны из программ, запущенных с правами администратора, нужно использовать специальный параметр реестра EnableLinkedConnections (его можно распространить через GPO).

    Создадим еще одно правило политики, которое подключает персональные сетевые каталоги пользователей в виде сетевых дисков. Допустим, у вас есть файловый сервер, на котором хранятся личные папки пользователей (на каждую папку назначены индивидуальные NTFS разрешения, чтобы пользователи не могли получить доступ к чужим данным). Вы хотите, чтобы эти каталоги автоматически подключались в сеанс пользователя в виде сетевых дисков.

    Создайте для каждого пользователя отдельный каталог, соответствующий его имени в AD ( sAMAccountName ) и назначьте нужные NTFS права.

    серер с личными каталогами пользователей

    Создайте еще одно правило подключения дисков в той же самой GPO.

    новое условия подключение сетевого диска

    В настройках политики укажите путь к сетевому каталогу с личными папками пользователей в виде \\server1\share\home\%LogonUser% . В качестве метки диска я указал %LogonUser% — Personal .

    Полный список переменных окружения, которые можно использовать в GPP можно вывести, нажав клавишу F3.

    Сохраните изменения и обновите политики на компьютерах пользователей командой:

    Теперь у пользователей должны подключиться новые сетевые диски — персональные каталоги с файлового сервера. Пользователи смогут использовать их для хранения личных данных. Такой сетевой диск будет подключаться на любом компьютере, на который выполнил вход пользователь.

    подключение персонального сетевого диска с личными данными через gpo

    В Windows 10 1809 была проблема с подключением сетевых дисков, для исправления нужно установить специальный патч.

    Таким образом в одной GPO вы можете создать множество отдельных параметров с различными условиями подключения сетевых дисков пользователям.

    групповые политики для подключения сетевых дисков в windows

    Для выборки различных критериев компьютеров или пользователей при подключении дисков используется функционал таргетинга GPP (в основе лежат wmi фильтры).

    Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

    Как заблокировать использование USB накопителей в Windows?

    date

    22.06.2022

    user

    itpro

    directory

    Active Directory, Windows 10, Windows 11, Windows Server 2019, Групповые политики

    comments

    комментариев 46

    При подключении нового USB устройства к компьютеру, Windows автоматически определяет устройство и устанавливает подходящий драйвер. В результате пользователь практически сразу может использовать подключенное USB устройство или накопитель. Если политика безопасности вашей организации предполагает запрет использования переносных USB накопителей (флешки, USB HDD, SD-карты и т.п), вы можете заблокировать такое поведение. В этой статье мы покажем, как заблокировать использование внешних USB накопителей в Windows, запретить запись данных на подключенные флешки и запуск исполняемых файлов с помощью групповых политик (GPO).

    Настройка групповой политики блокировки USB носителей в Windows

    В Windows вы можете гибко управлять доступом к внешним накопителям (USB, CD / DVD и др.) с помощью групповых политик Active Directory (мы не рассматриваем радикальный способ отключения USB портов через настройки BIOS). Вы можете заблокировать только USB накопителей, при этом другие типы USB устройств (мышь, клавиатура, принтер, USB адаптеры на COM порты), будут доступны пользователю.

    В этом примере мы создадим попробуем заблокировать USB накопителей на всех компьютерах в OU домена с именем Workstations (можно применить политику запрета использования USB ко всему домену, но это затронет в том числе сервера и другие технологические устройства).

    Создать новую групповую политику

      Откройте е консоль управления доменными GPO (msc), найдите в структуре структуре Organizational Unit контейнер Workstations, щелкните по нему правой клавишей и создайте новую политику (Create a GPO in this domain and Link it here);

    Совет. Вы можете настроить политика ограничения использования USB портов на отдельностоящем компьютере (домашний компьютер или компьютер в рабочей группе) с помощью локального редактора групповых политик (gpedit.msc).

    Политика Disable USB Access

  • Задайте имя политики — Disable USB Access.
  • Перейдите в режим редактирования GPO (Edit).
  • Отредактировать GPO

    Настройки блокировки внешних запоминающих устройств есть как в пользовательском, так и в компьютерных разделах GPO:

    Если нужно заблокировать USB накопители для всех пользователей компьютера, нужно настроить параметры в разделе “Конфигурация компьютера”.

    В разделе “Доступ к съемным запоминающим устройствам” (Removable Storage Access) есть несколько политик, позволяющих отключить возможность использования различных классов устройств хранения: CD/DVD дисков, флоппи дисков (FDD), USB устройств, ленты и т.д.

    • Компакт-диски и DVD-диски: Запретить выполнение (CD and DVD: Deny execute access).
    • Компакт-диски и DVD-диски: Запретить чтение (CD and DVD: Deny read access).
    • Компакт-диски и DVD-диски: Запретить запись (CD and DVD: Deny write access).
    • Специальные классы: Запретить чтение (Custom Classes: Deny read access).
    • Специальные классы: Запретить запись (Custom Classes: Deny write access).
    • Накопители на гибких дисках: Запретить выполнение (Floppy Drives: Deny execute access).
    • Накопители на гибких дисках: Запретить чтение (Floppy Drives: Deny read access).
    • Накопители на гибких дисках: Запретить запись (Floppy Drives: Deny write access).
    • Съемные диски: Запретить выполнение (Removable Disks: Deny execute access).
    • Съемные диски: Запретить чтение (Removable Disks: Deny read access).
    • Съемные диски: Запретить запись (Removable Disks: Deny write access).
    • Съемные запоминающие устройства всех классов: Запретить любой доступ (All Removable Storage classes: Deny all access).
    • Все съемные запоминающие устройства: разрешение прямого доступа в удаленных сеансах (All Removable Storage: Allow direct access in remote sessions).
    • Ленточные накопители: Запретить выполнение (Tape Drives: Deny execute access).
    • Ленточные накопители: Запретить чтение (Tape Drives: Deny read access).

    Как вы видите, для каждого класса устройств вы можете запретить запуск исполняемых файлов (защита от вирусов), запретить чтение данных и запись/редактирование информации на внешнем носителе.

    политики управления доступом к съемным запоминающим устройствам

    Максимальная ограничительная политика — All Removable Storage Classes: Deny All Access (Съемные запоминающие устройства всех классов: Запретить любой доступ) – позволяет полностью запретить доступ к любым типам внешних устройств хранения. Чтобы включить эту политику, откройте ее и переведите в состояние Enable.

    All Removable Storage Classes: Deny All Access

    После настройки политики и обновления параметров GPO на клиентах (gpupdate /force) внешние подключаемые устройства (не только USB устройства, но и любые внешние накопители) будут определять ОС, но при попытке их открыть появится ошибка доступа:

    Location is not available Drive is not accessible. Access is denied

    USB Location is not available

    Совет. Аналогичное ограничение можно задать, через реестр, создав в ветке HKEY_CURRENT_USER (или ветке HKEY_LOCAL_MACHINE) \Software\Policies\Microsoft\Windows\RemovableStorageDevices ключ Deny_All типа Dword со значением 00000001.

    В этом же разделе политик можно настроить более гибкие ограничения на использование внешних USB накопителей.

    К примеру, вы можете запретить запись данных на USB флешки, и другие типы USB накопителей. Для этого включите политику Removable Disk: Deny write access (Съемные диски: Запретить запись).

    Removable Disk: Deny write access

    После этого пользователи смогут читать данные с USB флешки, но при попытке записать на нее информацию, получат ошибку доступа:

    Destination Folder Access Denied You need permission to perform this action

    Destination Folder Access Denied

    С помощью политики Removable Disks: Deny execute access (Съемные диски: Запретить выполнение) можно запретить запуск исполняемых файлов и скриптов с USB дисков.

    Removable Disks: Deny execute access

    Как заблокировать USB накопители только определенным пользователям?

    Довольно часто необходимо запретить использовать USB диски всем пользователям компьютера, кроме администраторов.
    Проще всего сделать исключение в политике с помощью Security Filtering GPO. Например, вы хотите запретить применять политику блокировки USB к группе администраторов домена.

    1. Найдите вашу политику Disable USB Access в консоли Group Policy Management;
    2. В разделе Security Filtering добавьте группу Domain Admins;gpo Security Filtering
    3. Перейдите на вкладку Delegation, нажмите на кнопкуAdvanced. В редакторе настроек безопасности, укажите что, группе Domain Admins запрещено применять настройки этой GPO (Apply group policy – Deny).запретить применение политики ограничения USB к админам

    Может быть другая задача — нужно разрешить использование внешних USB накопителей всем, кроме определённой группы пользователей. Создайте группу безопасности “Deny USB” и добавьте эту группу в настройках безопасности политики. Для этой группы выставите разрешения на чтение и применение GPO, а у группы Authenticated Users или Domain Computers оставить только разрешение на чтение (сняв галку у пункта Apply group policy).

    gpo auth users read

    Добавьте пользователей, которым нужно заблокировать доступ к USB флешкам и дискам в эту группу AD.

    Запрет доступа к USB накопителям через реестр и GPO

    Вы можете более гибко управлять доступом к внешним устройствам с помощью настройки параметров реестра через механизм Group Policy Preferences (GPP). Всем указанным выше политикам соответствуют определенные ключи реестра в ветке HKLM (или HKCU) \SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices (по умолчанию этого раздела в реестре нет).

    1. Чтобы включить ту или иную политику нужно создать в указанном ключе новую ветку с именем класса устройств, доступ к которым нужно заблокировать (столбец
    2. В новой ветке реестра нужно создать REG_DWORD параметром с именем ограничения, которое вы хотите внедрить:
      Deny_Read — запретить чтения данных с носителя;
      Deny_Write – запретить запись данных;
      Deny_Execute — запрет запуска исполняемых файлов.
    3. Задайте значение параметра:
      1 — заблокировать указанный тип доступа к устройствам этого класса;
      0 – разрешить использования данного класса устройств.
    Название параметра GPO Подветка с именем Device Class GUID Имя параметра реестра
    Floppy Drives:
    Deny read access
    Deny_Read
    Floppy Drives:
    Deny write access
    Deny_Write
    CD and DVD:
    Deny read access
    Deny_Read
    CD and DVD:
    Deny write access
    Deny_Write
    Removable Disks:
    Deny read access
    Deny_Read
    Removable Disks:
    Deny write access
    Deny_Write
    Tape Drives:
    Deny read access
    Deny_Read
    Tape Drives:
    Deny write access
    Deny_Write
    WPD Devices:
    Deny read access

    Deny_Read
    WPD Devices:
    Deny write access

    Deny_Write

    Вы можете создать эти ключи реестра и параметры вручную. На скриншоте ниже я создал ключ RemovableStorageDevices, а в нем подраздел с именем . С помощью REG_DWORD параметров я запретил запись и запуск исполняемых файлов с USB накопителей.

    политика ограничения RemovableStorageDevices в реестре

    Запрет использования USB накопителей вступит в силу немедленно после внесения изменения (не нужно перезагружать компьютер). Если USB флешка подключена к компьютеру, она будет доступна до тех пор, пока ее не переподключат.

    Чтобы быстро заблокировать чтение и запись данных на USBнакопители в Windows, можно выполнить такой PowerShell скрипт:

    $regkey=’HKLM:\Software\Policies\Microsoft\Windows\RemovableStorageDevices\’
    $exists = Test-Path $regkey
    if (!$exists) New-Item -Path ‘HKLM:\Software\Policies\Microsoft\Windows\RemovableStorageDevices’ -Name » -Force | Out-Null
    >
    New-ItemProperty -Path $regkey -Name ‘Deny_Read -Value 1 -PropertyType ‘DWord’ -Force | Out-Null
    New-ItemProperty -Path $regkey -Name ‘Deny_Write’ -Value 1 -PropertyType ‘DWord’ -Force | Out-Null

    В доменной среде эти параметры реестра можно централизованно распространить на компьютеры пользователей с помощью GPP. Подробнее настройка параметров реестра через GPO описана в статье Настройка параметров реестра на компьютерах с помощью групповых политик.

    Данные ключи реестра и возможности нацеливания политик GPP с помощью Item-level targeting позволят вам гибко применять политики, ограничивающие использование внешних устройств хранения. Вы можете применять политики к определённым группам безопасности AD, сайтам, версиям ОС, OU и другим характеристикам компьютеров (в том числе можно выбирать компьютеры через WMI фильтры).

    Примечание. Аналогичным образом вы можете создать собственные политики для классов устройств, которые в данном списке не перечислены. Узнать идентификатор класса устройства можно в свойствах драйвера в значении атрибута Device Class GUID.

    Полное отключение драйвера USB накопителей в Windows

    Вы можете полностью отключить драйвер USBSTOR (USB Mass Storage Driver), который необходим для корректного определения и монтирования USB устройств хранения.

    На отдельно стоящем компьютере вы можете отключить этот драйвер, изменив значение параметра Start (тип запуска) с 3 на 4. Можно это сделать через PowerShell командой:

    Set-ItemProperty «HKLM:\SYSTEM\CurrentControlSet\services\USBSTOR» -name Start -Value 4

    отключить службу USBSTOR в windows 10 через реестр

    Перезагрузите компьютер и попробуйте подключить USB накопитель. Теперь он не должен появиться в проводнике или консоли управления дисками, а в диспетчере устройств вы увидите ошибку установки драйвера устройства.

    С помощью Group Policy Preferences вы можете отключить запуск драйвера USBSTOR на компьютерах домена. Для этого нужно внести изменения в реестр через GPO.

    Эти настройки можно распространить на все компьютеры. Создайте новую групповую политику, назначьте ее на OU с компьютерами и в разделе Computer Configuration -> Preferences -> Windows Settings -> Registry создайте новый параметр со значениями:

    • Action: Update
    • Hive: HKEY_LOCAK_MACHINE
    • Key path: SYSTEM\CurrentControlSet\Services\USBSTOR
    • Value name: Start
    • Value type: REG_DWORD
    • Value data: 00000004

    отключить usbstor драйвер с помощью групповой политики

    История подключения USB накопителей в Windows

    В некоторых случая при анализе работы блокирующих политик вам нужно получить информацию об истории подключения USB накопителей к компьютеру.

    Чтобы вывести список USB накопителей, подключенных к компьютеру прямо сейчас, выполните такую команду PowerShell:

    Get-PnpDevice -PresentOnly | Where-Object

    powershell вывести подключенные usb диски в windows

    Status OK указывает, что данное устройство подключено и работает нормально.

    Журнал событий Windows позволяет отслеживать события подключения/отключения USB накопителей.

    логи подключения usb диско в windows event viewer

    1. Эти события находятся в журнале Event Viewer -> Application and Services Logs -> Windows -> Microsoft-Windows-DriverFrameworks-UserMode -> Operational;
    2. По умолчанию Windows не сохраняет историю об подключениях. Поэтому вам придется включить вручную (Enable Log) или через GPO;
    3. После этого вы можете использовать событие с EventID 2003 (Pnp or Power Management operation to a particular device) для получения информации о времени подключения USB накопителя и Event ID 2102 (Pnp or Power Management operation to a particular device) о времени отключения флешки:

    Forwarded a finished Pnp or Power operation (27, 2) to the lower driver for device SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_UFD_2.0&PROD_SILICON-POWER16G&REV_PMAP#12010208030E6C10D00CE7200A6&0# with status 0x0.

    событие EventID 2102 usb диск подключен

    Также вы можете использовать бесплатную утилиту USBDriveLog от Nirsoft которая позволяет вывести в удобном виде всю историю подключения USB флешек и дисков к компьютеру пользователю (выводится информацию об устройстве, серийный номер, производитель, время подключения/отключения, и device id).

    утилита usbdrivelog показывает историю подключений usb дисков в windows

    Разрешить подключение только определенной USB флешки

    В Windows вы можете разрешить подключение только определенных (одобренных) USB флешки к компьютеру.

    При подключении любого USB накопителя к компьютеру, драйвер USBSTOR устанавливает устройство и создает в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR отдельную ветку. в которой содержится информация о накопителе (например, Disk&Ven_Kingstom&Prod_DT_1010_G2&Rev_1.00 ).

    ветка usbstor в реестре со список всех подключавшихся usb носителей

    Вы можете вывести список USB накопителей, которые когда-либо подключались к вашему компьютеру следующей PowerShell командой:

    Get-ItemProperty –Path HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*| select FriendlyName

    usbstor вывести историю подключения usb накопителей с помощью powershell

    Удалите все записи для подключенных ранее USB флешек, кроме тех, которые вам нужны. Затем нужно изменить разрешения на ветку реестра USBSTOR так, чтобы у всех пользователей, в том числе SYSTEM и администраторов, были только права на чтение. В результате при подключении любой USB накопителя, кроме разрешенного, Windows не сможет установить устройство.

    Также можно создать и привязать задания планировщика к EventID подключения USB диска к компьютеру и выполнить определенное действие/скрипт (пример запуска процесса при появлении события в Event Viewer).

    Например, вы можете сделать простой PowerShell скрипт, который автоматически отключает любые USB накопителя, если серийный номер не совпадает с заданной в скрипте:

    powershell скрипт - отмонтировать usb флешку

    $usbdev = get-wmiobject win32_volume | where
    If ($usbdev.SerialNumber –notlike “32SM32846AD”)
    $usbdev.DriveLetter = $null
    $usbdev.Put()
    $usbdev.Dismount($false,$false) | Out-Null
    >

    Таким образом можно организовать простейшую проверку подключаемых ко компьютеру USB флешек.

    Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *