Предотвращение использования USB-устройств хранения данных
Описание проблемы
Допустим, что необходимо предотвратить подключение к USB-устройству хранения данных, которое подключено к компьютеру под управлением Windows XP, Windows Server 2003 или Windows 2000. В данной статье описаны соответствующие два метода.
Способ
Чтобы предотвратить использование USB-устройств хранения данных пользователями, используйте одну из следующих процедур, соответствующих вашей ситуации, или несколько.
USB-устройство хранения данных еще не установлено на компьютере
Если USB-устройство хранения данных еще не установлено на компьютере, назначьте разрешения Запретить для пользователя или группы и локальной учетной записи SYSTEM в следующих файлах:
После этого пользователи не смогут установить USB-устройство хранения данных в компьютер. Чтобы назначить пользователю или группе запрещающие разрешения на файлы Usbstor.pnf и Usbstor.inf, выполните следующие действия.
Запустите проводник Windows и найдите папку %SystemRoot%\Inf.
Щелкните правой кнопкой мыши файл Usbstor.pnf и выберите пункт Свойства.
Откройте вкладку Безопасность.
В списке Группы или пользователи добавьте пользователя или группу, для которых необходимо установить разрешения Запретить.
В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив пункта Полный доступ.
Примечание. Также добавьте в список Запретить учетную запись System.
В списке Группы или пользователи выберите учетную запись SYSTEM.
В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив пункта Полный доступ и нажмите кнопку ОК.
Щелкните правой кнопкой мыши файл Usbstor.inf и выберите пункт Свойства.
Откройте вкладку Безопасность.
В списке Группы или пользователи добавьте пользователя или группу, для которых необходимо установить разрешения Запретить.
В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив пункта Полный доступ.
В списке Группы или пользователи выберите учетную запись SYSTEM.
В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив пункта Полный доступ и нажмите кнопку ОК.
Если USB-устройство хранения данных уже подключено к компьютеру
Если USB-устройство хранения данных уже подключено к компьютеру, можно изменить реестр, чтобы оно не работало, когда пользователь подключается к компьютеру.
РешениеВнимание! В этом разделе, описании метода или задачи содержатся сведения о внесении изменений в реестр. Но его неправильное изменение может привести к возникновению серьезных проблем. Поэтому такие действия необходимо выполнять с осторожностью. В качестве дополнительной защитной меры перед изменением реестра необходимо создать его архивную копию. Это позволит восстановить реестр при возникновении неполадок. Дополнительные сведения об архивации и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
322756 Как создать резервную копию и восстановить реестр в Windows Если USB-устройство хранения данных уже установлено на компьютере, присвойте параметру Start значение 4 в следующем разделе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor После этого USB-устройства хранения данных не будут работать при подключении к компьютеру. Чтобы изменить значение параметра Start, выполните следующие действия.
Нажмите кнопку Пуск и выберите пункт Выполнить.
В поле Открыть введите команду regedit и нажмите кнопку ОК.
Найдите и выделите следующий раздел реестра:
Дважды щелкните в области сведений параметр Start.
В поле Значение введите 4, выберите Шестнадцатеричная (если этот вариант не выбран) и нажмите кнопку OK.
Закройте редактор реестра.
Проблема устранена?
Проверьте, устранена ли проблема. Если это так, пропустите дальнейшие сведения, приведенные в статье. Если нет, обратитесь в службу технической поддержки.
Дополнительные сведения
Для получения сведений о наличии новых драйверов обратитесь к поставщику USB-устройства. Сведения об изготовителях оборудования см. на веб-сайте корпорации Майкрософт по следующему адресу:
Devicehackflags в реестре что это
Вопрос
Windows 10 Pro x60
The DeviceHackFlags entry is used to control how a specific USB drive is handled by the operating system. By scanning the web I can find mentions of some of the flags but not all of them. Where is DeviceHackFlags defined?
Все ответы
I haven’t fond such document to identify DeviceHackFlags, but from the reply of Jim Bovee, still can learn something more.
DeviceHackFlags under usbstor is an entry that can be modified to maximum transfer length. However, if some device can’t support such transfer length, it will crash, so it will have a default value.
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
I find it in creditable that Microsoft refuses to fully identify the flags that make up DeviceHacksFlags forcing users to rely on some internal information and a lot more from, hopefully, informed websites.
Why is Microsoft hiding this information? Is it because it truly doesn’t know what all of the flags do?
Excuse me, there are so many entries in registry, do you think Microsoft should identify all of them one by one?
Too much deeply identify these registry entries may cause security issue, since some of them are depended on hard coding.
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
One of the big problems in not having the various bits defined is that when you research a problem the answer is always a hex number with one bit set. However, replacing what you currently have (which may have other bits set) with the single bit value could cause major problems. So you at least need to know what the bits you are turning off mean.
Microsoft Surface tablet
After upgraded from Windows 8 to Windows 8.1 Pro, my SeaGate Expansion 2TB hard drive always runs to sleep mode automatically and then disappears if no file transfers occur. when I try to access its stored files, the File Explorer will be unresponsive. Changing the power options is not working.
In Windows 8.1 the external USB hard drives and USB flash drives are configured with a low power state by default. That casues USB massstorage devices auto-sleep or file transfers stop unexpectedly. You could change the hardware ID of USB storage device in the registry to resolve the problem.
* Updated to the latest firmware for the device to check if it is fine.
* From Start screen, open the Search charm, type regedit, right-click the regedit icon from result, and select “Run as administrator“.
* In the left pane of Registry Editor, navigate to the key:
* Right-click the “usbstor” and create a key with the following key name:
| The devices are impacted by selective suspend | The relate vid and pid strings for typing |
| raidsonic icybox ib3221stu-b external case (jmicron 20336 controller) | 152d2336 |
| adata dashdrive elite nh03 3.5″ external hdd superspeed usb 3.0 2tb | 125fa03a |
| adata hd710 1tb usb 3.0 external hdd | 125fa15a |
| 09840315 | |
| buffalo external hdd 500gb | 04110105 |
| cavalry dual bay dock | 152d2352 |
| diskgenie usb device | 09840092 |
| hitachi touro 3.0 4tb usb 3.0 | 49711015 |
| kingston datatraveler hyperx 3.0 usb device 256gb (dthx30/256gb) | 0951162b |
| lacie 2tb usb drive | 059f1018 |
| mediasonic h82-su3s2 probox | 152d0539 |
| multi-drive enclosure connected | 15200551 |
| seagate expansion 2tb | 0bc23320 |
| seagate expansion desk 3tb | 0bc23312 |
| seagate fa goflex desk 2tb | 0bc25071 |
| verbatim store ‘n’ save superspeed 3tb | 18a50400 |
| western digital elements desktop 2tb | 10581021 |
| western digital my book 2to | 10581140 |
* Now right-click the new key, create a DWORD entry named DeviceHackFlags with 400 hexadecimal value.
* Make a reconnection for the device.
SlaSoft
Политика безопасности предприятия может требовать ограничений по использованию usb-устройств.
Копание в Интернете и чтение различных форумов привело к такому сборнику советов.
Запретить все usb-устройства.
Например, если принтер подключен к какому-либо концентратору, то его можно не отключать.
примечание 1. Диспетчер устройств можно запустить из командной строки start devmgmt.msc.
примечание 2. Интересное свойство диспетчера устройств из консоли выполнить две команды:
Тогда в Диспетчере устройств отобразятся скрытые устройства.
Быстрый и простой способ
Остановка службы Съемные ЗУ.
Здесь есть некие подводные камни, например, запрет на использование группе USER. Но администратор может входить в группу USER.
примечание. Запустить службу можно из командной строки
net start «Съемные ЗУ»
USB-устройство еще ни разу не подключалось к компьютеру.
Только-только установленная система.
Запрещаем доступ к этим файлам, кроме группы администраторов или конкретного пользователя.
Более подробно это описано у Microsoft
Запрет записи на USB-устройство
Зачем запрещать USB совсем, когда можно запретить только запись?
Параметр WriteProtect, скорей всего его нет. Тогда его нужно создать с типом dword и присвоить значение 1.
Сохранить приведенный код в файл с расширением adm.
Запустить редактор групповых политик (gpedit.msc)
Замечу, что в этой политике, также задействованы и другие устройства (CD-ROM, НГМД).
Принцип основан на изменении параметра start на значение 4. Эта политика отработает после перезагрузки компьютера.
Еще один из вариантов для групповой политики.
Это способ как организовать выборочное использование usb накопителей. Поэтому приведу здесь только краткое описание.
Как отключить проверку подлинности Windows (WGA)
Но не всё потеряно, можно вернуть, так сказать «былую девственность» вашей Винде ( заодно и избежать ответственность microsoft ). За отображение ( активацию ) этой чудо-таблички с уведомлением о том, что Windows не прошёл проверку на подлинность — отвечают два файла: WgaTray.exe (329 КБ) и WgaLogon.dll (231 КБ). Оба расположены в «сердце» Windows XP – C:\WINDOWS\system32\WgaTray.exe постоянно «висит» в памяти, и, если его отключать через Диспетчер задач, он запускается заново.
Есть несколько методов решения этой проблемы (в том числе переименование/удаление WgaTray.exe и WgaLogon.dll, а также установка всевозможных патчей), но самый простой – это слегка подредактировать Реестр Windows.
Для этого нужно запустить Редактор реестра: Пуск – Выполнить… – Запуск программы – regedit – OK. Запустится Редактор реестра, в котором нужно найти и удалить раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon
Если вы испытываете затруднения с ручным редактированием Реестра (или вам просто некогда/лень разбираться с этим), скачайте и разархивируйте файл wga.rar, щелкните файл wga.reg одиночным (или двойным – в зависимости от настроек вашей операционной системы) щелчком. Появится диалоговое окно Редактора реестра «Вы действительно хотите добавить информацию из wga.reg в реестр?» – нажмите Да. Появится диалоговое окно Редактора реестра с сообщением, что данные из файла wga.reg были успешно внесены в реестр – нажмите OK.
После перезагрузки операционной системы сообщение о обнаруженной нелицензионности версии Windows — да не потревожит больше вашу чистую, незапятнанную пиратством совесть!
Примечание
При установке обновления Windows XP Genuine Advantage Notification на локальный компьютер копируются следующие файлы:
– Windows XP Genuine Advantage Validation – C:\WINDOWS\system32\LegitCheckControl.dll (1,41 МБ);
– Уведомление о результатах проверки подлинности Windows – C:\WINDOWS\system32\WgaLogon.dll (231 КБ);
– Уведомления о проверке подлинности Windows – C:\WINDOWS\system32\WgaTray.exe (329 КБ).
При этом в системном кэше DLL создаются копии файлов:
– C:\WINDOWS\system32\DllCache\WgaLogon
– C:\WINDOWS\system32\DllCache\WgaTray
Хотя вышеуказанного редактирования Реестра вполне достаточно для устранения сообщения о поддельности копии (как в SP3, так и SP2), после перезагрузки ПК лучше удалить и эти файлы.
Так же предпочтительнее будет отключить обновление о KB905474 (Понель Пуск, около часиков — желтый значёк.
Если у вас что-то не получилось, что можно использвать этот алгоритм действий:
При обновлении через встроенную опцию Microsoft Update у вас будет в первых рядах надпись, что вы запретили к установке ВАЖНЕЙШИЕ обновления и будет предложено снова вернуть их и инсталлировать.
НИЧЕГО КРИТИЧЕСКОГО КРОМЕ KB905474 ТАМ НЕТУ! Любые обновления можно слить руками с даунлоад-центра MS.
И самое интересное: Валидацию для слива обновлений проходят даже забаненные MS корпоративные ключи!
Одним словом: можно не переустанавливать Windows — просто не ставьте апдейт 905474!
