Как запретить использование USB флешки и других съемных накопителей в Windows
Если вам требуется, чтобы к компьютеру или ноутбуку с Windows 10, 8.1 или Windows 7 никто не мог подключить USB-накопители, вы можете запретить использование флешек, карт памяти и жестких дисков используя встроенные средства системы. Мышки, клавиатуры и другая периферия, не являющаяся хранилищем, продолжит работать.
В этой инструкции о том, как заблокировать использование USB флешек и других съемных накопителей с помощью редактора локальной групповой политики или редактора реестра. Также в разделе с дополнительной информацией о блокировке доступа через USB к устройствам MTP и PTP (камера, Android телефон, плеер). Во всех случаях для выполнения описываемых действий вы должны иметь права администратора в Windows. См. также: Запреты и блокировки в Windows, Как поставить пароль на флешку в BitLocker.
Запрет подключения USB флешек с помощью редактора локальной групповой политики
Первый способ более простой и предполагает использование встроенной утилиты «Редактор локальной групповой политики». Следует учитывать, что эта системная утилита недоступна в Домашней редакции Windows (если у вас такая версия ОС, используйте следующий способ).
Шаги по блокировке использования USB накопителей будут следующими:
- Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter, откроется редактор локальной групповой политики.
- Если требуется запретить использование USB накопителей для всех пользователей компьютера, перейдите к разделу Конфигурация компьютера — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам. Если требуется заблокировать доступ только для текущего пользователя, откройте аналогичный раздел в «Конфигурация пользователя».
- Обратите внимание на пункты «Съемные диски: Запретить выполнение», «Съемные диски: Запретить запись», «Съемные диски: Запретить чтение». Все они отвечают за блокировку доступа к USB-накопителям. При этом запрет чтения запрещает не только просмотр содержимого флешки или копирование с неё, но и остальные операции (на накопитель нельзя будет что-либо записать, запуск программ с него также не будет выполняться).
- Для того, чтобы, например, запретить чтение с USB накопителя, дважды нажмите по параметру «Съемные диски: Запретить чтение», установите значение «Включено» и примените настройки. Выполните то же самое для других требующихся вам пунктов.
На этом процесс будет завершен, а доступ к USB заблокирован. Перезагрузка компьютера не требуется, однако, если на момент включения ограничений накопитель уже был подключен, изменения для него вступят в силу только после отключения и повторного подключения.
Как заблокировать использование USB флешки и других съемных накопителей с помощью редактора реестра
Если на вашем компьютере отсутствует редактор локальной групповой политики, ту же блокировку можно выполнить и с помощью редактора реестра:
- Нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter.
- В редакторе реестра перейдите к одному из разделов: первый — для запрета использования USB накопителей для всех пользователей. Второй — только для текущего пользователя
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows
- Создайте подраздел RemovableStorageDevices, а в нем — подраздел с именем {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}
- В этом подразделе создайте нужные параметры DWORD32 (даже для Windows x64) — с именем Deny_Read для запрета чтения и других операций, Deny_Execute — для запрета выполнения, Deny_Write — для запрета записи на USB накопитель.
- Установите значение 1 для созданных параметров.
Запрет использования USB флешек и других съемных накопителей вступит в силу сразу после внесения изменения (если на момент блокировки накопитель уже был подключен к компьютеру или ноутбуку, он будет доступен до отключения и повторного подключения).
Дополнительная информация
Некоторые дополнительные нюансы блокировки доступа к USB накопителям, которые могут оказаться полезными:
- Описанные выше способы работают для съемных USB флешек и дисков, однако не работают для устройств, подключенных по протоколу MTP и PTP (например, хранилище Android телефона продолжит быть доступным). Для отключения доступа по этим протоколам, в редакторе локальной групповой политики в том же разделе используйте параметры «WPD-устройства» для запрета чтения и записи. В редакторе реестра это будет выглядеть как подразделы {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}, {6AC27878-A6FA-4155-BA85-F98F491D4F33} и {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE} в политиках RemovableStorageDevices (как описывалось выше) с параметрами Deny_Read и/или Deny_Write.
- Для того, чтобы в дальнейшем вновь включить возможность использования USB накопителей, просто удалите созданные параметры из реестра или установите «Выключено» в измененных ранее политиках доступа к съемным запоминающим устройствам.
- Еще один способ блокировки USB накопителей — отключение соответствующей службы: в разделе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
измените значение Start на 4 и перезагрузите компьютер. При использовании этого способа подключенные флешки даже не будут появляться в проводнике.
Помимо встроенных средств системы, есть сторонние программы для блокировки подключения различного рода USB устройств к компьютеру, в том числе и продвинутые инструменты наподобие USB-Lock-RP.
Иван
с групповыми политиками отрубается доступ к диску D хотя он не съемный
Ответить
Dmitry
И в проводнике как обычный локальный диск отображается?
На материнке никакие функции горячей замены sata не включены?
Ответить
Денис
Такая же проблема. При активной политике пропадает доступ к разделу диска. Диск в системе один. Отключаешь политику и доступ возвращается.
Ответить
Денис
Решил проблему?
Ответить
somarina
Здравствуйте!
Как обеспечить выборочное подключение USB-флешек в Windows 10 (1903 и 1909)?
Т.е. необходимо обеспечить обмен информацией только с определенной групой USB-флешек.
Для XP, 7 и ранних версий 10 еще работал механизм запрета для пользователя system на создание подраздела в MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR:
очищалась система от следов подключения флешек, подключались необходимые флешки, устанавливался вышеупомянутый запрет.
Для в Windows 10 (1903 и 1909) это не работает.
Решение мною так и не найдено.
Очень надеюсь на совет!!!
Ответить
Dmitry
Здравствуйте.
Ответил в другой статье с этим же комментарием от вас: https://remontka.pro/lock-everything-windows/
Ответить
Алексей
Мне надо, чтоб ТОЛЬКО телефоны не виделись, а флэшки спокойненько определялись. Это можно как-то сделать?
Ответить
Дмитрий
Доброго времени суток товарищи. Я тут лет 5-7 назад заблокировал несколько usb флешек. Пароль есть, а вот программы нет, которой я блокировал всё это добро (название не вспомнил за последний год, так что наверное и не вспомню), кстати, на тот момент на Windows 7 всё происходило, а сегодня уже стоит 10. Все общедоступные гугл способы перепробовал, в итоге могу сказать точно что сейчас заблокированы и закодированы все файлы и папки, и как я понял реестр раздела usb диска. Ни какое форматирование не берёт, редактирование разделов невозможно. Братцы подскажите пожалуйста как быть, что делать, флешки надо бы разлочить..
Ответить
Dmitry
А нам нужно форматнуть эти флешки/диски, данные не важны?
Если так, то подключить на другом компьютере и использовать шаги в командной строке из этой статьи: https://remontka.pro/delete-partitions-usb/
Ответить
Прохожий
случаем прога не truecrypt была?
ссылка на скачку в самом низу страницы.
Ответить
Дмитрий
Здравствуйте!
А как сделать, чтобы не работали только флешки, а токены (с ЭЦП) работали. Это особенно актуально с 2023 года, т.к. все новые ЭЦП будут некопируемые и лежать на токенах.
Ответить
Dmitry
Здравствуйте.
Не могу протестировать решение, но по идее мы можем задать политику запрета съемных устройств + отдельно политику разрешения конкретного устройства в Административные шаблоны — Система — Установка устройства — Ограничения — Разрешить установку устройств с указанными кодами экземпляров устройств (там в описании политики будут сведения, что вводить).
Ответить
Дмитрий
Спасибо! Получим токены, буду тестировать.
Ответить
анатолий
может всё таки существует какая то программа для запретов доступа?
например имеется ноутбук с одним хозяином который хочет что бы без него никто посторонний не мог хозяйничать в его ноуте кроме как на том разделе который содержит загрузочную систему (жёсткий при этом разбит на четыре части , хорошо бы было если бы можно было ещё и какие то директории в запрет поставить
Ответить
Бауыржан
как запретит доступ USB через AD? есть подробная инструкция
Ответить
Николай
Здравствуйте. У меня после установки и удаления какой-то программы перестал включаться автозапуск съемных носителей. Пробовал установить в настройках системы, но это не помогло. Стоит ли обращать на это внимание?
Ответить
Dmitry
Здравствуйте.
Если неудобств не вызывает, то по идее как-то особо обращать внимания на это не нужно. С другой стороны, интересно конечно, чем вызвано и что поломалось вдруг.
Ответить
Николай
Dmitry, спасибо за ответ. Предполагаю, что это вызвано установкой и удалением Ashampoo Burning Studio 2025. Эта программа сама стала запускаться при подключение диска. Удалил ее Hibit и вскоре заметил эту особенность.
Ответить
Dmitry
Тогда как вариант: снова установить её. Проверить, решилась ли проблема. Затем удалить, но не HiBit, а просто через панель управления.
Ответить
Николай
Не помогло. Не буду обращать на это внимание.
Ответить
Николай
Может стоить проверить систему Dr.Web CureIt!?
Ответить
Николай
Добрый день. Еще устанавливал программу для привод дисков — RimhillEx (Регулировка скорости чтения). Может она внесла изменения в систему.
Проверял DISM И sfc /scannow никаких ошибок не обнаружено. Главное, что система работает стабильно и без ошибок.
Ответить
Dmitry
Теоретически могла. Кстати, а проверьте-ка: не осталось ли расширений проводника от этих программ. Вот в этой инструкции описывал (она на другую тему, но нужное там есть в соответствующем разделе): https://remontka.pro/explorer-desktop-restart-loop-windows/
Ответить
Николай
Спасибо.
Ответить
Николай
Добрый вечер. Как восстановить стандартную конфигурацию служб в Windows. Может это поможет?
Ответить
Dmitry
Добрый вечер. Выше вы написали, что проблема уже решилась)
Ответить
Николай
Dmitry, добрый вечер. Делюсь последней информацией. Мне удалось решить проблему автозапуска с помощью редактора реестра.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoDriveTypeAutorun установил значение 91 и все заработало.
Ответить
Dmitry
Отлично! спасибо, что поделились!
Ответить
Николай
Эту информацию нашел в интернет.
Исправить проблему с автозапуском через редактор реестра можно следующим образом:
Запуск редактора реестра: Нажмите комбинацию клавиш Win + R, введите regedit и нажмите Enter.
Перейдите к нужному разделу: В редакторе реестра перейдите к следующему пути:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
Найдите или создайте параметр NoDriveTypeAutoRun:
Если параметр NoDriveTypeAutoRun уже существует, дважды щелкните его.
Если параметра нет, создайте его: щелкните правой кнопкой мыши на правой панели, выберите Создать -> Параметр DWORD (32-бит), и назовите его NoDriveTypeAutoRun.
Измените значение параметра:
Установите значение параметра NoDriveTypeAutoRun в 91.
Перезагрузите компьютер: Для применения изменений перезагрузите компьютер.
Ответить
Николай
Dmitry, и вам спасибо. Ваш сайт мне очень интересен.
Ответить
Талыч
Добрый день!
скажите пожалуйста можно ли, заблокировать запись через «Проводник Windows» на конкретную флешку с меткой (к примеру «Z») ?
Ответить
Dmitry
Здравствуйте.
Разве что скрыть её можно, а именно запретить — только изменив права на запись на самой флешке (если она NTFS).
И даже если предположить, что возможность такая была бы: изменение буквы это действие в несколько кликов, которое даже прав администратора не требует.
Ответить