Чтобы снять блокировку USB в BIOS, сначала перезагрузите компьютер и во время загрузки нажмите соответствующую клавишу для входа в BIOS, обычно это Del, F2 или Esc. Найдите раздел, связанный с настройкой встроенных устройств, чаще всего называемый «Integrated Peripherals» или «Advanced».
В этом разделе необходимо найти опцию, отвечающую за поддержку USB-устройств, и установить ее в положение «Enabled». После внесения изменений сохраните настройки и выйдите из BIOS, обычно для этого используется клавиша F10. После перезагрузки USB-устройства должны заработать.
Как обойти запрет на запуск флешки
Одной из причин, по которой использование флешки может быть затруднено, является отключение USB-портов администратором на вашем ПК. Запрет на использование флешек может быть реализован различными способами, соответственно, и подходы к их обходу должны быть разнообразными.
Запрет флешки как обойти?
Порты физически отключены
Это можно реализовать только с помощью дополнительных портов, которые присоединяются к материнской плате с помощью кабеля. Задние порты находятся на самой материнской плате, их как минимум два. Поэтому вы можете принести из дома недорогой хаб, подключить его вместо мыши или клавиатуры и использовать его для подключения всей стандартной периферии. Второй порт рекомендуется оставить для загрузочной флешки.
Порты отключены в BIOS/UEFI
Администратор имеет возможность отключить все порты или отдельную функцию USB Boot. Эта опция отвечает за загрузку с USB-устройств. Мы уже рассмотрели, как заходить в настройки BIOS, и найти нужную функцию не станет затруднением.
Удалены драйверы контроллера USB
Хитрые админы просто сносят драйверы USB через диспетчер устройств, но вас это не остановит. Загрузиться с флешки отсутствие драйверов не помешает. Став локальным дмином, вы легко доустановите отсутствующие драйверы — Windows сама предложит это сделать.
Заблокированы отдельные устройства USB
Более изощренный способ — запрет на использование конкретно USB-накопителей. В то же время остальные устройства с USB-интерфейсом продолжают функционировать. Ограничение устанавливается через ветку реестра:
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services USBSTOR
Если параметру Start присвоено значение 0x00000004, доступ к флешкам и внешним дискам блокируется, а при 0x00000003 — разрешается. Преодолеть это ограничение можно тем же способом, что и в предыдущем пункте: загрузившись с флешки, изменяем секцию USBSTOR с помощью офлайнового редактора реестра.
USB-накопители запрещены через групповую политику
Инструмент для редактирования групповых политик дает возможность установить административный шаблон, ограничивающий использование съемных носителей. Перезагружаемся с флешки, выясняем пароль локального администратора (либо сбрасываем его, если не удалось получить доступ), а также активируем учетную запись, если она была деактивирована. Затем открываем gpedit.msc и отменяем запрет на использование USB.
Ограничены права на чтение файлов
Ограничены права на чтение файлов usbstor.inf и usbstor.pnf в каталоге:
Windows Inf
Следующий прием с правами NTFS. Если доступ к этим файлам заблокирован в ограниченной учетной записи, тогда и флешки не удастся подключить. Применим права локального администратора или просто перенесем эти файлы с помощью WinPE на носитель FAT32. После возврата файлов в inf права доступа будут сброшены.
Программы для контроля подключений по USB
Подключение устройств по USB контролируется отдельной программой. В помощь админам было написано множество утилит для ограничения использования флешек и внешних дисков. Большинство таких программ просто меняет значение упомянутой выше ветки реестра, но есть и продвинутые варианты.
Некоторые программы способны запоминать разрешенные накопители по их номера тома (VSN — номер серийного тома) и блокировать другие устройства. Есть возможность остановить процессы этих приложений в оперативной памяти или изменить VSN. Это 32-битное число, которое назначается тому во время форматирования, основываясь на текущей дате и времени.
Чтобы определить VSN вашей надежной флешки, используйте команду vol или dir. Программа Volume Serial Number Changer позволяет установить такой же серийный номер на вашей флешке, после чего вы сможете без препятствий ею пользоваться. Для дополнительной надежности измените также метку тома (это можно сделать через свойства диска).
Как быть, если администратор запретил использование USB
По соображениям безопасности администраторы иногда отключают порты USB на корпоративных компьютерах, только вот подобные ограничения далеко не всегда оказываются оправданными. В таких случаях можно либо попросить администратора временно разблокировать функцию, объяснив, для чего это вам нужно, либо попробовать решить проблему самостоятельно, взяв на себя ответственность за возможные негативные последствия.
Рассмотрим, какие шаги можно предпринять в данной ситуации.
Прежде всего, стоит отметить, что существуют различные методы отключения USB, и, следовательно, подходы к решению возникшей проблемы также могут различаться.
Порты отключены в BIOS
Вероятность того, что порты будут отключены в BIOS или UEFI, достаточно низка; как правило, администраторы выбирают использование программных функций. Тем не менее, полностью игнорировать эту возможность не следует. Проблема решается просто: необходимо войти в BIOS, найти настройку, отвечающую за работу USB-контроллеров, и активировать ее.
Использование USB запрещено в GPO
Наиболее распространенным способом установки ограничений на использование съемных накопителей является активация политики «Съемные запоминающие устройства всех классов: запретить доступ» в редакторе локальных групповых политик. Работая под учетной записью пользователя, вы не сможете запустить GPO , поэтому придется действовать в обход.
Вариант 1: Сброс пароля
Использование сторонних утилит, таких как Reset Windows Password, для сброса пароля администратора — это эффективный, но довольно грубый метод, который едва ли останется незамеченным вашим системным администратором. Принимать такие меры имеет смысл только в том случае, если вы уверены, что настройки компьютера администратор произвел единожды. Получив доступ к локальной учетной записи администратора, запустите редактор GPO с помощью команды gpedit.msc, затем перейдите в раздел Конфигурация компьютера -> Административные шаблоны -> Система -> Доступ к съемным запоминающим устройствам и отключите политику, упомянутую выше.
Решение 2: Редактирование реестра
Если сброс администратора пароля невозможен, попробуйте использовать диск WinPE 10-8 от Сергея Стрельца.
Загрузите с него компьютер (загрузка с флешек должна работать) , запустите с рабочего стола утилиту Register Editor PE и выполните в HKLM поиск по подразделу RemovableStorageDevices.
В данном разделе необходимо найти параметр с именем Deny_All и установить его значение на 0. Продолжите проверку и аналогичным образом измените значения других параметров Deny_All в подразделах RemovableStorageDevices, если они присутствуют.
Заблокировано использование только флешек
Если первый метод предназначен для разблокировки всех USB-устройств, то приведенный ниже способ позволяет активировать только флеш-накопители или внешние жесткие диски.
Для отключения ограничений используем ту же утилиту Register Editor PE из диска Стрельца, только на этот раз ищем в разделе HKLM подраздел USBSTOR (см. путь на скриншоте) .
В этом параметре обнаруживаем значение Start и изменяем его на 3.
Отсутствуют права на чтение файлов usbstor
В случае, если администратор ограничит доступ к файлам usbstor.inf и usbstor.pnf в папке %windir%inf, вы не сможете подключать к системе флеш-накопители или съемные жесткие диски.
Для восстановления прав доступа вам нужно загрузить компьютер с WinPE 10-8 от Сергея Стрелец, создать небольшой том FAT32 с помощью инструментов, доступных на LiveCD, переместить туда файлы usbstor.inf и usbstor.pnf, а затем вернуть их обратно в директорию %windir%inf.
Раздел FAT32 затем можно удалить.
Блокирование флешек по номеру тома
Администраторы применяют специальные программы для предотвращения подключения съемных USB-накопителей. Многие из этих инструментов ограничиваются лишь изменением значения параметра Start в реестре, однако имеются и более продуманные решения, которые работают с базой данных, содержащей разрешенные номера серийных томов. Если серийный номер отсутствует в этой базе, доступ к флешке закрывается.
Существуют два метода, позволяющих обойти данное ограничение.
Попробуйте принудительно завершить процесс блокирующей утилиты из Диспетчера задач или отключить ее автозагрузку, в том числе путем редактирования реестра из-под LiveCD .
Это был начальный вариант.
Если у вас есть одобренная флешка, вы можете скопировать её идентификатор и назначить его тому устройству, которое хотите сделать доверенным.
Для получения Volume Serial Number доверенной флешки используем команду vol , предварительно перейдя в командной строке в ее корень.
Для изменения серийного номера можно воспользоваться бесплатной утилитой Hard Disk Serial Number Changer.
Однако для ее запуска потребуется запускать программу от имени администратора; если таких прав у вас нет, придется использовать утилиту через LiveCD.
Как отключить или включить USB порты в Windows
Порой потребуется выключить USB порты на вашем компьютере или ноутбуке, чтобы ограничить возможность подключения флешек, внешних жестких дисков и прочих USB-устройств. Деактивация USB портов позволит избежать подключения любых накопителей, которые могут быть использованы для кражи конфиденциальной информации или привести к заражению системы вирусами и распространению вредоносных программ по локальной сети.
Ограничение доступа к USB портам
Рассмотрим 7 способов, с помощью которых можно заблокировать USB порты:
- Отключение USB через меню БИОС
- Настройка параметров реестра для USB-устройств
- Отключение USB-портов в диспетчере устройств
- Удаление драйверов USB-контроллера
- Применение Microsoft Fix It 50061
- Использование стороннего ПО
- Физическое отключение USB-портов
Отключение USB портов через настройки BIOS
- Зайдите в меню конфигурации BIOS.
- Деактивируйте все опции, связанные с USB-контроллером (например, USB Controller или Legacy USB Support).
- После внесения изменений необходимо сохранить настройки и выйти из BIOS. Обычно для этого используется клавиша F10.
- Перезапустите компьютер и проверьте, чтобы USB-порты были отключены.
Включение и отключение USB-накопителей с помощью редактора реестра
Если отключение через БИОС для вас не является оптимальным вариантом, вы можете ограничить доступ к USB-устройствам прямо в операционной системе Windows с использованием реестра.
Следующая инструкция позволяет заблокировать доступ к различным USB-накопителям (например, флешкам), однако остальные устройства, такие как клавиатуры, мыши, принтеры и сканеры, продолжат функционировать.
- Запустите меню Пуск -> Выполнить, введите команду «regedit» и нажмите ОК, чтобы открыть редактор реестра.
- Перейдите к следующему ключу
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services USBSTOR
Нажмите на кнопку «Принять», закройте редактор реестра и перезагрузите ваш компьютер.
! Вышеописанный способ работает только при установленном драйвере USB контроллера. Если по соображениям безопасности драйвер не был установлен, значение параметра «Start» может быть автоматически сброшено на значение «3», когда пользователь подключит накопитель USB и Windows установит драйвер.
Отключение USB портов в диспетчере устройств
- Кликните правой кнопкой мыши по значку «Компьютер» и в появившемся контекстном меню выберите пункт «Свойства». В свежем окне слева нажмите на ссылку «Диспетчер устройств».
- В древовидной структуре диспетчера устройств найдите раздел «Контроллеры USB» и разверните его.
- Отключите контроллеры, кликнув правой кнопкой мыши и выбрав опцию «Отключить» из меню.
Данный метод не гарантирует успех. На примере, представленном на изображении выше, отключение первых двух контроллеров не дало ожидаемого эффекта. Однако отключение третьего пункта (Запоминающее устройство для USB) оказалось эффективным, правда, это позволяет исключить только один конкретный USB-накопитель.
Удаление драйверов контроллера USB
Одним из способов отключения портов является удаление драйвера USB-контроллера. Однако этот метод имеет свой недостаток: при подключении USB-накопителя система Windows будет искать соответствующие драйверы и, в случае их отсутствия, предложит установить нужные компоненты. Это создаст возможность доступа к USB-устройствам.
Запрет пользователям подключение USB-устройств хранения данных с помощью приложения от Microsoft
Альтернативный метод блокировки доступа к USB-накопителям – использование инструмента Microsoft Fix It 50061 (http://support.microsoft.com/kb/823732/ru — ссылка может загружаться около минуты). Принцип данного метода заключается в анализе двух условий для достижения цели:
- USB-накопитель еще не подключен к компьютеру
- USB-устройство уже присоединено к компьютеру
В рамках данной статьи не будем детально рассматривать этот метод, тем более, что вы можете подробно его изучить на сайте Microsoft, используя ссылку приведенную выше.
Также стоит учитывать, что данный метод не подходит для всех выпусков операционной системы Windows.
Использование программ для отключения/включения доступа к USB-устройствам хранения данных
Существует множество софта для ограничения доступа к USB-портам. Остановимся на одной из таких утилит — USB Drive Disabler.
Программа имеет удобный набор параметров, который дает возможность блокировать или разрешать доступ к конкретным накопителям. Кроме того, USB Drive Disabler обеспечивает настройку уведомлений и уровней доступа.
Отключение USB от материнской платы
Хотя физическое отключение USB портов на материнской плате является практически невыполнимой задачей, можно отключить порты, находящиеся на передней или верхней части корпуса компьютера, отсоединив кабель, идущий к материнской плате. Этот способ полностью не закроет доступ к USB портам, но уменьшит вероятность использования накопителей неопытными пользователями и теми, кто просто поленится подключать устройства к задней части системного блока.
! Добавление
Запрет доступа к съемным носителям через редактор групповой политики
В последних версиях Windows имеется возможность ограничить доступ к съёмным накопителям (включая USB) с помощью редактора локальной групповой политики.
- Откройте gpedit.msc через диалоговое окно «Выполнить» (Win + R).
- Перейдите по следующему пути: «Конфигурация компьютера -> Административные шаблоны -> Система -> Доступ к съемным запоминающим устройствам».
- На правой панеле найдите опцию «Съёмные диски: Запретить чтение».
- Включите этот параметр (выберите положение «Включить»).
Данный раздел локальной групповой политики позволяет настраивать доступ на чтение, запись и выполнение для разных классов съемных носителей.
