Как запретить использование USB флешки и других съемных накопителей в Windows
Если вам требуется, чтобы к компьютеру или ноутбуку с Windows 10, 8.1 или Windows 7 никто не мог подключить USB-накопители, вы можете запретить использование флешек, карт памяти и жестких дисков используя встроенные средства системы. Мышки, клавиатуры и другая периферия, не являющаяся хранилищем, продолжит работать.
В этой инструкции о том, как заблокировать использование USB флешек и других съемных накопителей с помощью редактора локальной групповой политики или редактора реестра. Также в разделе с дополнительной информацией о блокировке доступа через USB к устройствам MTP и PTP (камера, Android телефон, плеер). Во всех случаях для выполнения описываемых действий вы должны иметь права администратора в Windows. См. также: Запреты и блокировки в Windows, Как поставить пароль на флешку в BitLocker.
Запрет подключения USB флешек с помощью редактора локальной групповой политики
Первый способ более простой и предполагает использование встроенной утилиты «Редактор локальной групповой политики». Следует учитывать, что эта системная утилита недоступна в Домашней редакции Windows (если у вас такая версия ОС, используйте следующий способ).
Шаги по блокировке использования USB накопителей будут следующими:
- Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter, откроется редактор локальной групповой политики.
- Если требуется запретить использование USB накопителей для всех пользователей компьютера, перейдите к разделу Конфигурация компьютера — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам. Если требуется заблокировать доступ только для текущего пользователя, откройте аналогичный раздел в «Конфигурация пользователя».
- Обратите внимание на пункты «Съемные диски: Запретить выполнение», «Съемные диски: Запретить запись», «Съемные диски: Запретить чтение». Все они отвечают за блокировку доступа к USB-накопителям. При этом запрет чтения запрещает не только просмотр содержимого флешки или копирование с неё, но и остальные операции (на накопитель нельзя будет что-либо записать, запуск программ с него также не будет выполняться).
- Для того, чтобы, например, запретить чтение с USB накопителя, дважды нажмите по параметру «Съемные диски: Запретить чтение», установите значение «Включено» и примените настройки. Выполните то же самое для других требующихся вам пунктов.
На этом процесс будет завершен, а доступ к USB заблокирован. Перезагрузка компьютера не требуется, однако, если на момент включения ограничений накопитель уже был подключен, изменения для него вступят в силу только после отключения и повторного подключения.
Как заблокировать использование USB флешки и других съемных накопителей с помощью редактора реестра
Если на вашем компьютере отсутствует редактор локальной групповой политики, ту же блокировку можно выполнить и с помощью редактора реестра:
- Нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter.
- В редакторе реестра перейдите к одному из разделов: первый — для запрета использования USB накопителей для всех пользователей. Второй — только для текущего пользователя
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows
- Создайте подраздел RemovableStorageDevices, а в нем — подраздел с именем {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}
- В этом подразделе создайте нужные параметры DWORD32 (даже для Windows x64) — с именем Deny_Read для запрета чтения и других операций, Deny_Execute — для запрета выполнения, Deny_Write — для запрета записи на USB накопитель.
- Установите значение 1 для созданных параметров.
Запрет использования USB флешек и других съемных накопителей вступит в силу сразу после внесения изменения (если на момент блокировки накопитель уже был подключен к компьютеру или ноутбуку, он будет доступен до отключения и повторного подключения).
Дополнительная информация
Некоторые дополнительные нюансы блокировки доступа к USB накопителям, которые могут оказаться полезными:
- Описанные выше способы работают для съемных USB флешек и дисков, однако не работают для устройств, подключенных по протоколу MTP и PTP (например, хранилище Android телефона продолжит быть доступным). Для отключения доступа по этим протоколам, в редакторе локальной групповой политики в том же разделе используйте параметры «WPD-устройства» для запрета чтения и записи. В редакторе реестра это будет выглядеть как подразделы {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}, {6AC27878-A6FA-4155-BA85-F98F491D4F33} и {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE} в политиках RemovableStorageDevices (как описывалось выше) с параметрами Deny_Read и/или Deny_Write.
- Для того, чтобы в дальнейшем вновь включить возможность использования USB накопителей, просто удалите созданные параметры из реестра или установите «Выключено» в измененных ранее политиках доступа к съемным запоминающим устройствам.
- Еще один способ блокировки USB накопителей — отключение соответствующей службы: в разделе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
измените значение Start на 4 и перезагрузите компьютер. При использовании этого способа подключенные флешки даже не будут появляться в проводнике.
Помимо встроенных средств системы, есть сторонние программы для блокировки подключения различного рода USB устройств к компьютеру, в том числе и продвинутые инструменты наподобие USB-Lock-RP.
Иван
с групповыми политиками отрубается доступ к диску D хотя он не съемный
Ответить
Dmitry
И в проводнике как обычный локальный диск отображается?
На материнке никакие функции горячей замены sata не включены?
Ответить
Денис
Такая же проблема. При активной политике пропадает доступ к разделу диска. Диск в системе один. Отключаешь политику и доступ возвращается.
Ответить
Денис
Решил проблему?
Ответить
somarina
Здравствуйте!
Как обеспечить выборочное подключение USB-флешек в Windows 10 (1903 и 1909)?
Т.е. необходимо обеспечить обмен информацией только с определенной групой USB-флешек.
Для XP, 7 и ранних версий 10 еще работал механизм запрета для пользователя system на создание подраздела в MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR:
очищалась система от следов подключения флешек, подключались необходимые флешки, устанавливался вышеупомянутый запрет.
Для в Windows 10 (1903 и 1909) это не работает.
Решение мною так и не найдено.
Очень надеюсь на совет!!!
Ответить
Dmitry
Здравствуйте.
Ответил в другой статье с этим же комментарием от вас: https://remontka.pro/lock-everything-windows/
Ответить
Алексей
Мне надо, чтоб ТОЛЬКО телефоны не виделись, а флэшки спокойненько определялись. Это можно как-то сделать?
Ответить
Дмитрий
Доброго времени суток товарищи. Я тут лет 5-7 назад заблокировал несколько usb флешек. Пароль есть, а вот программы нет, которой я блокировал всё это добро (название не вспомнил за последний год, так что наверное и не вспомню), кстати, на тот момент на Windows 7 всё происходило, а сегодня уже стоит 10. Все общедоступные гугл способы перепробовал, в итоге могу сказать точно что сейчас заблокированы и закодированы все файлы и папки, и как я понял реестр раздела usb диска. Ни какое форматирование не берёт, редактирование разделов невозможно. Братцы подскажите пожалуйста как быть, что делать, флешки надо бы разлочить..
Ответить
Dmitry
А нам нужно форматнуть эти флешки/диски, данные не важны?
Если так, то подключить на другом компьютере и использовать шаги в командной строке из этой статьи: https://remontka.pro/delete-partitions-usb/
Ответить
Прохожий
случаем прога не truecrypt была?
ссылка на скачку в самом низу страницы.
Ответить
Дмитрий
Здравствуйте!
А как сделать, чтобы не работали только флешки, а токены (с ЭЦП) работали. Это особенно актуально с 2023 года, т.к. все новые ЭЦП будут некопируемые и лежать на токенах.
Ответить
Dmitry
Здравствуйте.
Не могу протестировать решение, но по идее мы можем задать политику запрета съемных устройств + отдельно политику разрешения конкретного устройства в Административные шаблоны — Система — Установка устройства — Ограничения — Разрешить установку устройств с указанными кодами экземпляров устройств (там в описании политики будут сведения, что вводить).
Ответить
Дмитрий
Спасибо! Получим токены, буду тестировать.
Ответить
анатолий
может всё таки существует какая то программа для запретов доступа?
например имеется ноутбук с одним хозяином который хочет что бы без него никто посторонний не мог хозяйничать в его ноуте кроме как на том разделе который содержит загрузочную систему (жёсткий при этом разбит на четыре части , хорошо бы было если бы можно было ещё и какие то директории в запрет поставить
Ответить
Бауыржан
как запретит доступ USB через AD? есть подробная инструкция
Ответить