Столкнулся с такой необходимостью, как отключение USB-носителей для пользователей персонального компьютера. Проблема в том, что в локальной политике, да и в политике домена (экспериментировал на Windows 2003 server), не предусмотрена такой возможности, как отключение USB-носителей.

Причем с помощью реестра можно отключить только полностью USB-порты. Тогда встает другой вопрос — Как быть с принтерами, подключаемыми через USB-порты?
Я нашел два решения данной проблемы:

• юзать платные программы по мониторингу подключаемых USB-носителей типа DeviceLock или FileControl или другие аналоги,
• с помощью стандартной возможности ОС Windows, установки прав доступа на файлы usb.inf и usbstor.inf, которые размещены в C:\Windows\inf.

Первый вариант я расматривать не буду, к ним есть достаточно подробный манул, да и не думаю что многие решат покупать данные программные продукты, ибо обойдутся они в копеечку.Но не могу не отметить простоту и удобство их в эксплуатации.
А теперь рассмотрим второй способ для организации нашей системы разграничения доступа к USB-носителям.
В первую очередь необходимо определиться кому запрещаем использование съемных носителей. В большинстве случаев необходимо ограничить права доступа всем пользователям, а разрешить доступ только системным администраторам. На этом пока и остановимся.
Так как мы определились с правами доступа, то пора их установить. Для этого найдем файлы usb.inf и usbstor.inf. Они лежат в системной папке inf в папке Windows. Далее выделяем их, заходим в свойства, в появившемся диалоговом окне переходим на вкладку безопаность. Кликаем на кнопку «Дополнительно». Убеждаемся, что галочка «Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне» снята.

Если нет, то снимаем, в ответ на это появляется окошко с кнопками «Копировать», «Удалить», «Отмена». Жмем «Копировать», потом «Ок». Теперь на вкладке «Безопасность», в поле «Группы и пользователи» удаляем все, кроме (если там есть) группу администраторов. Если нет то жмем кнопку «Добавить». В поле «Введите имена выбираемых объектов» вводим администраторы, жмем «Проверить имена», если такой объект один, введенное вами слово станет подчеркнутым, иначе появиться окошко со списком, в котором нужно выбрать тот объект, который вас интересует. Далее жмем «Ок», потом снова «Ок». Устанавливаем галочку «Полный доступ», жмем «Ок».
На этом все. Теперь при подключении USB-носителей к ПК, обычному пользователю будут требоваться администраторские права.
Но, есть одно серьезное замечание:
Если ранее к ПК подключались USB-носители, то они будут доступны пользователю.
Чтобы устранить данную брешь в нашей системе разграничения доступа, придется ручками почистить реестр. Для этого запускаем regedit (Пуск->Выполнить->regedit->Enter). Переходим в раздел

и удаляем от туда все подразделы. Если не появляется сообщение, что подраздел удалить невозможно, то кликаем правой кнопкой мыши на раздел USBSTOR, выбираем «Разрешения…», устанавливаем для «Все» полный доступ и снова пытаемся удалить подразделы в разделе USBSTOR.

После того, как вышеописанное было осуществлено, для подключения любого USB-носителя потребуются права администратора.

Это мы рассмотрели базовую, так сказать, модель системы разграничяения доступа, но можно произвести более гибкую ее настройку, то есть разрашать доступ к подключаемым носителям конкретным пользователям. Для этого надо будет просто в свойствах файлов usb.inf и usbstor.inf на вкладке «Безопасность» добавить конкретного пользователя или какую то конкретную группу.

Замечу, что данная система разграничения будет работать и в домене, и в рабочей группе, а так же возможно установить разграничение доступа и для других устройств.

Данную статью можно обсудить на нашем форуме.

C0ffe1n Windows, Администрирование Windows XP, реестр, устройства