Как настроить Group Policy для блокировки USB-устройств в Windows

Вы пришли к этому, потому что кто то из сотрудников приносит флешку, подключает её к рабочему компьютеру, а через неделю весь отдел ловит шифровальщик. Или бухгалтер сливает базу на накопитель. Или просто нужно навести порядок, чтобы люди не тыкали в компьютеры всё подряд. Задача конкретная: запретить запуск USB-устройств через групповые политики, причём так, чтобы это не развалилось на второй день и не сломало нормальную работу.

Разберёмся, как это сделать правильно, какие есть варианты и где подводные камни.

Где вообще живёт эта настройка

Все параметры, связанные с USB-накопителями, находятся в одном разделе редактора групповых политик:

Конфигурация компьютера → Административные шаблоны → Система → Доступ к съёмным носителям

Это ваша главная точка входа. Никаких реестров, скриптов и костылей — всё решается через этот узел. Открываете редактор (gpedit.msc на локальной машине или через управление групповыми политиками на контроллере домена), доходите до этого раздела и видите список параметров для каждого типа носителей: CD/DVD, флешки, дискеты и так далее.

Три уровня запрета — выбирайте под свою задачу

Когда вы открываете любой параметр в этом разделе, вам предлагаются три состояния:

  • Не задано — система работает по умолчанию, то есть устройства разрешены. Это заводское состояние.
  • Включено — запрет активен. Пользователь не сможет читать, писать или запускать что либо с этого типа носителя.
  • Отключено — вы явно снимаете любые ограничения, наложенные политикой. Полезно, когда нужно переопределить настройку, унаследованную от вышестоящей политики.

Не путайте «Не задано» и «Отключено». Первое — это нейтральная позиция, второе — активное разрешение. Это разные вещи, и путаница между ними — причина половины проблем с наследованием политик.

Пошаговая настройка: запрещаем запуск съёмных носителей

Допустим, вам нужно запретить именно запуск программ и автоисполнение с USB-флешек. Это самый частый сценарий — люди не могут ничего слить, но главное, чтобы с флешки ничего не запустилось автоматически.

  1. Откройте редактор групповых политик. На рабочей станции — gpedit.msc. В домене — откройте консоль GPMC, найдите нужную GPO и редактируйте её.
  2. Перейдите в раздел Конфигурация компьютера → Административные шаблоны → Система → Доступ к съёмным носителям.
  3. Найдите параметр «Запретить чтение со съёмных дисков» и включите его. После этого пользователь не сможет открыть файлы на флешке — система выдаст ошибку доступа.
  4. Найдите параметр «Запретить запись на съёмные диски» и тоже включите. Теперь нельзя записать что либо на флешку — ни базу, ни отчёт, ни фото.
  5. Найдите параметр «Запретить выполнение со съёмных дисков» и включите. Это заблокирует запуск любых исполняемых файлов с USB-накопителя.
  6. Привяжите политику к нужному подразделению (OU) в домене или примените локально.
  7. Выполните gpupdate /force на целевых машинах или дождитесь автоматического обновления (обычно происходит каждые 90–120 минут).

После применения политики пользователь при попытке открыть флешку увидит сообщение «Доступ запрещён» или «Место назначения недоступно». Это нормально — всё работает.

Что блокировать: таблица параметров

Вот конкретный список параметров в этом разделе и что они делают, чтобы вы не гадали:

Параметр Что делает Когда включать
Запретить чтение со съёмных дисков Пользователь не может читать файлы с USB-накопителей Хотите запретить просмотр содержимого флешек
Запретить запись на съёмные диски Пользователь не может записывать файлы на USB-накопители Хотите предотвратить вынос данных
Запретить выполнение со съёмных дисков Нельзя запускать программы с USB-накопителей Хотите защититься от запуска вредоносного ПО с флешек
Запретить чтение с дискет Блокирует чтение дискет Если ещё используете дискеты (редко, но бывает)
Запретить запись на дискеты Блокирует запись на дискеты Аналогично предыдущему
Запретить чтение с устройств типа CD/DVD Блокирует чтение оптических дисков Если CD/DVD приводы не нужны
Запретить запись на устройства типа CD/DVD Блокирует запись на оптические диски Хотите запретить запись на болванки
Запретить выполнение с устройств типа CD/DVD Блокирует запуск программ с CD/DVD Защита от автозапуска с дисков

Обратите внимание: параметры для съёмных дисков (флешки) и для CD/DVD — это разные строки. Если вам нужно запретить и то, и другое, включайте оба набора.

Сценарии: что делать в зависимости от вашей ситуации

Ситуация 1: Нужно запретить всё подряд

Включите все три параметра для съёмных дисков: запрет чтения, записи и выполнения. Это жёсткий вариант, при котором флешка превращается в бесполезный кусок пластика. Подходит для компьютеров в публичных зонах, на производственных стойках, в бухгалтериях с повышенными требованиями к конфиденциальности.

Ситуация 2: Нужно разрешить чтение, но запретить запись

Включите только «Запретить запись на съёмные диски». Пользователи могут открыть флешку, посмотреть файлы, скопировать что то на компьютер, но не могут записать ничего обратно. Это компромисс: люди могут принести документ с флешки и работать с ним, но не могут унести базу обратно. Хорошо подходит для отделов, где сотрудники приносят материалы с внешних носителей.

Ситуация 3: Нужно запретить только запуск, но разрешить чтение и запись

Включите только «Запретить выполнение со съёмных дисков». Пользователи могут копировать файлы туда и сюда, но не могут запустить программу или скрипт с флешки. Это защищает от большинства вирусов, которые полагаются на автозапуск или запуск исполняемых файлов, но не мешает нормальной работе с документами.

Ситуация 4: Нужно сделать исключение для определённых пользователей

Групповые политики применяются к компьютеру или пользователю целиком — встроенного механизма для исключений по конкретным флешкам здесь нет. Но есть обходные пути:

  • Создайте отдельное подразделение (OU) в Active Directory для пользователей, которым нужен доступ, и не применяйте к нему эту политику.
  • Используйте фильтры WMI, чтобы политика не применялась к определённым компьютерам.
  • Для точечного разрешения конкретных USB-устройств по серийному номеру используйте параметры в разделе Установка устройств → Ограничения установки устройств — это уже другой уровень управления.

Частые ошибки, которые всё ломают

Ошибка 1: Политика применяется, но не работает. Самая частая причина — пользователь уже вошёл в систему до применения политики. Политика доступа к съёмным носителям применяется при входе в систему. Если человек включил компьютер, а потом вы применили политику, он должен перезайти. Не достаточно просто gpupdate — нужен выход и повторный вход.

Ошибка 2: Политика применяется к пользователю, а нужно к компьютеру. Параметры в разделе «Доступ к съёмным носителям» находятся в ветке «Конфигурация компьютера». Если вы случайно настроили их в «Конфигурация пользователя» — там этих параметров нет, вы их не найдёте. Проверьте, в какой ветке вы работаете.

Ошибка 3: Конфликт с другими политиками. Если у вас несколько GPO, привязанных к одному подразделению, и они противоречат друг другу, может возникнуть путаница. Помните: «Отключено» в одной политике может переопределить «Включено» в другой, в зависимости от порядка применения. Проверяйте результирующую политику через gpresult /r или RSOP.

Ошибка 4: Забыли про наследование. Если политика применяется на уровне домена, а на уровне OU она отключена, результат может быть неожиданным. Проверьте порядок наследования и убедитесь, что нет конфликтующих GPO.

Ошибка 5: Блокируете USB, но забыли про Bluetooth и облака. Если ваша цель — предотвратить утечку данных, блокировка USB не поможет, если пользователь может отправить файл через мессенджер, загрузить в облако или передать по Bluetooth. USB-блокировка — это только один уровень защиты, а не серебряная пуля.

Как проверить, что политика сработала

Не надейтесь на «должно работать». Проверьте:

  1. Выполните gpresult /h report.html на целевом компьютере. Откройте отчёт и убедитесь, что ваша политика присутствует в списке применённых.
  2. Вставьте флешку и попробуйте открыть её. Должна быть ошибка доступа, если вы запретили чтение.
  3. Попробуйте скопировать файл на флешку. Должна быть ошибка, если вы запретили запись.
  4. Попробуйте запустить программу с флешки. Должна быть ошибка, если вы запретили выполнение.
  5. Проверьте на нескольких компьютерах и для нескольких пользователей — политики иногда применяются по разному в зависимости от контекста.

Что ещё стоит сделать параллельно

Блокировка USB через Group Policy — это хорошо, но если вы всерьёз подходите к защите данных, добавьте ещё несколько мер:

  • Настройте аудит. Включите аудит доступа к съёмным носителям через политики аудита. Вы будете видеть, кто и когда пытался использовать флешку, даже если доступ заблокирован.
  • Используйте BitLocker To Go. Если вам нужно разрешить USB, но защитить данные, настройте обязательное шифрование съёмных носителей. Пользователь сможет использовать флешку, но только зашифрованную.
  • Ограничьте установку устройств. В разделе Конфигурация компьютера → Административные шаблоны → Система → Установка устройств → Ограничения установки устройств можно запретить установку новых устройств по классу или по конкретному идентификатору. Это более тонкий инструмент, который позволяет запретить конкретные модели флешек, не трогая остальные.
  • Обучите сотрудников. Политика не работает, если люди не понимают, зачем она нужна. Объясните, что это не каприз администратора, а защита от вирусов и утечек.

Итог: что делать прямо сейчас

Если у вас есть домен на базе Active Directory и нужно быстро заблокировать USB:

  1. Откройте консоль управления групповыми политиками на контроллере домена.
  2. Создайте новую GPO или отредактируйте существующую, привязанную к нужному подразделению.
  3. Перейдите в Конфигурация компьютера → Административные шаблоны → Система → Доступ к съёмным носителям.
  4. Включите нужные параметры — запрет чтения, записи и/или выполнения — в зависимости от вашей задачи.
  5. Попросите пользователей перезайти в систему или выполните gpupdate /force и перезагрузку.
  6. Проверьте на нескольких машинах, что политика применилась и работает.

Если у вас рабочая группа (нет домена) — всё то же самое, но через локальный редактор политик gpedit.msc на каждой машине. Это неудобно, поэтому для более чем пяти компьютеров есть смысл разворачивать домен — иначе управление политиками превратится в рутину.

Главное правило: не блокируйте всё сразу бездумно. Определите, чего вы хотите достичь — защита от вирусов, предотвращение утечек, контроль принтеров — и выбирайте конкретные параметры под эту задачу. И всегда проверяйте, что политика реально сработала, а не просто «настроена».

Оцените статью
PEFile — Безопасность и технологии простым языком