Как настроить Group Policy для ограничения USB-устройств без лишней головной боли

Автор На чтение 11 мин Просмотров 1 Опубликовано

Если коротко: через Group Policy USB лучше не запрещать «всё и сразу», а сначала понять, какие устройства действительно нужны бизнесу, затем разрешить только их, а всё остальное закрыть. Так вы не получите десяток звонков от бухгалтерии, склада или руководителей, у которых внезапно перестали работать мыши, клавиатуры, токены ЭЦП или рабочие флешки.

Чаще всего задачу ставят просто: «запретить флешки». Но на практике это почти всегда означает не только флешки. Нужно решить, что именно ограничиваем: доступ к данным, установку новых USB-устройств, запуск программ с носителей или всё сразу. В Active Directory это обычно делается через политики группы в разделе Computer Configuration, потому что нас интересует поведение компьютера, а не конкретного пользователя.

Содержание
  1. Сначала определите, что именно нужно ограничить
  2. Где создавать политику: локально или через домен
  3. Простой запрет флешек через Removable Storage Access
  4. Блокировка установки USB-устройств через Device Installation Restrictions
  5. Как собрать список разрешённых USB-устройств
  6. Что выбрать в зависимости от ситуации
  7. Если нужно запретить именно запуск программ с USB
  8. Порядок внедрения, который обычно не ломает работу
  9. Частые ошибки при настройке Group Policy для USB
  10. Как лучше сделать на практике
  11. Как проверить, что политика сработала
  12. Итог: с чего начать

Сначала определите, что именно нужно ограничить

Перед настройкой Group Policy разведите три разные задачи.

  • Запретить запись на флешки — данные можно читать, но скопировать с рабочего компьютера нельзя.
  • Запретить доступ к USB-накопителям полностью — флешка может быть видна, но открыть её не получится.
  • Запретить установку USB-устройств — система не будет ставить драйверы для новых устройств. Уже установленные могут продолжить работать, если не применить политику к ним отдельно.

Это разные уровни защиты. Например, если цель — не дать сотруднику вынести базу клиентов на флешку, достаточно запретить запись. Если цель — не дать подключить телефон, внешний диск или неизвестный адаптер, нужны политики установки устройств. Если нужно запретить запуск программ с флешки, одной блокировки USB-накопителя может быть мало: лучше использовать AppLocker или Software Restriction Policies.

Что нужно получить Какой раздел GPO использовать Что получится на практике Риск
Запретить копирование файлов на флешку Removable Storage Access Чтение разрешено, запись запрещена Сотрудник всё равно может читать данные с носителя
Полностью закрыть доступ к флешкам и внешним дискам Removable Storage Access Носитель не откроется через Проводник Можно случайно заблокировать нужные съёмные диски
Запретить подключение новых USB-устройств Device Installation Restrictions Система не установит новое устройство Можно сломать работу принтеров, сканеров, токенов, док-станций
Разрешить только одобренные USB-устройства Device Installation Restrictions + Device IDs Работают только устройства из белого списка Нужно заранее собрать список моделей и протестировать
Запретить запуск программ с флешки AppLocker или Software Restriction Policies exe, скрипты или установщики не запустятся с removable-носителя Нужно отдельно учитывать сценарии обновлений и служебного ПО

Где создавать политику: локально или через домен

Если компьютер один-два, можно настроить локальную групповую политику через gpedit.msc. Но в организации с доменом лучше делать это централизованно: создать отдельную GPO и привязать её к нужному подразделению в Active Directory.

Не советую вешать запрет USB на доменную политику уровня всего леса или всех компьютеров сразу. Обычно нормальная схема такая:

  1. Создать тестовое подразделение или тестовую группу компьютеров.
  2. Настроить политику в режиме аудита или мягкого запрета.
  3. Проверить на рабочих местах разных типов: офисные ПК, ноутбуки, терминальные серверы, рабочие места с ЭЦП, оборудованием и специализированным ПО.
  4. Добавить исключения.
  5. Перенести GPO на нужные подразделения.
  6. Оставить отдельную аварийную группу или политику с отключенными ограничениями для быстрого отката.

Для политик на уровне компьютера обычно используется путь: Computer Configuration → Administrative Templates. Пользовательские политики здесь менее надёжны: пользователь может зайти с другого ПК, где настройки не применены, или использовать локальный способ обхода, если политика настроена не там.

Простой запрет флешек через Removable Storage Access

Если задача именно в ограничении доступа к съёмным носителям, начинайте с раздела:

Computer Configuration → Administrative Templates → System → Removable Storage Access

Здесь есть несколько понятных настроек. Самые полезные на практике:

  • Removable Disks: Deny read access — запретить чтение с флешек.
  • Removable Disks: Deny write access — запретить запись на флешки.
  • All Removable Storage classes: Deny all access — запретить доступ ко всем съёмным классам хранения.
  • CD and DVDs: Deny read/write access — отдельно ограничить оптические диски, если они ещё актуальны.

Для большинства компаний самый безопасный первый шаг — включить Deny write access для Removable Disks. Это не ломает работу с уже установленными флешками, не мешает использовать мыши, клавиатуры, принтеры и токены, но закрывает основной риск: вынос данных на внешний носитель.

Если включить All Removable Storage classes: Deny all access, эффект будет жёстче. Но здесь нужно быть аккуратнее: можно затронуть не только USB-флешки, но и другие классы съёмных носителей. Поэтому перед применением обязательно проверьте, какие устройства реально используются в подразделении.

Блокировка установки USB-устройств через Device Installation Restrictions

Политики доступа к носителям не всегда решают задачу полностью. Они могут запретить открыть флешку, но не всегда мешают подключению устройства как такового. Если нужно именно не дать подключать новые USB-девайсы, смотрите другой раздел:

Computer Configuration → Administrative Templates → System → Device Installation → Device Installation Restrictions

Здесь находятся политики, которые управляют установкой устройств. Основные:

  • Prevent installation of removable devices — запретить установку съёмных устройств.
  • Prevent installation of devices not described by other policy settings — запретить всё, что явно не разрешено.
  • Allow installation of devices that match any of these device IDs — разрешить устройства по идентификаторам.
  • Prevent installation of devices that match any of these device IDs — запретить конкретные устройства.
  • Apply these policies to matching devices that are already installed — применить правила к уже установленным устройствам.

Самая опасная настройка для быстрого включения — Prevent installation of devices not described by other policy settings. Она работает как белый список: всё, что вы заранее не разрешили, система не установит. Звучит красиво, но на практике без подготовки может остановить работу токенов ЭЦП, сканеров штрихкодов, USB-принтеров, док-станций ноутбуков, смарт-карт и другого оборудования.

Поэтому мой обычный порядок такой: сначала собрать список нужных устройств, затем разрешить их по ID, и только после тестов включать запрет «всего, что не разрешено».

Как собрать список разрешённых USB-устройств

Не пытайтесь угадать список устройств заранее. На рабочем месте откройте сведения об устройстве и найдите его идентификаторы. Удобно делать это через диспетчер устройств.

  1. Откройте Device Manager.
  2. Найдите нужное устройство: например, токен, сканер, USB-принтер или корпоративную флешку.
  3. Откройте свойства устройства.
  4. Перейдите на вкладку Details.
  5. В списке свойств выберите Hardware Ids или Compatible IDs.
  6. Скопируйте нужные значения в таблицу исключений.
  7. Проверьте политику на тестовом компьютере.

Для политики обычно лучше использовать Hardware Ids, потому что они точнее описывают конкретное устройство. Compatible IDs шире: они могут разрешить целый класс похожих устройств. Это удобно, если в компании много одинаковых моделей, но опасно, если вы хотите разрешить только конкретный токен или конкретную флешку.

Пример логики:

  • Если нужно разрешить только корпоративные токены одной модели — используйте Hardware Ids конкретной модели.
  • Если в компании десятки одинаковых USB-сканеров — можно разрешить Compatible IDs этой модели.
  • Если нужно запретить только флешки, но оставить клавиатуры и мыши — не используйте грубый запрет всех removable devices без исключений.

Что выбрать в зависимости от ситуации

Единого правильного варианта нет. Настройка зависит от того, что вы защищаете и насколько жёстко готовы ограничивать пользователей.

Ситуация Что сделать Почему так лучше
Нужно просто снизить риск утечки файлов Включить Removable Disks: Deny write access Пользователь не скопирует данные на флешку, но рабочие USB-устройства не пострадают
Флешки вообще не должны использоваться Включить запрет доступа к Removable Disks, затем проверить исключения Носитель будет недоступен для чтения и записи
Нужно запретить новые USB-устройства Использовать Device Installation Restrictions с белым списком Система не будет устанавливать неизвестные устройства
Есть ЭЦП, смарт-карты, токены, сканеры Сначала добавить их ID в исключения Иначе пользователи потеряют доступ к рабочим инструментам
Нужно запретить запуск программ с флешки Добавить правило в AppLocker или Software Restriction Policies Блокировка накопителя не всегда равна запрету запуска исполняемых файлов
Есть терминальные серверы Отдельно проверить перенаправление USB и политики сессий Пользователь может подключать устройства к клиенту, а работать с ними внутри сессии

Если нужно запретить именно запуск программ с USB

Иногда под «запретить запуск USB» имеют в виду не подключение флешки, а невозможность запустить с неё программу. Например, portable-утилиты, установщики, скрипты или вредоносные exe-файлы.

Для этого лучше использовать:

  • Software Restriction Policies — старый, но рабочий вариант.
  • AppLocker — более гибкий инструмент, доступный в старших редакциях Windows и через доменные политики.

Типовой сценарий: разрешить запуск программ только из Program Files, Windows и утверждённых корпоративных папок, а запуск из пользовательских профилей, Temp и съёмных носителей запретить. Но здесь тоже нельзя действовать вслепую: если бухгалтерия или производство запускает легальный софт с флешки, политика его остановит.

Порядок внедрения, который обычно не ломает работу

Я бы не начинал с жёсткого запрета. Нормальный порядок выглядит так:

  1. Соберите список подразделений и типов рабочих мест.
  2. На тестовой группе включите только запрет записи на съёмные диски.
  3. Соберите обращения: что перестало работать, какие устройства нужны.
  4. Соберите Hardware Ids для разрешённых устройств.
  5. Создайте отдельную GPO для исключений или добавьте исключения в основную политику.
  6. Проверьте применение политик командой gpupdate /force и gpresult /r.
  7. Только после теста включайте более строгие ограничения.

Обязательно проверьте не только обычный офисный ПК, но и ноутбуки руководителей, рабочие места с ЭЦП, бухгалтерию, склад, производство, терминальные серверы и компьютеры, где подключаются специализированные устройства. Именно там обычно и всплывают исключения.

Частые ошибки при настройке Group Policy для USB

Самая частая ошибка — включить запрет USB на всех компьютерах сразу. После этого ИТ-отдел обычно получает не меньше работы, чем было до политики: людям нужно срочно подключить флешку для отчёта, токен для подписи, телефон для зарядки, внешний диск для архива или новый принтер.

Ещё несколько ошибок, которые встречаются регулярно:

  • Путают запрет доступа и запрет установки устройства. Флешка может быть запрещена как накопитель, но при этом USB-клавиатура или токен продолжат работать. И наоборот: устройство установится, но доступ к данным будет закрыт.
  • Не применяют политику к уже установленным устройствам. Если устройство уже стоит в системе, часть ограничений может не сработать без включения соответствующей опции.
  • Используют слишком широкие исключения. Разрешить Compatible ID для целого класса устройств проще, но это может открыть больше, чем планировалось.
  • Забывают про терминальные серверы. На RDS/VDI могут быть отдельные политики перенаправления USB, которые нужно согласовать с основными ограничениями.
  • Не тестируют запуск программ. Если цель — не дать запустить вредоносный файл с флешки, одной блокировки записи недостаточно.
  • Не делают понятный процесс исключений. Пользователю нужен рабочий инструмент, а не обход политики через личный ноутбук или домашний роутер.
  • Не документируют изменения. Через полгода никто не вспомнит, почему разрешили конкретный USB ID и кому это было нужно.

Перед массовым внедрением жёстких ограничений обязательно протестируйте политику на небольшой группе компьютеров. Ошибка в Device Installation Restrictions может заблокировать рабочие USB-устройства, включая токены, сканеры, принтеры и док-станции.

Как лучше сделать на практике

Для большинства организаций я бы начал с мягкой, но полезной схемы:

  • Запретить запись на USB-накопители через Removable Disks: Deny write access.
  • Не трогать клавиатуры, мыши, принтеры, сканеры и токены.
  • Отдельно собрать список устройств, которым нужен полный доступ.
  • Для критичных рабочих мест постепенно перейти к белому списку через Device Installation Restrictions.
  • Для запрета запуска программ с флешки добавить AppLocker или Software Restriction Policies.

Если компания небольшая и нет сложных требований, достаточно политики запрета записи. Если есть требования безопасности, аудиты, персональные данные или коммерческая тайна, лучше строить модель «разрешено только то, что нужно». Но делать это нужно поэтапно: инвентаризация, тест, исключения, внедрение, мониторинг.

Как проверить, что политика сработала

После изменения GPO на клиентском компьютере выполните:

gpupdate /force

Затем проверьте применённые политики:

gpresult /r

Если нужно подробнее, можно сохранить отчёт в HTML:

gpresult /h c:\temp\gpo-report.html

Проверять лучше не только наличие политики в отчёте, но и реальное поведение устройства: подключите тестовую флешку, попробуйте прочитать файл, записать файл, установить новое устройство, запустить исполняемый файл с носителя, если это входит в задачу.

Итог: с чего начать

Если вам нужно быстро и без рисков закрыть основную проблему с флешками, начните с политики Removable Disks: Deny write access. Это самый безопасный первый шаг: данные сложнее вынести, а рабочие USB-устройства обычно продолжают функционировать.

Если нужен строгий контроль, переходите к Device Installation Restrictions, но только после сбора Hardware Ids нужных устройств и тестов. Не включайте белый список на весь домен без исключений — это почти гарантированно создаст срочные обращения в поддержку.

Правильная схема выглядит так: сначала ограничить запись, потом собрать реальные устройства, затем разрешить только нужное, и только после этого закрывать всё лишнее. Такой подход даёт контроль, но не превращает Group Policy в инструмент остановки работы.

Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком