Блокуваннявикористання USB-драйвів

Пропонуємо вашій увазі простенький мануал про те, як заблокувати встановлення та використання USB-пристроїв за допомогою групових політик. Таке рішення підходить для використання в домашніх умовах, але в першу чергу призначається для корпоративного ринку.

Також спробую пояснити, як налаштувати повідомлення, яке з'являється погляду користувача, коли той намагається встановити USD-драйв. При цьому ми можемо дозволити з'єднання таких пристроїв, як комп'ютерні миші або клавіатури. Хтось запитав, чи можна дозволити підключення конкретного драйву USB? До цього питання я ніколи не думав про це. Тому, взявши два однакові флеш-драйви Sandisk Mini Cruzer, я вирішив з'ясувати, чи можливо таке, тобто дозволити використання одного і заборонити іншого.

Як це працює? Спочатку потрібно визначити Hardware ID – ідентифікаційний номер пристрою. Відкриваємо Device Manager/Диспетчер пристроїв та знаходимо у списку "Mini Cruzer Disk drive", який розташований у розділі "Disk Drive/Дискові пристрої" або "Other Devices/Інші пристрої". Двічі клацаємо на пристрої та переходимо на вкладку Details/Додатково. Потім у властивостях вибираємо пункт Hardware ID.

usb-драйвів

usb-драйвів

На наведених скріншотах можна бачити два аналогічні пристрої з однією лише різницею в

    ID: "USBSTOR\DiskSanDisk_Cruzer_Mini_____0.1_" або "USBSTOR\DiskSanDisk_Cruzer_Mini_____0.2_".
Ми дозволимо з'єднання з наступним ідентифікатором: "USBSTOR\DiskSanDisk_Cruzer_Mini_____0.1.

Тому якщо ви хочете дозволити підключення виключно драйвів типу Sandisk Cruzer Mini USB, можна використовувати ідентифікатор "USBSTOR\DiskSanDisk_Cruzer_Mini_____".

Тепер у нас є Hardware ID, і ми можеморозпочати налаштування групових політик таким чином, щоб ОС блокувала підключення та використання USB-пристроїв. Щоб виконати ці нехитрі дії, необхідно запустити консоль Group Policies (набравши gpedit у полі для пошуку) і перейти до розділу Computer Configuration\Administrative Templates\System\Device Installation Restrictions.

використання

Наведений вище скріншот ілюструє політики, які необхідно змінити. Я редагував такі:

    Відображати повідомлення, коли налаштовування було наведено за допомогою policy – ​​balloon text /Відображати повідомлення, коли установка пристрою заборонена політикою – повідомлення: тут я написав, що компанія заблокувала установку подібних пристроїв і перенаправив користувача до служби підтримки компанії;

Відображати повідомлення, коли налагодження використовується як policy - balloon title /Відображати повідомлення, коли установка пристрою заборонена політикою - заголовок повідомлення: тут я вказав заголовок повідомлення;

Дозволити установку пристроїв, що один з цих пристроїв ID's /Дозволити підключення пристрою з наступним ідентифікатором: тут я додав цей ідентифікатор "USBSTOR\DiskSanDisk_Cruzer_Mini_____0.1_";

Заборонити підключення пристроїв, не описаних в інших групових політиках: я ввімкнув цю опцію, яка стане альтернативним способом заборони для використання пристроїв з певними ID.

Такі налаштування дозволили блокувати використання всіх USB-пристроїв, за винятком одного пристрою, чий Hardware ID визначений у групових політиках.

Це унікальна можливість для багатьох компаній, які бажають захистити свою інформацію.