GPO - Отключение USB накопителей через групповые политики

При подключении нового USB устройства к компьютеру, система автоматически определяет устройство и устанавливает подходящий драйвер, в результате чего пользователь практически сразу может использовать подключенное USB устройство или накопитель. В некоторых организациях для предотвращения утечки конфиденциальных данных и проникновения в сеть вирусов, возможность использования USB накопителей (флешки, USB HDD, SD-карты и т.п) отключают из соображений безопасности. В этой статье мы покажем, как с помощью групповых политик (GPO) отключить возможность использовать внешних USB накопителей, запретить запись данных и запуск исполняемых файлов.

Политика блокировки USB устройств будет работать, если инфраструктура соответствует требованиям:

Версия схемы Active Directory — Windows Server 2008 и выше 

Примечание. Набор политик, позволяющий управлять установкой и использованием съемных носителей, появился только в этой версии AD

Клиентские ОС – Windows Vista, Windows 7 и выше

Итак, мы планируем ограничить использование USB накопителей для всех компьютеров в определенном контейнере (OU). Предположим, мы хотим распространить действие политики на OU с именем Workstations. Для этого, откроем консоль управления GPO (gpmc.msc) и, щелкнув ПКМ по OU Workstations, создадим новую политику (Create a GPO in this domain and Link it here).

Совет. В случае использования отдельно стоящего компьютера, политика  ограничения использования USB портов может быть отредактирована с помощью локального редактора групповых политик – gpedit.msc.

Назовем политику Disable USB Access.

Затем отредактируем ее параметры (Edit).

Настройки блокировки внешних носителей присутствуют в пользовательском и компьютерных разделах GPO:

User Configuration-> Policies-> Administrative Templates-> System->Removable Storage Access (Конфигурация  пользователя -> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам)

Computer Configuration-> Policies-> Administrative Templates-> System-> Removable Storage Access (Конфигурация  компьютера-> Административные шаблоны -> Система ->Доступ к съемным запоминающим устройствам)

В нашем случае, мы хотим заблокировать USB накопители на уровне компьютера, поэтому нас интересует второй раздел. Разверните его.

В разделе Removable Storage Access есть несколько политик, позволяющих отключить возможность использования различных классов устройств хранения: CD/DVD диски, флоппи диски (FDD), USB устройства, ленты и т.д.

Наиболее «суровая» ограничительная политика — All Removable Storage Classes: Deny All Access (Съемные запоминающие устройства всех классов: Запретить любой доступ)– позволяет полностью отключить доступ к любым типам внешних устройств хранения данных. Чтобы включить эту политику, откройте ее и переведите в состояние Enable.

После активации политики и обновления ее на клиентах (gpupdate /force) внешние подключаемые устройства определяются системой, но при попытке их открыть появляется ошибка:

Location is not available

Drive is not accessible. Access is denied

Совет. Аналогичное ограничение можно задать, через реестр, создав в ветке HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\RemovableStorageDevices ключ Deny_All типа Dword со значением 00000001

В этом же разделе политик можно настроить более гибкие ограничение на использование внешних USB накопителей.

К примеру, чтобы запретить запись данных на USB флешки и диски, достаточно включить политику Removable Disk: Deny write access (Съемные диски: Запретить запись).

В этом случае пользователи смогут читать данные с флешки, но при попытке записать на нее информацию, получат ошибку:

Destination Folder Access Denied

You need permission to perform this action

С помощью политики Removable Disks: Deny execute access (Съемные диски: Запретить выполнение) можно запретить запуск с USB дисков исполняемых файлов и файлов сценариев.