Будем предусмотрительны. Запрещаем автозапуск, запись и чтение USB-устройств

Случаются в нашей жизни ситуации, когда требуется ограничить доступ пользователя к USB-устройству, запретить его автозапуск, ограничить права на запись, а то и совершенно прекратить доступ к этому источнику информации в некоторых случаях — источнику заразы, дырке способствующей утечке информации. Причины для этого могут быть самые разные: лично мне, функция автозапуска вообще любого носителя не кажется полезной, на работе существует необходимость ограничения записи на флешку, а тем кто пару раз принес зараженный носитель — я его просто отключаю, либо оставляю доступ только к рабочей флешке без возможности установить драйвер для другой.

И так, начнем с малого и пока просто ограничим права на запись:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000001

Отключаем автозапуск с логических, сменных, cd-rom и сетевых дисков:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

Отключаем всякий автозапуск:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

Значения параметра для более тонкой настройки:
0×1 или 0×80 Отключение автозапуска для дисков неизвестного типа
0×4 Отключение автозапуска для съемных носителей
0×8 Отключение автозапуска для несъемных дисков
0×10 Отключение автозапуска для сетевых дисков
0×20 Отключение автозапуска для компакт-дисков
0×40 Отключение автозапуска для электронных дисков
0xFF Отключение автозапуска для дисков всех типов
Значения могут комбинироваться суммированием их числовых значений

Существует возможность отключения автозапуска диска, которому присвоена уже известная буква:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveAutoRun"

Допускаются значения: 0×0–0x3FFFFFF
Значение представляет собой «битовую карту» дисков справа налево — крайний правый бит (в двоичном представлении) соответствует диску А, второй справа — B и так далее. Для отключения
автозапуска бит должен быть установлен.

Запрещаем использование файлов autorun.inf

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

Отключаем USB носители:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor]
"Start"=dword:4

В некоторых случаях, это может не сработать, например, если флешка подключалась ранее и драйвера для этой флешки уже установлены. Чтоб зарубить это траблу, в свойствах файлов usbstor.inf и usbstor.pnf (%SystemRoot%\Inf\Usbstor.pnf) и (%SystemRoot%\Inf\Usbstor.inf) устанавливаем галочки Запретить напротив элемента Полный доступ для пользователей которым необходимо прекратить доступ к USB-устройствам. Особенно важно запретить доступ для SYSTEM или система в Windows 7 и Vista. Если ее нет в списке — добавьте.