Стоит ли блокировать все порты USB и существует ли альтернатива.

Для этого применяются специальные программы, позволяющие выполнить блокировку USB-портов в случае возникновения такой необходимости. Вопрос о других источниках, помимо флеш-накопителей, утечки информации выходит за рамки нашей статьи и здесь не рассматривается. Если рассматривать вопрос в плоскости антивирусной безопасности, то, при наличии других способов коммуникации, исключение использования флеш-накопителей избавит вас от одного из основных путей проникновения вирусов на компьютер. Возможность блокировки USB-портов является необходимой мерой для защиты ноутбуков, персональных компьютеров и рабочих станций корпоративной сети с целью предотвращения утечки информации, порчи и кражи личных данных, других вредоносных действий злоумышленников.

Защитить флешку от записи и отключить возможность копирования на нее конфиденциальной информации можно самостоятельно и очень быстро. Для этого необходимо внести изменения в системный реестр ОС Windows. Это можно сделать с помощью специальных файлов реестра: скачайте и запустите следующий reg-файл: usbwriteprotect.reg (чтобы отменить запрет записи на USB-накопители скачайте и запустите другой reg-файл: usbwriteunprotect.reg ).

Также защитить USB-накопитель от записи можно вручную внеся изменения в реестр Windows: Заходим в Пуск → Выполнить → Regedit.exe и нажать OK. Далее переходим в раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control, кликните правой клавишей мыши по свободному пространству, в появившемся контекстном меню щелкните по "Создать → Раздел" и задайте подключу имя StorageDevicePolicies . Теперь в правой верхней части установите параметр DWORD (32 Bit) с именем "WriteProtect" . Следом определите для него значение "1", кликнув по ярлыку два раза. После перезагрузки компьютера запись информации на USB-накопитель будет невозможна. При попытке копирования файлов на USB-носитель компьютер выдаст сообщение об ошибке. Чтобы избавиться от защиты записи на USB-носители нужно изменить значение параметра WriteProtect с "1" на "0". Недостатком данного метода является то обстоятельство, что данный метод поможет только защитить флешку от записи , но она все-таки подключается и с нее возможен запуск программ и чтение файлов, а значит и исполнение вредоносного кода, ведь запрещена только запись на нее.

Заблокировать usb порты можно также с помощью внесения изменений в системный реестр Windows. Для этого, как и в предыдущем случае, используем либо reg-файлы, либо вносим изменения вручную. Чтобы заблокировать usb порты , скачиваем и запускаем файл: usbstoragelock.reg, а для отмены изменений - файл usbstorageunlock.reg. Для внесения изменений в реестр вручную для того, чтобы заблокировать usb порты, снова заходим в Пуск → Выполнить → Regedit.exe, нажимаем OK. Далее переходим в раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor, находим DWORD параметр "Start" и изменяем установленное значение "3" на "4". При данном методе хоть флешка и определяется системой, но не подключается, а значит, на нее невозможно ничего записать и исполнение какой-либо программы также невозможно.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ControlStorageDevicePolicies]
"WriteProtect"=dword:00000001
      

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ControlStorageDevicePolicies]
"WriteProtect"=dword:00000001
      

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetServices\USBSTOR]
"Start"=dword:00000004
      

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetServices\USBSTOR]
"Start"=dword:00000003
      

В некоторых источниках в сети встречаются сообщения, что после применения данного метода, якобы, usb-принтер также станет недоступен. Проверено - это не так, принтер работает в нормальном режиме. Причем откат изменений, путем возврата значения "3", происходит в Windows XP даже без перезагрузки. Отсоединили флешку, изменили значение на значение по умолчанию (3) и вновь присоединенная флешка появляется в проводнике как обычно.

Заблокировать usb порты можно также с помощью простой программки для блокировки usb портов, которая называется "USB Port Locked". Интерфейс программы прост и понятен: программа работает без установки, запускаем, нажимаем "Lock USB Port" - порты заблокированы, нажимаем "Un-Lock USB Port" - флешка снова доступна.

Скачать программу "USB Port Locked".

По сведениям из сети, что нами не проверялось, программа не работает в 64-битных версиях.

Существует еще одна, аналогичная по назначению, программа для блокировки usb портов - USB Port Blocker. Эта программа очень похожа на предыдущую по простоте интерфейса и механизму блокирования usb-устройств - используется запрет на запуск драйвера запоминающих устройств для USB посредством изменений в реестре. Программа тоже работает без инсталляции. Главным отличием программы USB Port Blocker является наличие функции защиты паролем. Чтобы заблокировать или разблокировать usb порты необходимо ввести пароль.

Скачать программу "USB Port Blocker".

Есть у этой программы и недостаток - отсутствие функции восстановления (удаления) пароля. Если вы, к примеру, забудете пароль, то средствами программы его восстановить не удастся. Но, слава богу, автор не стал шифровать пароль и прятать его в недрах реестра. Он в открытом виде хранится в ветке программы в реестре. Иначе проще было бы разблокировать порты, используя вышеописанные методы, нежели выискивать место хранения пароля этой программы. В архив с программой мы вложили reg-файл password-remover.reg , который удаляет в реестре запись со старым паролем. Теперь эту программу вполне можно использовать, например на работе. Часто ведь бывает ситуация, когда сослуживцы норовят подключить свою флешку к вашему ПК - теперь, без вашего желания, подобное исключено. А забудете пароль, запустите прилагаемый reg-файл, установите новый пароль и пользуйтесь программой в обычном режиме. Разумеется, данная программа не предназначена для защиты от злоумышленников, а вот от всяких не прошенных гостей - да, у них ведь не будет ни времени, ни желания разбираться в том, почему не работает флешка. На рисунке ниже показано окно программы, после удаления старого пароля, с приглашением ввода нового пароля.

Альтернатива

Все это прекрасно, но не очень удобно. Можно, конечно, выключить USB порты и в BIOS, и в диспетчере устройств, и забыть об этих портах навсегда. Ну а как быть со своими флешками? Да и в подзаголовке этой статьи мы что-то говорили об альтернативе. Такая альтернатива существует - совсем необязательно отключать USB порты навсегда. Достаточно скачать и установить программу "USB Security", которая блокирует только неразрешенные USB устройства. Программа USB Security выгододно отличается от своих бесплатных аналогов своим удобством использования, функциональными возможностями и администраторскими функциями. Программа USB Security позволяет использовать белый список устройств для принтеров, клавиатуры и мыши, а также воспользоваться паролем для полключения неизвестных устройств. К сожалению, программа не бесплатная, но стоит всего от 250 до 500руб., а можно и бесплатно скачать пробную версию программы USB Security и, в течение пробного периода, оценить все достоинства и недостатки программы, а только потом купить программу USB Security .

 Особенности программы USB Security:
• Блокирует неразрешенные USB устройства всех типов.
• Предотвращает кражу данных и заражение вирусами через USB-носители.
• Белый список позволяет использование таких устройств, как принтеры, клавиатуры и мыши.
• Опциональная защита паролем позволяет пользоваться устройствами USB после введения правильного пароля.
• Невидимый режим работы, пользователь не увидит следов программы.

Посмотреть подробную информацию, скачать и установить программу USB Security можно на странице USB Security (StopUSB - Блокировка USB).