Как отключить usb — порты через реестр
Сегодня, друзья мои, я хочу вернуться к теме блокировки usb-портов на компьютере, вызвавшая в агусте месяце не плохую дискуссию (читать тут). В прошлый раз я описывал способ блокировки usb-портов с помощью сторонней программы, однако сегодня мы будем их блокировать через реестр Windows. До этого способа мы с комментаторами докопались в процессе диалога и он есть в комментариях, но я решил вынести его в отдельный пост с наглядной инструкцией действия — надеюсь, вам это будет полезно.
Отключаем Usb-порты через реестр
Вы наверно уже и сами догадались, что для того, чтобы править реестр вам потребуются права администратора — заимейте их любой ценой (даже если придется переспать с администратором 😀). Переходим к блокированию юсб-портов:
Шаг 1: Открываем редактор реестра: Сочетание клавишь Win + R -> Regedit
Шаг 2: Реестр наш открыт и мы движемся по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
Шаг 3: Находим в этой ветке ключ Start, жмем правой кнопкой мыши и выбираем Изменить
Шаг 4: Осталось поменять значения: Значение 3 — Включить usb-порты; 4 — выключить usb-порты. Нам необходимо отключить порты, поэтому ставим значение — 4.
Шаг 5. Очень важный шаг, ибо необходимо закрыть и перезагрузить компьютер. Пока вы этого не сделаете — usb-порты будут функционировать в штатном режиме. После перезагрузки, при подключении usb-устройств вы услышите характерный звук, однако система никак не будет обнаруживать вмонтированное устройство. Поставленная задача выполнена — можно отдохнуть. На этом у меня все — до связи, мои друзья!
Очень полезная статья для сисадминов. В офисах вирусы на флешках это просто бич, и приходится отключать порты.
Semm: О дааааааааа….. флешки в организации — одно из самых злых зол…по себе знаю 🙂
XD Не всегда прокатывает… первое подключение новой флешке всегда будит санкционировано второй раз только откажет… (((
VlaDOS: Как вариант без привлечения стороннего ПО он весьма не плох 😉
А как отключить лишние USB порты?
Т.к к компам и принтеры ведь подключены в организации.
Хотелось бы например вырубить все порты, но оставить 1 рабочий для принтера, ну или опять же клава мышка USB, без них ведь никак.
CeMKa: Ну самое прекрасное в этом способе то, что принтера/сканеры/мышки при этом будут работать 😉 А вот новые устройства уже не встанут 😉
ItSlam: Еще один оличный вариант который уже я внедрил… отложив все ранее. Принцип- тот же реестр.
1. Заходим в реестр путь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
2.Удаляем все содержимое. (ну как вы догадались это и есть флехи которые подрубались к системе). На заметку»Можно оставить пару флешек -которые только смогут работать на данном АРМ»
3. На папке USBSTOR ПКМ ==> Разрешения, выбираем SYSTEM
Тыкаем Дополнительно так же выбираем system тыкаем ИЗМЕНИТЬ
4. и ставим галочку ЗАПРЕТИТЬ на СОЗДАНИЕ подраздела… ОК
5. После чего все флешки не смогут работать на данном ПК кроме уже находящихся в USBSTOR.
Идеальный Вариант для пара десятка машин… (Можно удаленно подцепится в ОРГАНИЗАЦИИ через Удаленный реестр к любой машинки и спокойно заблочить или даже прописать свою только флешку на всех компах.)
Думаю кому нибудь это поможет… в связи с отсутствием свободного времени не могу все описать подробно, но думаю вы разберетесь.)) (Пользуюсь случаем: ПОЗДРАВЛЯЮ ВСЕх с 23 ФЕВРАЛЯ! )
ItSlam:
Так же закончил прогу для запуска удаленно СЛУЖБ АРМ в организации… (К сожалению тот же удаленный реестр как и радмин не всегда работает на АРМ автоматически), испытывал неудобство после установки «Кашмарского», из за этого была написана прога, могу передать нашей публики. Прога очень проста: вводим IP или сетевое имя ПК и выбираем нужную службу для запуска на данном ПК, или вбиваем свою… можно запустить, перезапустить, остановить.
XD всегда убивало: защита от спамера-гондона, ответька: 3 + 9 ? Позитив…)))
VlaDOS: Рад снова видеть Вас на блоге. Метод интересный и наверно достоин отдельного поста. Прогу тоже можете скидывать, поглядим. К сожалению о прошлой программе так и не сумел написать толковый пост….
Хехе…да…спамеры они такие…гандоны))) Да-да….всех с 23 февраля!!!
ItSlam:
Куда прогу отправлять?
Отправлю завтра после работы…))
ItSlam:
ht+tp+:+/+/+rapid+.+ufa+net+.+ru/2176054 Плюсы удалишь… эта та самая прога (сообщение от 23 февраля 2012 в 17:22)… думаю все таки хотя бы её выложишь…А так ждем оформленного поста… (Естественно данное творение лучше выложить у себя…у меня хостинг 30 дней…((((( )
ItSlam: за то у меня уже эту прогу (по обнаружению подключенных USB) раза 40 скачали с рапиды XD …
К стате говоря…. Sleuth_USB тоже претерпел изменения… теперь он создает два отчета сокращенный и полный…(раньше был полный — так неудобно было…)
Вид сокращенного списка:
Имя учетной записи: medvedev_vs
Имя ПК: TEST
IP-адрес: xxx.xxx.xxx.xxx
Дата составления списка USB Flash носителей: 23.1.2012 09:44:55
————————————————————————
Other&Ven_WD&Prod_SES_Device&Rev_1016 = (: 23. 12. 2011. 15:25:35)
575842314132313130353236&1 = (: 20. 01. 2012. 12:58:16)
————————————————————————
Disk&Ven_WD&Prod_My_Passport_0732&Rev_1016 = (: 13. 01. 2012. 11:06:13)
575842314132313130353236&0 = (: 20. 01. 2012. 12:58:16)
————————————————————————
Disk&Ven_Sony&Prod_MSAC-UAM2&Rev_1.00 = (: 12. 01. 2012. 11:54:55)
20060413092100000&0 = (: 23. 01. 2012. 09:40:08)
ParentIdPrefix = 7&2b2802cc&2 (: 23. 01. 2012. 09:44:57)
————————————————————————
Disk&Ven_Kingston&Prod_DataTraveler_G2&Rev_1.00 = (: 26. 12. 2011. 17:54:28)
0013728A7896F9B1A63B0EED&0 = (: 12. 01. 2012. 15:48:13)
ParentIdPrefix = 7&5a2c692&0 (: 23. 01. 2012. 09:44:58)
ParentIdPrefix = 7&5a2c692&0 (: 23. 01. 2012. 09:44:58)
————————————————————————
Теперь хоть нагляднее…что и когда подключалось к ПК))
и еще Эту прогу надо запускать на компе где хочешь узнать какие устройства подключались…
И появилась потребность, запуска удаленно такой проги а именно по списку IP адресов:
Шапка:
Программа предназначена для сбора информации USB Flash по заданному списку.
1. Заполните список IP.txt
МАСКА заполнения в столбик:
111.111.111.111
111.111.111.111
111.111.111.111
111.111.111.111
111.111.111.111
или имена ПК в столбик:
PC1
PC2
PC3
2. После чего запускаем LAN_usb_detect.exe и ждем окончания загрузки, в конце выйдет сообщение об окончании загрузки, нажать ок.
естественно на данном диапазоне IP адресов должен быть включен Удаленный реестр.
P.S. вот заспавмил я твой пост…XD
VlaDOS спасибо тебе огроменное, именно то что искал (нет слов один восторг)
KJIEBEP Программ очень много, уже написанно мною в сфере USB Flash только вот немогу найти блог-сайтец где это можно организовать и поделится. Думаю у ItSlam как время появится свободное он мне поможет — в этом нелегком деле. А пока что УВАЖАЕМЫЕ ЧИТАТЕЛИ не ЛЕНИТЕСЬ и перечитайте все с самого начала, вы поймете/найдете все ответы на ваши вопросы.
VlaDOS: Помочь за всегда рад. Написал Вам письмо.
Статья полезная весьма, но подскажите, а как ОГРАНИЧИТЬ доступ к flash? То есть чтобы фешка компом виделась, инфа с нее считывалась, а записываться — не записывалась? Это возможно сделать?
Little_AzaZeL: Вам в помощь моя последняя статья
Little_AzaZeL: Конечно возможно. Смотри в системном реестре ветку: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies\WriteProtect, 1.
ЕСЛИ нет папки StorageDevicePolicies — Создаешь её. В неё создаешь параметр: WriteProtect —
значение -0 открыт полный доступ,
значение -1 открыт только чтение.
P.S. Если возникают проблемы, копируй ветку реестра описанную выше. и по поиску в яндексе всё наглядно покажут что где и как- хотя и так можно всё настроить.
ItSlam: ЗДОРОВА! что то давно здесь не было меня. Дочка родилась — не до этого… Вот минутка появилась… Зашел поглядел — пока что всё в зависшем состоянии я смотрю.
VlaDOS: Привет…ты уж забегай…собираюсь с мыслями, чтобы вернуться к написанию статей.
Блин пытабсь удалить хоть одну подпапку изветки
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
пишет ошибка доступа
ОС 7, состою в шруппе админ, запускал реестр:
1) через выполнить
2) с правой кнопки «от имени админа»
3) пробовал с смд через рег делете
и всёравно отказано в доступе
Как быть?
SmertNikДоступ на ветку Все дать полный… систим… полный доступ потом наследовать от USBSTOR права…(как то так.)
VlaDOS:
С правами безопасности игрался но результатов ноль.. может что поможет ОС windows 7…
SmertNik: думаю тебе надо прочесть статью про PSTOOLS в частности компонент psexec.exe (качаешь его и ложишь в папку 1). В папке 1 создаешь батник со строкой:
psexec.exe -s -i regedit.exe
После чего запускаешь батник с правами админа… Должен запустится сис.реестр — ну вот и всё- по сути должна удалится любая директория в сис.реестре.
VlaDOS Спасибо, попробую завтра или послезавтра отпишусь..
VlaDOS, не могу понять в чём причина, но мне пишет: «Error communicating with PsExec service on Comp: «
а дальше иероглифами
SmertNik Даж не знаю… всё дело в твоей ОСи…