Как заблокировать доступ к USB flash накопителям в Windows 10
Для предотвращения утечки данных с компьютера мы рекомендуем запретить (частично или полностью) доступ к USB-накопителям. Мы предлагаем продукты, способные решить эту задачу: Rohos Logon Key и StaffCounter DLP.
Наше программное обеспечение — это надёжный инструмент в обеспечении вашей информационной безопасности. Они содержат общий модуль — DLP (Data Leak Prevention) manager.
StaffCounter DLP для Windows
Эта утилита является частью сервиса Staffcounter.net, системы мониторинга и аналитики работы ваших сотрудников в офисе. Но кроме функций слежения программа способна защитить компьютер от нежелательных (предумышленных или халатных) действий пользователя. Основные функции программы:
- Запрет на подключение Bluetooth устройств;
- Конфигурируемый запрет на использование съемных USB-накопителей;
- Запрет подключения накопителей по MTP-протоколу: телефонов, камер, съемных дисков;
- Запрет записи на CD/DVD накопители;
- Запрет изменения конфигурации или удаления данной программы другими пользователями;
- Контролируемый запрет отправки файлов на внешние ресурсы;
- Запрет доступа ко внешним папкам и ресурсам в локальном сети;
- Запрет загрузки и запуска приложений из Интернета и внешних устройств.
Как включить функции защиты
После регистрации в сервисе и установки агента StaffСounter зайдите в Основные настройки и прокрутите страницу вниз до раздела DLP.
Настройка конфигурации:
Отключение доступа к Bluetooth-устройствам
Нужно включить пункт Запретить отправку файлов по Bluetooth.
Теперь передача данных на устройства Bluetooth и обратно будет невозможна.
Настраиваемое ограничение доступа к Flash-накопителям
Включите пункт Контроль доступа к съёмным устройствам по правилу. Далее переходим к полю Правила.
Здесь мы создаем правила доступа к USB накопителям, исходя из их серийного номера, VID и PID. Для того чтобы узнать серийный номер, VID и PID накопителя, установите программу ChipGenius.
Получив информацию о серийном номере, VID и PID, мы можем запретить запись информации на нашу флешку или съемный диск.
Для этого необходимо написать следующее правило:
0xVID:0xPID:SN=
или
*:*:SN=
знак «*» в данном случае означает любой VID и PID; это можно сделать для экономии времени, так как серийный номер достаточно уникален, а VID и PID часто одинаковы. Пустота после = означает, что для данного накопителя на этом компьютере неприменимы никакие действия со стороны пользователя — ни чтение, ни запись, ни форматирование.
Если нужно наоборот, разрешить чтение и запись только на один накопитель, то следует установить такое правило:
*:*:SN=rw
Если следует запретить только запись на накопитель, то пишем
*:*:SN=r
Внимание: с параметром «r» невозможна только запись новых данных, а удаление старых и форматирование возможны, так что будьте осторожны!
Команда, касающаяся всех остальных накопителей, должна идти последней в списке.
*:*:*= //
означает для всех остальных все запрещено.
*:*:*=r //
означает для всех остальных разрешено только чтение.
*:*:*=rw //
означает для всех остальных — без ограничений.
Пример работы программы: Попытка записать данные на USB носитель
Запрет на подключение накопителей по MTP-протоколу
Включите галочку Запретить доступ к смартфонам и камерам по USB.
Функция не позволяет пользователям переписывать данные на телефоны, камеры, плееры, и другие устройства, подключаемые через USB порт. Устройства недоступны для чтения и записи.
Запрет записи на CD/DVD накопители
Включите пункт Запретить запись на CD / DVD.
Программа запрещает запись на CD и DVD непосредственно из проводника, а также через различные программы прожига.
Пример работы программы: Попытка перенести на DVD диск данные методом drug-and-drop
Пример работы программы: Попытка скопировать данные на DVD диск
Контролируемый запрет отправки файлов на внешние ресурсы
Включите пункт Контроль отправки файлов на внешние ресурсы по правилу.
В поле Правила вы можете ввести один из трёх (либо несколько сразу через точку с запятой без пробелов) поддерживаемых нашей системой браузеров: Google Chrome (chrome), Internet Explorer/Edge (iexplore), Mozilla Firefox (firefox). Отправка на внешние ресурсы через выбранные браузеры будет запрещена.
Запрет доступа к папкам в локальной сети
Включите пункт Запретить доступ к общим папкам.
Теперь запись файлов и папок на ресурсы локальной сети (в том числе и по FTP) будет запрещена. Чтение файлов по-прежнему остаётся доступным.
Запрет загрузки и запуска приложений из Интернета и внешних устройств
Включите пункт Запретить загрузку приложений из Интернета. Этот модуль запретит скачивание приложений из Интернет, разархивирование исполняемых файлов, а также установку новых программ. Кроме этого будет запрещено несанкционированное удаление агента StaffCounter DLP из операционной системы. В случае необходимости деинсталляции нашего продукта вам нужно будет сначала отключить этот параметр.
Стоит отметить, что отключить функции защиты и внести изменения по умолчанию может только тот пользователь, который имеет доступ к Панели Управления на StaffCounter. Другие юзеры (даже с правами администратора) не имеют полномочий менять конфигурацию модуля.
Rohos Logon Key 3.3
Второй наш продукт, который использует модуль DLP, правда в качестве вспомогательного элемента, хотя его функциональность никак не урезана. Программа изначально предназначена для создания и использования аппаратных ключей, для доступа к учетной записи Windows, в дополнение или вместо обычных логина и пароля. Функция блокировки внешних USB-накопителей добавлена для предотвращения случайной порчи настроенных ключей, сделанных из Flash-накопителей.
Для блокировки доступа к всем внешним накопителям следует открыть опции программы и установить галочку Block Access to USB removable drives and HDDs.
Для применения следует нажать OK. Но если вы хотите создать особые правила для различных накопителей, в рабочей папке программы Rohos найдите файл конфигурации dlpcfg.ini и отредактируйте его. После этого включите опцию Block access to USB removable drives and HDDs в свойствах программы Rohos Logon Key. Если она уже была включена, для перезапуска драйвера выключите ее, нажмите OK, затем снова откройте опции, включите и снова нажмите OK.
Стоит обратить внимание на некоторые особенности модуля:
- Перед деинсталляцией программы Rohos Logon Key и StaffCounter следует отключить защиту, в противном случае в удалении программы будет отказано.
- Перед установкой на Windows 7 и Windows 2008 следует установить последние обновления безопасности от Microsoft, а именно патч безопасности Microsoft Security Advisory.
Надеемся, новые возможности наших программ будут вам полезны!