Как заблокировать доступ к USB flash накопителям в Windows 10

Постановка задачи: Запретить запись на USB накопитель на компьютере под управлением OS Windows. Запретить отключение этого правила другими пользователями.

Цель: предотвратить утечку данных с компьютера, отключенного от сети.

Решение: Установка программы, способной решить указанную задачу.

 

Такая программа есть. Вернее их две. Поставляются они фирмой Rohos и содержат общий модуль — DLP manager. (Data Leak Prevention)

StaffCounter DLP для Windows

Программа является частью сервиса Staffcounter.net, созданного для мониторинга работы сотрудников офиса за компьютером. Кроме функций слежения, программа способна защитить компьютер от нежелательных действий пользователя. Главные защитные функции программы:

  1. Запрет на подключение Bluetooth устройств;
  2. Избирательный запрет на использование съемных Flash-накопителей;
  3. Запрет на подключение накопителей по MTP-протоколу: телефонов, камер, съемных дисков;
  4. Запрет записи на CD/DVD накопители;
  5. Запрет на изменение конфигурации данной программы другими пользователями;
  6. и многое другое….

Как включить функции защиты

В программе StaffСounter следует открыть опции и перейти на последнюю закладку — DLP.

Настройка программы осуществляется через редактирования файла конфигурации dlpcfg.ini. Для открытия его нажмите кнопку Edit DLP rules. После завершения редактирования, сохраните файл и закройте его. Установите галочку Enable data Leek Prevention features и нажмите OK.  Если функции защиты больше не нужны, следует снять эту галочку. Ее также следует убрать перед деинсталляцией программы StaffCounter.

Настройка конфигурации:

Отключение доступа к Bluetooth-устройствам

В разделе [Main] устанавливаем параметр.

DisableNewBluetoothConnection=1

Теперь передача данных на устройства Bluetooth и обратно будет невозможна.

 

Избирательное ограничение доступа к  Flash-накопителям

В разделе [Main] следует изменить значение параметра EnableUsbRules на 1 и перейти вниз к разделу [USBRules]

Здесь мы создаем правила доступа к USB накопителям, исходя из их серийного номера, VID и PID. Для того чтобы узнать серийный номер, VID и PID накопителя, установите программу ChipGenius.

Получив информацию о серийном номере, VID и PID, мы можем запретить запись информации на нашу флешку или съемный диск.

Для этого необходимо написать следующее правило:

0xVID:0xPID:SN=

или

*:*:SN=

знак «*» в данном случае означает любой VID и PID; это можно сделать для экономии времени, так как серийный номер достаточно уникален, а VID и PID часто одинаковы. Пустота после = означает, что для данного накопителя на этом компьютере неприменимы никакие действия со стороны пользователя — ни чтение, ни запись, ни форматирование.

(Обратите внимание на параметр NoCheckSystemUser. Если он установлен в 1, то к накопителю все же могут обращаться системные программы, а также приложения. Это может быть полезно, например, если указанный накопитель является аппаратным ключом для входа в Windows или для разблокировки каких-либо программ и документов. Защищая таким образом накопитель от записи, мы можем не бояться, что случайно удалим с него важную информацию и испортим ключ. )

Если нужно наоборот, разрешить чтение и запись только на один накопитель, то следует установить такое правило:

*:*:SN=rw

Если следует запретить только запись на накопитель, то пишем

*:*:SN=r

Внимание: с параметром «r» невозможна только запись новых данных, а удаление старых и форматирование возможны, так что будьте осторожны!

Команда, касающаяся всех остальных накопителей, должна идти последней в списке.

*:*:*=   // означает для всех остальных все запрещено.

*:*:*=r  // означает для всех остальных разрешено только чтение.

*:*:*=rw  //  означает для всех остальных — без ограничений.

Пример работы программы: Попытка записать данные на USB носитель

 

Запрет на подключение накопителей по MTP-протоколу

В разделе [Main] установите

DisableUsbMtp=1

Функция не позволяет пользователям переписывать данные на телефоны, камеры, плееры, и другие устройства, подключаемые через USB порт. Устройства недоступны для чтения и записи.

Запрет записи на CD/DVD накопители

В разделе [Main] установите

DisableDvdWrite=1

Программа запрещает запись на CD и DVD непосредственно из проводника, а также через различные программы прожига.

Пример работы программы: Попытка перенести на DVD диск данные методом drug-and-drop

Пример работы программы: Попытка скопировать данные на DVD диск

 

Модуль DLP имеет еще много интересных возможностей, ознакомиться с которыми можно, прочитав комментарии к файлу конфигурации.

 

Стоит отметить, что отключить функции защиты и внести изменения по умолчанию может только тот пользователь, который установил его. Другие, даже с правами администратора, не имеют полномочий менять конфигурацию модуля.

Предоставить полномочия другим пользователям по изменению конфигурации программы можно в разделе [Admins] файла конфигурации.

Другая программа имеет этот модуль в качестве вспомогательного элемента, хотя его функциональность никак не урезана.

Rohos Logon Key 3.3

Программа изначально предназначена для создания и использования аппаратных ключей, для доступа к учетной записи Windows, в дополнение или вместо обычных логина и пароля. Функция блокировки внешних USB-накопителей добавлена для предотвращения случайной порчи настроенных ключей, сделанных из Flash-накопителей.

Для блокировки доступа к всем внешним накопителям следует открыть опции программы и установить галочку Block Access to USB removable drives and HDDs.

Для применения следует нажать OK. Но если вы хотите создать особые правила для различных накопителей, в рабочей папке программы Rohos найдите файл конфигурации dlpcfg.ini и отредактируйте его аналогично StaffCounter DLP. После этого включите опцию Block access to USB removable drives and HDDs в свойствах программы Rohos Logon Key. Если она уже была включена, для перезапуска драйвера выключите ее, нажмите OK, затем снова откройте опции, включите и снова нажмите OK.

Стоит обратить внимание на некоторые особенности модуля:

  1. По умолчанию «хозяином» модуля защиты считается администратор, включивший данный модуль. Другие пользователи, даже администраторы, не могут поменять конфигурацию или отключить модуль. Для их добавления следует внести их имена в файл конфигурации в раздел [Admins].
  2. Перед деинсталляцией программы Rohos Logon Key и StaffCounter следует отключить защиту, в противном случае в удалении программы будет отказано.
  3. Перед установкой на Windows 7 и Windows 2008 следует установить последние обновления безопасности от Microsoft.

Надеемся, новые возможности наших программ будут вам полезны!