Документация по ОС Windows

Поставили задачу заблокировать USB носители на рабочих станциях.  Причем принтеры подключенные по USB работать должны, а вот флэшки воткнутые в USB нет!

Задача осложняется тем, что через локальные политики безопасности, да и через доменные политики в домене Windows 2003 Server отключить USB носители не позволяют. Нет таких политик.

Все осложняется тем, что есть принтеры подключенные по USB. Саму шину USB можно выключить через реестр, но как тогда заставить работать принтеры это большой вопрос…..

Платные программы использовать нет возможности. Руководство не готово их покупать, а пиратить нельзя. Все должно быть белым и лохматым. 🙂

Решение есть. Результат чтения док и гугления оформил в виде статьи на будущее

Проблема решается с помощью установки прав доступа на файлы usb.inf иusbstor.inf, которые размещены в C:\Windows\inf

Все гениально и просто! Через права доступа можно не просто блокировать доступ к USB, а разграничивать доступ к USB по пользователям.

Руководство по установке прав доступа к USB носителям и блокировки флэшек

1. Устанавливаем все необходимые USB принтеры, сканнеры и прочие USB устройства, которые вам могут понадобится на данном компьютере. Потом их установить будет сложнее. 🙂 Ведь мы заблокируем USB устройства.
2. Удаляем ВСЕ ранее подключенные к рабочей станции USB-носители, иначе эти флэшки будут доступны ЛЮБОМУ пользователю рабочей станции. ВАЖНО: для Windows 7 см. информацию ниже.
   Все раннее установленные USB флэшки есть в реестре, для их удаления запускаем regedit (Пуск->Выполнить->regedit->Enter), переходим в раздел
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

   и удаляем от туда ВСЕ подразделы.

   ВАЖНО в Windows XP: может появится сообщение, что подраздел удалить невозможно. В этом случае то жмем правой кнопкой мыши на раздел USBSTOR, выбираем «Разрешения…», устанавливаем для «Все» — полный доступ. Теперь пытаемся удалить подразделы в разделе USBSTOR, должно получиться.

   В Windows 7 реестр защищен намного лучше, чем в Windows XP. Для удаления ранее подключенных устройств придется загрузиться с Live CD и через утилиту удалить записи из реестра. На работающей Windows 7 удалить записи из реестра о ранее подключенных устройствах не получится. Загрузить образ Live CD с утилитой для редактирования реестра Windows 7 32 bit можно тут, Windows 7 64 bit тут,  Live CD для Windows XP можно скачать тут.

3.  Идем в папку  <диск, где у вас стоит Windows>:\Windows\inf, находим файлы: usb.inf, usbstor.inf.
4. Выделяем файлы usb.inf, usbstor.inf, заходим в свойства, в появившемся диалоговом окне переходим на вкладку безопасность. Находим кнопку «Дополнительно» и  нажимаем.
5. Если стоит галочка «Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне», ее надо снять. Появится окно с кнопками: «Копировать», «Удалить»,«Отмена» — жмем «Копировать» и «Ок». Если у вас не стоит данная галочка, данный пункт можно пропустить.
6. Во вкладке «Безопасность», в поле «Группы и пользователи» делаем следующие действия:
   Для полной блокировки USB флэшек для ВСЕХ пользователей рабочей станции:
   Удаляем ВСЕХ пользователей.
   Для блокировки USB накопителей  только для пользователей без прав администраторов:
   Удаляем всех пользователей и добавляем пользователей или группы с правами администраторов. Локальных или доменных зависит от того поднят у вас домен или нет. Правильнее добавить локальную группу администраторы, а доменную группу добавить в локальную группу через «Локальные пользователи и пароли». Но тут уж каждый действует как ему удобнее.

Вот и все. Теперь при подключении USB флэшек и других USB устройств к рабочей станции в зависимости от выбранного выше варианта будет происходить следующее: у пользователя без прав администратора будут запрашивать войти с правами администратора, либо USB устройство будет заблокировано и работать не будет вообще.

Данная статья была проверена на работоспособность под Widows XP SP3, Windows 7 SP1, Windows 2003 Server.