actual systems

Как сделать доступ к USB портам только для разрешённых устройств и запретить всем остальным?

Автор: Волков Сергей .

Часто требуется ограничить пути, по которым на компьютер с системой охраны попадают программы, совсем не предназначенные для охраны, и даже мешающие или вредящие работе охранной системы.

 Это могут быть самые безобидные игры или самые злостные вирусы. В любом случае их присутствие нежелательно. Самым распространённым способом переноса вирусов и игр является простая USB флешка или любой другой USB накопитель. Для того чтобы ограничить использование в системе любых USB накопителей и оставить возможность подключать USB накопитель, одобренный руководством, воспользуйтесь следующей информацией:

Дано:

  • Компьютер операторов производства (OC Windows7)
  • Одобренная начальством USB-флешка для переноса данных с промышленных компьютеров на компьютер операторов

Требуется:
Обеспечить подключение только одной, одобренной начальством USB-флешки, запретив при этом подключение других, неодобренных.
Ход решения:
Можно полностью отключить использование USB накопителей воспользовавшись инструкцией, но в нашем случае этот способ не подходит, ибо одна флешка должна все-таки работать. Значит мы поступим по другому:
Итак, по шагам (разумеется, нужно обладать правами локального администратора):

  1. Win+R (аналог Пуск -> Выполнить), regedit.
  2. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR]. Этот ключ хранит информацию о всех когда-либо подключенных USB-носителях.
  3. Даем себе полный доступ на USBSTOR (правая клавиша мыши -> Разрешения, отметить пункт Полный доступ у группы ВСЕ).
  4. Удаляем все содержимое USBSTOR.
  5. Подключаем одобренную фэшку, убеждаемся в том, что она определилась. Внутри USBSTOR должен появиться ключ типа Disk&Ven_JetFlash&Prod_TS4GJF185&Rev_8.07 (F5 для обновления списка).
  6. Опять правый клик на USBSTOR, Разрешения. Убираем Полный доступ у группы ВСЕ, право на чтение оставляем.
  7. Те же самые права нужно назначить пользователю SYSTEM, но напрямую это сделать не получится. Сначала нужно нажать кнопку Дополнительно, убрать галку Наследовать от родительского обьекта…, в появившемся окне Безопасность сказать Копировать. После очередного нажатия на кнопку "ОК" права пользователя SYSTEM станут доступны для изменения.
  8. Для закрепления эффекта нажимаем кнопку Дополнительно еще раз и отмечаем пункт Заменить разрешения для всех дочерних объектов… Подтверждаем выполнение.

Чего же мы добились в итоге?
Разрешенная флешка подключается и отключается без проблем. При попытке же несанкционированного подключения Windows определит устройство, но установить его не сможет, выдав ошибку подключения. Причем, в USBSTOR'е будет создан новый ключ, который недвусмысленно укажет на попытку подключения неодобренного USB-накопителя.

Комментарии  

#6 brodila73 01.12.2016 13:07
Шикарно.
Цитировать
#5 Волков Сергей 01.11.2016 09:14
Цитирую Андрей22:
Исключает ли данная защита вирусной атаки через USB-накопитель?
И нужно ли подключать данным методом переферию? (мышь, клаву, и принтер.

К сожалению вирусные атаки данный способ не исключает, т.к. большинство вирусов запускаются автоматически при первом подключении носителя. Переферию данным способом подключать не нужно.
Цитировать
#4 Andrey 07.03.2016 14:13
А как этот метод распространить массово на сеть ПК? Политиками? А права доступа к ветке реестра?
Цитировать
#3 Andrey 04.03.2016 17:19
Попытался следовать инструкции и не получилось. При попытке назначить всем полный доступ к папке для очистки содержимого, система сообщила, что отказано в доступе.
Цитировать
#2 SergeyMuratkin 18.07.2015 11:50
Прекрасная статья, как раз то что было мне нужно. Но есть одна проблема : "Причем, в USBSTOR'е будет создан новый ключ, который недвусмысленно укажет на попытку подключения неодобренного USB-накопителя." Дело в том, что проверяющий смотрит как раз USBSTOR, и ему нужно что бы там было пусто или были только зарегистрированные носители.
С благодарностью, Сергей.
Цитировать
#1 Valeriy 14.06.2015 19:22
Спасибо за метод! Еще не добрался до его реализации, но в списке USBSTOR отображаются только USB-флешки, а телефоны подключенные через USB не отображаются. Проверьте - подключаются телефоны или нет.
Цитировать