Представляємо вашій увазі простенький мануал про те, як заблокувати установку і використання USB-пристроїв за допомогою групових політик. Таке рішення підходить як для використання в домашніх умовах, але в першу чергу призначається для корпоративного ринку ...
Відео: Блокування КОМП`ЮТЕРА ЗА ДОПОМОГОЮ USB Флешка замість пароля
Також спробую пояснити, як налаштувати повідомлення, яке постає погляду користувача, коли той намагається встановити USD-драйв. При цьому ми можемо дозволити підключення таких пристроїв, як комп`ютерні миші або клавіатури. Хтось запитав, чи можна дозволити підключення конкретного USB-драйву? До цього питання я ніколи не думав про це. Тому, взявши два однакових флеш-драйву Sandisk Mini Cruzer, я вирішив з`ясувати, чи можливо таке, тобто дозволити використання одного і заборонити - іншого.
Як це працює? Спочатку необхідно визначити Hardware ID - ідентифікаційний номер пристрою. Відкриваємо Device Manager / Диспетчер пристроїв і знаходимо в списку "Mini Cruzer Disk drive", який розташований в розділі "Disk Drive / Дискові пристрої" або "Other Devices / Інші пристрої". Двічі клацаємо на пристрої і переходимо на вкладку Details / Додатково. Потім у властивостях вибираємо пункт Hardware ID.
На наведених скріншотах можна бачити два аналогічних пристрої з однієї лише тільки різницею в
ID: "USBSTOR DiskSanDisk_Cruzer_Mini _____ 0.1_" або "USBSTOR DiskSanDisk_Cruzer_Mini _____ 0.2_".
Ми дозволимо підключення пристрою з наступним ідентифікатором:
Відео: Як відключити порти usb на windows 7/8/10 / Vista / Xp
"USBSTOR DiskSanDisk_Cruzer_Mini _____ 0.1.
Тому якщо, наприклад, ви хочете дозволити підключення виключно драйвів типу Sandisk Cruzer Mini USB, можна використовувати ідентифікатор:
"USBSTOR DiskSanDisk_Cruzer_Mini _____".
Тепер у нас є Hardware ID і ми можемо приступити до налаштування групових політик таким чином, щоб ОС блокувала підключення і використання USB-пристроїв. Щоб виконати ці нехитрі дії, необхідно запустити консоль Group Policies (набравши gpedit в поле для пошуку) і перейти до розділу Computer Configuration Administrative Templates System Device Installation Restrictions.
Вищенаведений скріншот ілюструє політики, які необхідно змінити. Я редагував наступні:
- Display a custom message when installation is prevented by policy - balloon text/ Відображати повідомлення, коли установка пристрою заборонена політикою - повідомлення: тут я написав, що компанія заблокувала установку подібних пристроїв і перенаправив користувача до служби підтримки компанії;
Display a custom message when installation is prevented by policy - balloon title/ Відображати повідомлення, коли установка пристрою заборонена політикою - заголовок повідомлення: тут я вказав заголовок повідомлення;
Allow the installation of devices that match any of these device ID`s/ Дозволити підключення пристрою co наступним ідентифікатором: тут я додав той самий ідентифікатор "USBSTOR DiskSanDisk_Cruzer_Mini _____ 0.1_";
Prevent the installation of devices not described by other policy settings /Заборонити підключення пристроїв, що не описаних в інших групових політиках: я включив дану опцію, яка стане альтернативним спосіб заборони для використання пристроїв з певними ID.
Такі настройки дозволили блокувати використання всіх USB-пристроїв, за винятком одного пристрою, чий Hardware ID визначено в групових політиках.
Відео: USB блокування. програма заборони запису на USB накопичувач
Це унікальна можливість для багатьох компаній, які хочуть захистити свою інформацію.