How to disable USB sticks and limit access to USB storage devices on Windows systems Diary Products. Submitted by Hannes Schmidt on Sat, 0. USB storage - a possible security risk? Decent IT administrators secure their networks behind firewalls. They install mail filters on their SMTP servers and deploy anti- virus software on all client workstations. But securing the network is not sufficient - - what happens if the users bring their own USB memory sticks and connect them to the computers at their office? A 1 Gb USB stick can sometimes hold an entire company's vital data.
%windir%/system32/drivers/usbstor.sys Попробуй грохнуть на всех машинах. Правда квакать будет, что надо файл usbstor.sys, и какой-нибудь умник притараканет на Дискете или диске! Есть USB сторожа какие-то. Драйвер похожий на USB Storage. Программы и игры Драйвера DLL Процессы. Другие версии драйвера USB Storage. Скачать драйвер USB Storage Driver.. . флешка не определяется, драйвер для флешки, не распознает. iXX и изменил на usbstor.inf, флешка была вставлена, удалил в .
Открываем usb.inf, usbport.inf, usbstor.inf. Перезагружаемся, отцепляем IDE-диск и грузимся с USB-винчестера. Загрузившись, меняем драйвер IDE-контроллера на стандартный (нужно обязательно вернуть прежнее имя файлу intelppm.sys).
. This article provides answers to frequently asked questions from driver developers about Usbstor.sys. Additional documentation for Usbstor.sys .
ОК normal Нет Нет intelide IntelIde Недоступно Драйвер режима ядра Нет Отключено стоп ОК normal Нет Нет ip6fw Драйвер брандмауэра Windows для IPv6 c.
Within minutes or even seconds an employee has all the files they need in order to start up their own business and take all the customers with them. Alternatively, what happens if a careless user accidentally compromises the network with an infected USB stick?
What does Microsoft have to say about it? If you, the administrator, want to establish a minimum level of security, it is absolutely necessary to control which users can connect USB memory sticks to a computer. Unfortunately, a default Windows XP or Windows 2. USB storage media.
Microsoft knowledge base article 8. USB storage access for a certain group of users; however, the article only distinguishes between whether or not a USB storage device has been installed on a particular computer. Furthermore, the instructions are limited to a stand- alone computer. According to the general rule of thumb "If it's tedious, there is a better way", I try to avoid techniques that force me to repeat certain tasks for each computer that I manage. That's what group policy objects (GPO) are for. Suggestions? Mark Heitbrink describes how to disable USB storage devices entirely on all or some computers in the network.
He employs an ADM template in a group policy object that disables the USB storage driver (USBSTOR). The ADM template simply sets the registry value HKEY_LOCAL_MACHINESYSTEMCurrent. Control. SetServicesUsb.
StorStart to 4 (Disable). But his technique has a serious drawback. It only works if the USB storage driver is already installed. If it has not yet been installed, Windows' plug & play subsystem automatically resets the Start value to 3 (Manual) when it installs USBSTOR after a USB storage device is plugged in for the first time.
In that case, USBSTOR remains enabled until the GPO is re- applied, usually at the next reboot. If the storage device is plugged in during that reboot, it will still be available because the USBSTOR driver is started before any GPOs are processed. The Howto! If we combine Mark Heitbrink's approach with the one outlined in knowledge base article 8.
Firstly, we need to prevent USBSTOR from being installed unless the currently logged on user is allowed to use USB storage. We do that by restricting access to USBSTOR. INF and USBSTORE.
PNF in a GPO such that PNP can't automatically install the driver. This is possible because when PNP installs a driver, the installation is performed using the priviledges of the currently logged on user. Secondly, we need to make sure that USBSTOR is not started when a USB storage device is plugged in. For that we use Mark's ADM template.
The only minor drawback of my solution is that users with access to USB storage need to manually start USBSTOR before connecting USB storage devices. In Active Directory Users and Computers, open an existing GPO or create a new one and open it.
Use the security settings of that GPO to specify which computers it affects. In that GPO, go to Computer Configuration – Windows Settings – Security Settings – File System and create a new entry (right- click File System and select Add File). Specify the location of USBSTOR. INF (usually System. Root%InfUSBSTOR.
INF) Change the security settings of the new entry. The security settings that you specify here will be enforced on the USBSTOR. INF of every computer to which the GPO is applied. This process is not additive, which means that the previous security settings of USBSTOR. INF will be overwritten by the ones given in the GPO. It is therefore recommended to grant full control to SYSTEM and local administrators. But unlike in the default security settings of USBSTOR.
INF, you should not grant any priviledges to Everybody. You do not need to explicitly deny access – just omit an entry for Everybody. Optionally, you can grant read access to a certain group. Members of this group will be able to use USB storage.
Repeat the above two steps for USBSTOR. PNF. Download USBSTOR. ADM. Back in the GPO, right- click Administrative Templates under Computer Configuration and select Add/Remove Templates. Click Add and browse to the location of USBSTOR. ADM. Close the dialog.
You should now have an additional entry called Services and Drivers in Administrative Templates. Click on it. If it is empty, select View from the menu and uncheck Show Policies Only. Click back on Services and Drivers in Administrative Templates. It should now show the USB Storage policy.
Double click it, select Enabled and pick Disabled from the Startup Type drop down. Again, the policy must be enabled wheras Startup Type must be Disabled. Close the dialog as well as the GPO and boot/reboot one of your workstations. Make sure no USB strorage device is connected to that computer.
Log on with administrative privileges and check the permissions of USBSTOR. INF and USBSTOR. PNF. Check the value of the HKEY_LOCAL_MACHINESYSTEMCurrent.
Control. SetServicesUsb. StorStart. It should be 4. It is also ok if the Usb.
Stor key doesn't exist at all. On the same workstation, log off and back on as a user that should not have access to USB storage.
Connect a USB memory stick or a similar device. Nothing should happen. Remove the memory stick. Log on as a user that should have access to USB storage and execute net start usbstor in a command shell or at Start – Run before connecting the memory stick.
The memory stick should initialized and mapped to a drive letter. If USBSTOR fails to start, it's probably because this is the first time a memory stick is plugged into the workstation in which case USBSTOR is not yet installed. Nevertheless, the memory stick should be initialized and mapped correctly but you need to reboot in order to reapply the administrative template such that USBSTOR is disabled again. Alternatively, you can disable it manually by downloading and double clicking USBSTOR. REG as well as executing net stop usbstor. Instruct the users with access to USB storage that they need to execute net start usbstor before they can connect a USB storage device.
Утилита командной строки Dev. Con. exe ( Device Console ) входит в состав средств для разработки драйверов ( DDK ) и поставляется с исходным кодом и документацией на английском языке. С ее помощью можно включать, выключать, перезапускать, обновлять, удалять и опрашивать отдельные устройства или группы устройств.
Программа Dev. Con также предоставляет необходимые разработчику драйвера сведения, которые недоступны с помощью диспетчера устройств. Утилита Dev. Con может использоваться во всех версиях Windows старше Win. Формат командной строки Dev. Con: devcon. exe [- r] [- m: machine] command [..]Параметры командной строки: -r - если задано, то после выполнения команды выполняется перезагрузка системы. IP- адрес удаленного компьютера. Dev. Con. arg- аргументы выполняемой команды.
Для получения справки по использованию команды используется парамет help. Dev. Condevcon. exe help install - отобразить справку по использованию команды install. Параметры командной строки: classfilter Разрешить изменение фильтров классов. Отобразить все классы настройки устройств. Отключить устройства, которые соответствуют. Отобразить установленные файлы драйверов. Отобразить все узлы драйверов устройств.
Включить устройства, которые соответствуют. Найти устройства, которые соответствуют определенному.
Найти устройства, включая отсоединенные. Отображение справочной информации. Отобразить идентификаторы оборудования.
Установить устройство в ручном режиме. Отобразить все устройства для класса настройки. Перезагрузить локальный компьютер. Удалить устройства, которые соответствуют. Выполнить поиск нового оборудования. Отобразить ресурсы устройств.
Перезагрузить устройства, которые соответствуют. Отобразить ожидаемый стек драйверов устройств. Отобразить рабочее состояние устройств. Обновить устройство в ручном режиме.
Update. NI Обновить устройство в ручном режиме без уведомления пользователя. Set. Hw. ID Добавить, удалить или изменить порядок. Для использования утилиты Dev. Con. exe требуются административные привилегии ( "Запуск от имени Администратора" в среде Windows Victa /Windows 7 / Windows 8 )Примеры использования команд утилиты Dev. Con: devcon - m: SERVER find pci* - отобразить список всех PCI- устройств на удаленном компьютере с именем SERVER.
Режим работы с удаленным подключением к другому компьютеру. ОС Windows XP / Windows Server 2. C: serverpci. txt - вывод списка всех PCI- устройств компьютера с IP- адресом 1. C: serverpci. txtdevcon find usb* - отобразить список устройств USB на локальном компьютере. USB (устройства класса usbstor). Список классов устройств можно получить по команде. Display - отобразить список устройств класса Dislpay.
VEN_8. 08. 6* - отобразить список устройств, производителем которых является Intel ( идентификатор производителя оборудования содержит строку VEN_8. Пример отображаемой информации. PCIVEN_1. 00. 2& DEV_5.
SUBSYS_7. C2. 61. B& REV_0. 14& 3. B7. 1F7. 7& 0& 0. RADEON 9. 20. 0 SE Family (Microsoft ). PCIVEN_1. 00. 2& DEV_5.
D4. 4& SUBSYS_7. C2. 71. 74. B& REV_0. B7. 1F7. 7& 0& 0.
RADEON 9. 20. 0 SE SEC Family (Microsoft ). PCIVEN_1. 0EC& DEV_8. SUBSYS_8. 13. 91. EC& REV_1. 04& 2. E9. 81. 01. C& 0& 4. F0: Realtek RTL8. Family PCI Fast Ethernet NIC.
PCIVEN_1. 1AB& DEV_4. SUBSYS_8. 11. A1.
REV_1. 34& 2. E9. 81. 01. C& 0& 2. F0: Marvell Yukon 8. E8. 00. 1/8. 00. 3/8.
PCI Gigabit Ethernet Controller. PCIVEN_1. 1AB& DEV_5. SUBSYS_AD0. E7. 79. F& REV_0. 14& 5. D1. 8F2. DF& 0 : AT7. B3. 5J8 IDE Controller. PCIVEN_8. 08. 6& DEV_2.
E& SUBSYS_0. 00. REV_C23& 2. 67. A6. 16. A& 0& F0: Intel(R) 8. PCI - 2. 44. E. PCIVEN_8.
DEV_2. 4D0& SUBSYS_0. REV_0. 23& 2. A6. 16. A& 0& F8: Intel(R) 8. EB LPC- - 2. 4D0. PCIVEN_8. 08. 6& DEV_2. D1& SUBSYS_8.
A6. 10. 43& REV_0. A6. 16. A& 0& FA: Intel(R) 8.
EB Ultra ATA Storage - 2. D1. PCIVEN_8. 08. DEV_2. 4D2& SUBSYS_8. A6. 10. 43& REV_0.
A6. 16. A& 0& E8: Intel(R) 8. EB USB - - 2. 4D2. PCIVEN_8. 08. 6& DEV_2.
D3& SUBSYS_8. A6. 10. 43& REV_0. A6. 16. A& 0& FB: Intel(R) 8.
EB SMBus - 2. 4D3. PCIVEN_8. 08. 6& DEV_2.
D4& SUBSYS_8. A6. 10. 43& REV_0. A6. 16. A& 0& E9: Intel(R) 8.
EB USB - - 2. 4D4. PCIVEN_8. 08. 6& DEV_2. D5& SUBSYS_8.
F3. 10. 43& REV_0. A6. 16. A& 0& FD: Sound.
MAX Integrated Digital Audio. PCIVEN_8. 08. 6& DEV_2. D7& SUBSYS_8.
A6. 10. 43& REV_0. A6. 16. A& 0& EA: Intel(R) 8. EB USB - - 2. 4D7. PCIVEN_8. 08. 6& DEV_2.
DB& SUBSYS_8. A6. 10. 43& REV_0.
A6. 16. A& 0& F9: Intel(R) 8. EB Ultra ATA Storage - 2. DB. PCIVEN_8. 08. DEV_2. 4DD& SUBSYS_8. A6. 10. 43& REV_0. A6. 16. A& 0& EF: Intel(R) 8.
EB USB2 - - 2. 4DD. PCIVEN_8. 08. 6& DEV_2.
DE& SUBSYS_8. A6. 10. 43& REV_0.
A6. 16. A& 0& EB: Intel(R) 8. EB USB - - 2. 4DE. PCIVEN_8. 08. 6& DEV_2. SUBSYS_0. 00. 00. REV_0. 23& 2. A6. 16. A& 0& 0. Intel(R) 8. 28. 65.
G/PE/P/GV/8. 28. 48. P CPU - I/O - 2. 57. PCIVEN_8. 08. 6& DEV_2. SUBSYS_0. 00. 00.
REV_0. 23& 2. A6. 16. A& 0& 0. Intel(R) 8. 28. 65.
G/PE/P/GV/8. 28. 48. P CPU - AGP - 2. 57. SERVER. Для отображения списка устройств, в том числе отсутствующих или отключенных, используется подкоманда findalldevcon - m: comp findall *VEN_1. Realtek ( VEN_1. 0EC ), включая отсутствующие, на удаленном компьютере comp.
Windows XP / Windows Server 2. Пример отображаемой информации.
ACPIFIXEDBUTTON2& DABA3. FF& 0. Name: Device is not using any resources.
ACPIGENUINEINTEL_- _X8. FAMILY_1. 5_MODEL_4_0. Name: Intel(R) Pentium(R) 4 CPU 2. GHz. Device is not using any resources. ACPIPNP0. 00. 04& 3. F7. 62. C4& 0.
Name: Device has the following resources reserved. IO : 0. 02. 0- 0. IO : 0. 0a. 0- 0. ACPIPNP0. 10. 04& 3.
F7. 62. C4& 0. Name: Device has the following resources reserved.
IO : 0. 04. 0- 0. IRQ : 0. ACPIPNP0. F7. 62. C4& 0. Name: Device has the following resources reserved. IO : 0. 00. 0- 0.
IO : 0. 08. 1- 0. IO : 0. 08. 7- 0. IO : 0. 08. 9- 0. IO : 0. 08f- 0. 08f. IO : 0. 0c. 0- 0.
DMA : 4. ACPIPNP0. F7. 62. C4& 0. Name: Device is currently using the following resources. IO : 0. 06. 0- 0. IO : 0. 06. 4- 0. IRQ : 1. Name: Device is currently using the following resources.
IO : 0. 3f. 8- 0. IRQ : 4. Name: Device is currently using the following resources. IO : 0. 2f. 8- 0. IRQ : 3. ACPIPNP0. F7. 62. C4& 0. Name: Device is currently using the following resources.
IO : 0. 3f. 0- 0. IO : 0. 3f. 7- 0.
DMA : 2. IRQ : 6. По каждому устройству выдается его имя и список используемых ресурсов: IO : 0. DMA: 2 - номер канала прямого доступа к памяти ( например, канал 2 )IRQ: 6 - номер прерывания, используемого устройством ( например 6 ). MEM : fed. 20. 00. К данному классу относятся контроллеры параллельных и последовательных портов ввода- вывода (порты LPT и COM ) devcon driverfiles =net - отобразить список используемых драйверов сетевых устройств ( устройств класса net ). Отображается имя устройства, источник установленного драйвера, пути и мена файлов.
PCIVEN_1. 0EC& DEV_8. SUBSYS_8. 13. 91. EC& REV_1. 04& 2. E9. 81. 01. C& 0& 4. F0. Name: Realtek RTL8. Family PCI Fast Ethernet NIC.
Driver installed from c: windowsinfnetrtsnt. RTL8. 13. 9. ndi]. C: WINDOWSsystem. DRIVERSRTL8. 13. PCIVEN_1. 1AB& DEV_4. SUBSYS_8. 11. A1. REV_1. 34& 2.
E9. 81. 01. C& 0& 2. F0. Name: Marvell Yukon 8. E8. 00. 1/8. 00. 3/8. PCI Gigabit Ethernet Controller. Driver installed from c: windowsinfoem. SLYuk. Cop. Gig. FAN.
C: WINDOWSsystem. DRIVERSyk. 51x. 86. ROOTMS_L2. TPMINIPORT0. Name: Driver installed from c: windowsinfnetrasa. Ndi- Mp- L2tp]. No files used by. Net. Стек включает в себя драйвер устройства, нижний и верхний фильтр, системную службу, обслуживающую устройство. PCIVEN_1. 0EC& DEV_8.
SUBSYS_8. 13. 91. EC& REV_1. 04& 2. E9. 81. 01. C& 0& 4. F0. Name: Realtek RTL8. Family PCI Fast Ethernet NIC. Setup Class: {4. D3. E9. 72- E3. 25- 1.
CE- BFC1- 0. 80. 02. BE1. 03. 18} Net. Controlling service. PCIVEN_1. 0EC& DEV_8. SUBSYS_8. 13. 91. EC& REV_1. 04& 2. E9. 81. 01. C& 0& 4.
F0 - код экземпляра устройства. Name - название Setup Class - класс установки.
Controlling service - управляющий сервис. Для определения текущего состояния устройства используется подкоманда status: devcon status ROOTRDP* - отобразить состояние драйверов, идентификаторы которых начинаются строкой ROOTRDP, т. е. Установка нового устройства возможна только на локальном компьютере и требуется обязательное наличие INF- файла : devcon - r install %WINDIR%InfNetloop. MSLOOP - установить новый экземпляр петлевого адаптера.
Ключ - r требует перезагрузку после установки драйвера. Для изменения фильтров драйверов используются команды: devcon classfilter upper ! Признаком действия на удаление является символ ! Изменения для фильтров вступают в силу либо при перезапуске основного драйвера, либо при перезагрузке компьютера. Подробную справку по управлению фильтрами можно получить по команде devcon help classfilter. Утилита Dev. Con позволяет останавливать, запускать или перезапускать отдельно выбранные устройства или группы устройств. В практике сетевого администрирования, команду Dev.
Con нередко используют для перезапуска сетевых адаптеров. Например, для сетевого адаптера Realtek RTL8. PCIVEN_1. 0EC& DEV_8. PCIVEN_1. 0EC& DEV_8. Обратите внимание - двойные кавычки в начальной части идентификатора сетевого адаптера обязательны. В противном случае, символ & будет обработан интерпретатором CMD Windows как стандартный символ объединения команд - команды.
PCIVEN_1. 0EC и команды DEV_8. Первая выполнит рестарт для всех существующих в системе адаптеров производителя Realtek, а вторая вызовет сообщение о том, что DEV_8. Очень часто утилита Dev. Con используется для блокировки сетевой уктивности системы (временного отключения всех сетевых устройств): devcon disable =net.