Для удобства пользователей компания Microsoft создала такую встроенную функцию в операционной системе, как автозапуск флешки. Главная её задача заключается в упрощении работы пользователя. Но основным недостатком является занесение на компьютер вирусов , прописанных на сменном носителе при копировании, используемый до этого на другом ПК. И для того чтобы обезопасить свою «машину» от вредоносных программ, следует знать, как включить или отключить автозапуск флешки и других съёмных носителей.
Это функция, позволяющая быстро и без каких-либо действий со стороны человека запускать программу, находящуюся на съёмном устройстве. Изначально она была разработана только для DVD и CD. Тогда как сейчас она может запускаться автоматически, даже при подключении смартфонов. Например, для носителей с фильмами и музыкой загружается проигрыватель, для чистого диска - софт записи, для фотографий - программа просмотра и т.д. Если на съёмном накопителе содержатся разнотипные файлы, тогда выскакивает окно с предложением нескольких действий.
Суть функции заключается в том, что в корневой папке сменного носителя нужно создать для флешки autorun.inf. Это файл, в котором содержится команда на автоматический запуск определённой программы. Включённый накопитель система обязательно проверит на наличие этого файла и, если найдёт, то, не делая лишних запросов, запустит его. Этим же пользуются и многие вирусы. Но существует хороший способ обезопасить съёмное оборудование - это создать для флешки autorun- файл. В этом случае вредоносная программа не сможет сама прописать его, так как он уже существует и тем самым не запустится при подключении устройства к компьютеру.
ВАЖНО. Многие создатели вирусов знают этот трюк и могут легко удалить этот файл со сменного носителя. Поэтому к вопросу о заражении вирусами оборудования стоит подходить более серьёзно.
Перед тем как автозапуск флешки включить, нужно в меню «Пуск» открыть панель управления и выбрать «Автозапуск». Напротив записи «Использовать для всех носителей и устройств» поставить галочку.
Напротив записи «Использовать для всех носителей и устройств» нужно поставить галочку
Процесс подключения и отключения этой функции в ОС XP немного сложнее. Для этого нужно перейти в «Групповую политику». В меню «Пуск» найти вкладку «Выполнить», прописать команду gredit.msc и нажать «enter». В открывшемся окне выбрать «Конфигурация компьютера», «Административные шаблоны» и «Система». В правой части найти строку «Отключить автозагрузку».
Нажимаем на Отключить автозапуск
Для включения функции отметить пункт «Отключен» (не задан) и подтвердить «ОК». А для её отключения выбрать строчку «Включён» и «Для всех дисков с подтверждением выбора».
После того как сделали автозапуск флешки, следует вставить съёмный накопитель в ПК и проверить действие системы.
Перед тем как сделать autorun для флешки, необходимо знать, что следует не просто создать папку, а сделать её такой, чтобы вредоносный софт не смог её удалить. А для того чтобы вирус не смог понять, как удалить с флешки autorun.inf, её надо скрыть. В этом случае она может играть роль индикатора. Например, если флешка содержит вирусы, то они наверняка уже пытались удалить эту папку, а при этой операции она перестаёт быть скрытой. Таким образом, становится понятно, что на носителе есть вредоносные программы. И так как удалить с флешки авторан простым способом не получится, её нужно или отформатировать , или очистить с помощью антивируса AVZ, или воспользоваться программой FlashGuard.
Флешка – USB накопитель для хранения данных. По умолчанию, когда вы подключаете ее к компьютеру или ноутбуку, срабатывает автозапуск. Система считывает данные с носителя и предлагает варианты, как или чем открыть флешку. А как быть, если автозапуск в целях безопасности или конфиденциальности не нужен?
Отключение автозапуска сейчас особенно актуально. В эпоху интернета флешки активно используются для переноса информации, вирусов, троянов и прочих неприятностей. Отключение автозапуска поможет избежать последствий, для этого откройте панель управления, щелкнув соответствующий значок. Щелкните на пункт Оборудование и звук, далее выберите Автозапуск. В открывшемся окне снимите галочку с пункта Использовать автозапуск для всех носителей и устройств. Перед выходом сохраните изменения. Этот пункт отключит автозапуск абсолютно для всех устройств. Описанный выше способ не единственный. Войдите в панель управления, справа вверху окно быстрого поиска, введите в него Изменение групповой политики. Выбираете строчку под Администрирование. Этот же редактор можно открыть быстрой командой, для этого нажмите комбинацию Win+R (Win кнопочка на клавиатуре с изображением логотипа Windows) – запустится окно Выполнить. Введите в нём Gpedit.msc. Нажмите ОК.Двойным кликом мыши откройте Выключение автозапуска.
Изначально точкой отмечено Не задано. Нужно отметить Включить, здесь небольшая путаница, так вы включаете выключение автозапуска. В выпадающем списке параметров выберите – Дисководы для компакт-дисков и устройств со съёмным носителем. Кликните ОК. Закройте Редактор. Также отключить автоматический запуск флешки можно через реестр. Для этого повторите комбинацию Win+R. Введите команду REGEDIT, для открытия редактора реестра Windows. Откроется редактор. Переходим по адресу в реестре , дважды кликаем по параметру AutoRun и в окошке меняем значение параметра с единички на ноль. Запустите редактор реестра, пройдите по адресу . Правой кнопкой мыши создайте раздел, задайте ему имя Explorer. Создайте здесь строковый параметр NoDriveTypeAutoRun и задайте ему значение 0x4. Сохраните. Если вы хотите отключить автозапуск вообще на всех устройствах, задайте значение 0xFF. Настройку реестра рекомендуется проводить только опытным пользователям. Неосторожное изменение параметров может привести к зависаниям или невозможности загрузки операционной системы.Из всех найденных не долгим поиском методов в моём случае не подошёл ни один:)
Даже вариант с ограничением прав для пользователей в реестре не дал результата (удалил даже права для системы и администратора - т.е. все права полностью для всех - не помогло).
В итоге комбинировал свой вариант (сборка из двух разных).
В моём случае обычный пользователь не имеет никаких привелегий в системе (прям мечта!) и разумеется потребовался максимальный функционал - т.е. использование определённых (зарегистрированных) носителей на отдельных ПК.
Для этого используем всего две процедуры (действия):
В случае, когда права в ОС распределены и "обычная" работа выполняется пользователем с ограниченными правами данный метод полностью блокирует возможность подключить к ОС не зарегистрированный (системным администратором) "Флешки".
Удаление и добавление файлов Usbstor.pnf и Usbstor.inf можно осуществлять с помощью файлов.bat примерно следующего вида:
удаление
del /f /s /q C:\WINDOWS\inf\usbstor.inf C:\WINDOWS\inf\usbstor.PNF
восстановить (при условии, что файлы лежат рядом с bat-файлом)
xcopy ".\usbstor.inf" "C:\WINDOWS\inf\"
xcopy ".\usbstor.PNF" "C:\WINDOWS\inf\"
Ниже приведены другие способы ограничения доступа к данным устройствам (у меня по отдельности не сработали).
Управление компьютером->диспетчер устройств->контроллеры универсальной последовательной шины USB->(корневые USB концентраторы) -> "применение устройства: [отключено]
Например, если принтер подключен к какому-либо концентратору, то его можно не отключать.
примечание 1. Диспетчер устройств можно запустить из командной строки start devmgmt.msc .
примечание 2. Интересное свойство диспетчера устройств из консоли выполнить две команды:
Set devmgr_show_nonpresent_devices=1
start devmgmt.msc
Тогда в Диспетчере устройств отобразятся скрытые устройства.
Если не требуется USB - отключение контролеров USB.
Запретить использование всем, кроме избранных через "Управление компьютером -> Запоминающие устройства -> СъемныеЗУ -> Свойства -> Безопасность.
Недостаток
Здесь есть некие подводные камни, например, запрет на использование группе USER. Но администратор может входить в группу USER.
Впрочем, это равносильно изменению параметра
HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR "Start"
"Start"=dword:00000004 - запретить;
"Start"=dword:00000003 - разрешить.
примечание.
Запустить службу можно из командной строки
net start "Съемные ЗУ"
Идем в папку %Windows%\inf (папка имеет атрибут hidden) , в ней есть два файла - Usbstor.pnf и Usbstor.inf.
Запрещаем доступ к этим файлам, кроме группы администраторов или конкретного пользователя.
Зачем запрещать USB совсем, когда можно запретить только запись?
HKLM\SYSTEM\CurrentControlSet\control\StorageDevicePolicies.
Параметр WriteProtect, скорей всего его нет. Тогда его нужно создать с типом dword и присвоить значение 1.
И не забыть перегрузить компьютер. Чтобы восстановить - присвоить значение 0.
Итак, по шагам (разумеется, нужно обладать правами локального администратора):
Чего же мы добились в итоге?Разрешенная флешка подключается и отключается без проблем. При попытке же несанкционированного подключения Windows определит устройство, но установить его не сможет, ругнувшись следующим образом:
Причем, в USBSTOR"е будет создан новый ключ, который недвусмысленно укажет на попытку подключения неодобренного USB-накопителя.
Если вкратце, то весь автозапуск заключается в том, что при подключении накопителя, система выполняет действия прописанные в файле autorun.inf. А это несет в себе некоторую угрозу. Ведь эти действия могут быть причиной установки вируса, копирования и отправки данных и т.п. Поэтому, на мой взгляд, лучше отключить функцию автозапуска.
Что такое Autorun.inf?
Autorun.inf — это файл, который используется для автоматического запуска программ с носителей информации, внешних дисков, флешки и т.п.
Сам файл аutorun.inf не содержит вредоносного кода, в нем только команды для запуска программ и файлов, среди которых могут быть и вредоносные самораспространяющиеся черви или просто вирусы типа .
Отключить автозапуск флешки можно тремя способами: через Груповые политики (GPO), через реестр Windows и с помощью Панели управления. Я покажу, как это сделать через реестр и в Панели управления. Так как эти способы охватывают все версии операционной системы Windows.
Данный способ отключения автозапуска флешки будет полезен пользователям операционных систем Windows7, 8, Vista, XP.
С помощью комбинации клавиш WIN+ R и команды «regedit» зайдите в реестр.
Следующие действия нужно будет выполнить в каждом из этих разделов реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
Покажу на примере первого раздела. Создайте новый параметр типа «DWORD (32 бита)». Для этого щелкните ПКМ (правым кликом мышки) в правом окне.
Вот его имя и значения.
Теперь во втором разделе проделайте тоже самое.
Затем перезагрузите компьютер. Все, теперь автозапуск отключен для всех устройств.
Зайдите в «Панель управления».
Как отключить автозапуск флешкиПерейдите в раздел «Автозапуск».
Тут Вы можете выбрать параметры по своему усмотрению. Чтобы полностью отключить автозапуск для всех устройств, снимите галочку с указанного пункта.
На этом все. Теперь вы знаете как отключить автозапуск флешки в Windows 10, 8, 7, Vista, XP.
Вам также может быть интересна статья «Запрет флешек», в которой мы рассказывали о всех способах запрета использования USB-носителей.
Иногда возникает необходимость отключить USB порты на компьютере или ноутбуке, чтобы ограничить доступ по подключению флешек, жестких дисков и других USB-устройств. Отключение портов USB поможет предотвратить подключение каких-либо накопителей, которые могут быть использованы для кражи важной информации или стать причиной заражения компьютера вирусом и распространения вредоносного программного обеспечения по локальной сети.
Рассмотрим 7 способов , с помощью которых можно заблокировать USB порты:
Если отключение через БИОС вам не подходит, можете закрыть доступ непосредственно в самой ОС Windows с помощью реестра.
Приведенная ниже инструкция позволяет закрыть доступ для различных USB-накопителей (например флешек), но при этом другие устройства, такие как клавиатуры, мыши, принтеры, сканеры все равно будут работать.
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ USBSTOR
Нажмите кнопку «ОК», закройте редактор реестра и перезагрузите компьютер.
Вышеописанный способ работает только при установленном драйвере USB контроллера. Если по соображениям безопасности драйвер не был установлен, значение параметра «Start» может быть автоматически сброшено на значение «3», когда пользователь подключит накопитель USB и Windows установит драйвер.
Этот способ не всегда работает. В примере, приведенном на рисунке выше отключение контроллеров (2 первых пункта) не привело к желаемому результату. Отключение 3-го пункта (Запоминающее устройство для USB) сработало, но это дает возможность отключить лишь отдельный экземпляр USB-накопителя.
Как вариант для отключения портов можно просто деинсталлировать драйвер USB контроллера. Но недостатком этого способа является то, что при подключении пользователем USB-накопителя, Windows будет проверять наличие драйверов и при их отсутствии предложит установить драйвер. Это в свою очередь откроет доступ к USB-устройству.
Еще один способ запрета доступа к USB-накопителям – это использование Microsoft Fix It 50061 (http://support.microsoft.com/kb/823732/ru — ссылка может открываться около митуты). Суть это способа заключается в том, что рассматриваются 2 условия решения задачи:
В рамках данной статьи не будем детально рассматривать этот метод, тем более, что вы можете подробно его изучить на сайте Microsoft, используя ссылку приведенную выше.
Еще следует учесть, что данный способ подходит не для всех версий ОС Windows.
Существует много программ для установки запрета доступа к USB портам. Рассмотрим одну из них — программу USB Drive Disabler .
Программа обладает простым набором настроек, которые позволяют запрещать/разрешать доступ к определенным накопителям. Также USB Drive Disabler позволяет настраивать оповещения и уровни доступа.
Хотя физическое отключение USB портов на материнской плате является практически невыполнимой задачей, можно отключить порты, находящиеся на передней или верхней части корпуса компьютера, отсоединив кабель, идущий к материнской плате. Этот способ полностью не закроет доступ к USB портам, но уменьшит вероятность использования накопителей неопытными пользователями и теми, кто просто поленится подключать устройства к задней части системного блока.
! Дополнение
В современных версиях Windows существует возможность ограничить доступ к съемным запоминающим устройствам (USB-накопителям в том числе) с помощью редактора локальной групповой политики.
Данный раздел локальной групповой политики позволяет настраивать доступ на чтение, запись и выполнение для разных классов съемных носителей.