Групова політика: як заборонити підключення нових USB-пристроїв
Покроковий гайд як через редактор групової політики Windows заблокувати підключення нових USB та інших знімних пристроїв.
Заборона підключення нових пристроїв — один з базових заходів інформаційної безпеки на підприємстві. Це захищає від витоку даних через флешки та від зараження через заражені USB-носії.
Що потрібно знати перед початком
Редактор групової політики (gpedit.msc) доступний тільки в Windows Pro, Enterprise і Education. На Windows Home цей інструмент відсутній.
Зміни застосовуються або до всіх користувачів комп'ютера, або тільки до поточного — залежно від того який розділ редагуєш.
Спосіб 1: Заблокувати встановлення знімних пристроїв
Цей метод забороняє Windows встановлювати нові USB-пристрої. Ті що вже встановлені — продовжать працювати.
Крок 1. Win + R → введи gpedit.msc → Enter.
Крок 2. У лівій панелі перейди по шляху:
Конфігурація комп'ютера
→ Адміністративні шаблони
→ Система
→ Встановлення пристроїв
→ Обмеження встановлення пристроїв
Крок 3. Знайди політику Заборонити встановлення знімних пристроїв → двічі клікни.
Крок 4. Вибери Включено → OK.
Спосіб 2: Заблокувати доступ до знімних носіїв повністю
Цей метод жорсткіший — блокує читання і запис на всі знімні диски навіть якщо вони вже встановлені.
Крок 1. У тому ж gpedit.msc перейди:
Конфігурація комп'ютера
→ Адміністративні шаблони
→ Система
→ Доступ до знімних носіїв
Крок 2. Тут є кілька політик:
| Політика | Що робить |
|---|---|
| Знімні диски: заборонити виконання | Блокує запуск програм з флешки |
| Знімні диски: заборонити читання | Флешку не можна читати |
| Знімні диски: заборонити запис | На флешку не можна записувати |
Крок 3. Двічі клікни на потрібну → Включено → OK.
Спосіб 3: Через реєстр (якщо нема gpedit)
Для Windows Home використовуй реєстр:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions" /v DenyRemovableDevices /t REG_DWORD /d 1 /f
Або відкрий regedit і перейди по шляху:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions
Створи параметр DWORD з іменем DenyRemovableDevices і значенням 1.
Як скасувати заборону
Щоб знову дозволити USB-пристрої — поверни ті самі політики в стан Не задано або видали ключ реєстру.
Важливо
Після застосування політик перезавантаж комп'ютер — частина змін набуває чинності тільки після перезапуску системи.