Когда пользователь вставляет в USB-разъём новое устройство, Windows автоматически его определяет и устанавливает соответствующий драйвер, благодаря чему устройство тут же становится доступным для использования. Это очень удобно, однако на корпоративных компьютерах такая лёгкость подключения внешних носителей к компьютеру может представлять угрозу безопасности и конфиденциальности.
Поэтому в некоторых организациях администраторы предпочитают отключать возможность подключения съёмных устройств на уровне групповых политик.
Поскольку в нашем случае ограничивать работу с USB-накопителями мы будем на локальном компьютере, все настройки будут выполняться в редакторе локальных групповых политик, открыть который можно командой gpedit.msc. Открыв редактор, перейдите по цепочке «Конфигурация компьютера» -> «Административные шаблоны» -> «Система» -> «Доступ к съёмным запоминающим устройствам».
В последнем разделе имеется около 20-ти разных политик, позволяющих блокировать тот или ной тип носителя или опцию. Есть политики для блокировки только оптических дисков, flesh-накопителей, гибких дисков, а есть политики, с помощью которых можно запретить только чтение или запись. Поскольку нас интересует максимальная защита, мы выбираем настройку «Съемные запоминающие устройства всех классов».
Кликните по ней два раза мышкой и в открывшемся окошке переключитесь в положение «Включено», а затем сохраните настройки. Для вступления последних в силу может потребоваться перезагрузка.
Это всё. Теперь, если вы попробуете подключить к компьютеру и открыть любой внешний носитель, получите ошибку доступа. Кстати, ограничить возможность работы с внешними носителями можно и через реестр, развернув ветку HKEY_CURRENT_USER/Software/Policies/Microsoft/Windows/RemovableStorageDevices и создав в последнем подразделе параметр типа DWORD с именем Deny_All и значением 00000001.
Загрузка...
Добавить комментарий