Как заблокировать доступ к USB flash накопителям в Windows 10

/в , /от

Для предотвращения утечки данных с компьютера мы рекомендуем запретить (частично или полностью) доступ к USB-накопителям. Мы предлагаем продукты, способные решить эту задачу: Rohos Logon Key и StaffCounter DLP.
Наше программное обеспечение — это надёжный инструмент в обеспечении вашей информационной безопасности. Они содержат общий модуль — DLP (Data Leak Prevention) manager.

StaffCounter DLP для Windows

Эта утилита является частью сервиса Staffcounter.net, системы мониторинга и аналитики работы ваших сотрудников в офисе. Но кроме функций слежения программа способна защитить компьютер от нежелательных (предумышленных или халатных) действий пользователя. Основные функции программы:

  • Запрет на подключение Bluetooth устройств;
  • Конфигурируемый запрет на использование съемных USB-накопителей;
  • Запрет подключения накопителей по MTP-протоколу: телефонов, камер, съемных дисков;
  • Запрет записи на CD/DVD накопители;
  • Запрет изменения конфигурации или удаления данной программы другими пользователями;
  • Контролируемый запрет отправки файлов на внешние ресурсы;
  • Запрет доступа ко внешним папкам и ресурсам в локальном сети;
  • Запрет загрузки и запуска приложений из Интернета и внешних устройств.

Как включить функции защиты

После регистрации в сервисе и установки агента StaffСounter зайдите в Основные настройки и прокрутите страницу вниз до раздела DLP.

dlp options

Настройка конфигурации:

Отключение доступа к Bluetooth-устройствам

Нужно включить пункт Запретить отправку файлов по Bluetooth.

Теперь передача данных на устройства Bluetooth и обратно будет невозможна.

 

Настраиваемое ограничение доступа к Flash-накопителям

Включите пункт Контроль доступа к съёмным устройствам по правилу. Далее переходим к полю Правила.

Здесь мы создаем правила доступа к USB накопителям, исходя из их серийного номера, VID и PID. Для того чтобы узнать серийный номер, VID и PID накопителя, установите программу ChipGenius.

Получив информацию о серийном номере, VID и PID, мы можем запретить запись информации на нашу флешку или съемный диск.

Для этого необходимо написать следующее правило:

0xVID:0xPID:SN=

или

*:*:SN=

знак «*» в данном случае означает любой VID и PID; это можно сделать для экономии времени, так как серийный номер достаточно уникален, а VID и PID часто одинаковы. Пустота после = означает, что для данного накопителя на этом компьютере неприменимы никакие действия со стороны пользователя — ни чтение, ни запись, ни форматирование.

Если нужно наоборот, разрешить чтение и запись только на один накопитель, то следует установить такое правило:

*:*:SN=rw

Если следует запретить только запись на накопитель, то пишем

*:*:SN=r

Внимание: с параметром «r» невозможна только запись новых данных, а удаление старых и форматирование возможны, так что будьте осторожны!

Команда, касающаяся всех остальных накопителей, должна идти последней в списке.

*:*:*=   // означает для всех остальных все запрещено.

*:*:*=r  // означает для всех остальных разрешено только чтение.

*:*:*=rw  //  означает для всех остальных — без ограничений.

Пример работы программы: Попытка записать данные на USB носитель

 

Запрет на подключение накопителей по MTP-протоколу

Включите галочку Запретить доступ к смартфонам и камерам по USB.

Функция не позволяет пользователям переписывать данные на телефоны, камеры, плееры, и другие устройства, подключаемые через USB порт. Устройства недоступны для чтения и записи.

Запрет записи на CD/DVD накопители

Включите пункт Запретить запись на CD / DVD.

Программа запрещает запись на CD и DVD непосредственно из проводника, а также через различные программы прожига.

Пример работы программы: Попытка перенести на DVD диск данные методом drug-and-drop

Пример работы программы: Попытка скопировать данные на DVD диск

 

Контролируемый запрет отправки файлов на внешние ресурсы

Включите пункт Контроль отправки файлов на внешние ресурсы по правилу.
В поле Правила вы можете ввести один из трёх (либо несколько сразу через точку с запятой без пробелов) поддерживаемых нашей системой браузеров: Google Chrome (chrome), Internet Explorer/Edge (iexplore), Mozilla Firefox (firefox). Отправка на внешние ресурсы через выбранные браузеры будет запрещена.

 

Запрет доступа к папкам в локальной сети

Включите пункт Запретить доступ к общим папкам.

Теперь запись файлов и папок на ресурсы локальной сети (в том числе и по FTP) будет запрещена. Чтение файлов по-прежнему остаётся доступным.
 

Запрет загрузки и запуска приложений из Интернета и внешних устройств

Включите пункт Запретить загрузку приложений из Интернета. Этот модуль запретит скачивание приложений из Интернет, разархивирование исполняемых файлов, а также установку новых программ. Кроме этого будет запрещено несанкционированное удаление агента StaffCounter DLP из операционной системы. В случае необходимости деинсталляции нашего продукта вам нужно будет сначала отключить этот параметр.

 

Стоит отметить, что отключить функции защиты и внести изменения по умолчанию может только тот пользователь, который имеет доступ к Панели Управления на StaffCounter. Другие юзеры (даже с правами администратора) не имеют полномочий менять конфигурацию модуля.

Rohos Logon Key 3.3

Второй наш продукт, который использует модуль DLP, правда в качестве вспомогательного элемента, хотя его функциональность никак не урезана. Программа изначально предназначена для создания и использования аппаратных ключей, для доступа к учетной записи Windows, в дополнение или вместо обычных логина и пароля. Функция блокировки внешних USB-накопителей добавлена для предотвращения случайной порчи настроенных ключей, сделанных из Flash-накопителей.

Для блокировки доступа к всем внешним накопителям следует открыть опции программы и установить галочку Block Access to USB removable drives and HDDs.

Для применения следует нажать OK. Но если вы хотите создать особые правила для различных накопителей, в рабочей папке программы Rohos найдите файл конфигурации dlpcfg.ini и отредактируйте его. После этого включите опцию Block access to USB removable drives and HDDs в свойствах программы Rohos Logon Key. Если она уже была включена, для перезапуска драйвера выключите ее, нажмите OK, затем снова откройте опции, включите и снова нажмите OK.

Стоит обратить внимание на некоторые особенности модуля:

  1. Перед деинсталляцией программы Rohos Logon Key и StaffCounter следует отключить защиту, в противном случае в удалении программы будет отказано.
  2. Перед установкой на Windows 7 и Windows 2008 следует установить последние обновления безопасности от Microsoft, а именно патч безопасности Microsoft Security Advisory.

Надеемся, новые возможности наших программ будут вам полезны!

Также вам, возможно, понравится
Rohos Logon Key 3.0 шаг в безопасность
Спецпредложение! Программы Rohos со скидкой 25%.
Смарт-карты JavaCard для 2-х факторной авторизации в Windows
Защити доступ в компьютер с PC Lock.
Безопасность Windows 8 с поддержкой Yubikey, двухфакторная авторизация.
Wireless PC Lock - беспроводной Ключ от ПК.
Специальная Акция - единая цена на все программы Rohos!
Электронный ключ iKey 2032 в Rohos Logon Key.