How to disable removable media (including USB) on Windows 7 and Windows XP
Subiectul din titlu e e foarte usor de realizat pe sistemele de operare de la Vista in sus folosind Group Policy si setarile din categoria Removable Storage Access:
De exemplu setand All Removable Storage classes: Deny all access pe Enabled obtinem restrictionarea device-urilor din categoria removable (inclusiv device-uri USB).
Faza e ca setarile de mai sus nu se aplica pe masinile cu Windows XP. Restrictionarea pe XP se face in cateva moduri insa nici unul nu e bulletproof si sincer as recomanda un soft third party in locul solutiilor de mai jos. Dar cum de multe ori trebuie sa ne descurcam cu ce avem iata care sunt variantele:
1. Restrictionarea accesului la driverul USBSTOR (impiedica instalarea device-ului).
Intregul procedeu este descris aici: http://support.microsoft.com/kb/823732.
Tot acolo gasiti si varianta prin care restrictionati accesul dupa ce device-ul a fost instalat. Si anume setand
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor\Start pe valoarea 4 (default 3).
Chestia e ca varianta asta se refera numai USB.
2. Importarea ADM-ului descris in KB555324 intr-un GPO si aplicarea lui pe computer account-uri.
In mare ADM-ul contine setari de registriu ce dezactiveaza USB/CD/FDD inclusiv setarea de la punctul 1. Tot in GPO pot fi adaugate si permisiunile pe Usbstor.inf.
3. Si mai exista si varianta cu Group Policy Preferences (GPP) in care puteti dezactiva anumite device-uri folosind Device Class.
Functioneaza bine pentru CD/DVD si FDD. Problema e ca daca userul e administrator pe computerul respectiv va putea reactiva device-urile.
4. Get rid of Windows XP! Treceti pe Windows 7 pentru ca XP-ul e deja un produs end of life.
Comment from Ed
Time December 20, 2012 at 1:37 pm
:).Sunt cel putin trei update-uri afectate de politica asta. Nu se vor instala decat dupa ce refaci drepturile pentru utilizatorul System pe fisierele respective.