Блокировка USB-флешек через групповые политики: запрещаем чужие носители без стороннего ПО

Два года назад к нам обратилась бухгалтерская фирма — пять человек, Москва, обычная 1С, удалённый доступ по RDP. Уволилась бухгалтер и унесла базу клиентов на флешке. Никакого взлома, никаких хакеров — просто вставила носитель и скопировала за три минуты. С тех пор USB-блокировку мы ставим всем клиентам, у кого есть хоть какие-то чувствительные данные, и делаем это штатными средствами Windows — без покупки DLP-систем за несколько сотен тысяч рублей в год.

Откуда берётся угроза и почему флешка опаснее письма

По разным оценкам, от 40 до 60 процентов утечек данных в малом и среднем бизнесе происходит через сотрудников — умышленно или по неосторожности. Флешка в этой статистике занимает особое место. Корпоративная почта сканируется антивирусами, крупные вложения режутся фильтрами, подозрительные загрузки видны в прокси-логах. А вот USB-порт — это дыра в обходе всей сетевой защиты разом. Вставил, скопировал, ушёл. Никаких следов в почтовых логах, никаких записей в прокси. Если нет специального аудита — вы просто не узнаете, что произошло.

Работаю с малым бизнесом уже больше десяти лет, и могу сказать: самые болезненные истории — не взломы из интернета, а уходящие сотрудники. Менеджер по продажам уходит к конкуренту — берёт базу клиентов. Бухгалтер поссорилась с директором — копирует платёжки за три года. Юрист открывает свою практику — прихватывает шаблоны договоров. Причём всё это делается за считанные минуты. Флешка на 64 гигабайта стоит 700 рублей, помещается в ладони и вмещает базу 1С за десять лет вперемешку со всеми сканами документов.

Особенно остро эта проблема стоит в нескольких типах бизнеса. Медицинские клиники — персональные данные пациентов, которые по закону вообще нельзя выносить за периметр. Бухгалтерские и юридические фирмы — клиентские базы и документы под NDA. Торговые компании с 1С — прайсы, договора, история закупок и маржа. Небольшие производства — технологические карты и спецификации. В этих отраслях один инцидент с флешкой может стоить дороже, чем все вложения в IT за последние пять лет.

Что умеет Windows без дополнительного ПО

Когда речь заходит о контроле USB, многие сразу думают о коммерческих DLP-системах: DeviceLock, Endpoint Protector, InfoWatch Device Control. Да, это серьёзные инструменты. Да, они умеют много — теневое копирование, детальные логи, контроль по пользователям. И да, они стоят от 3 000 до 8 000 рублей на рабочее место в год. Умножьте на 30 компьютеров — получите сумму, которая среднестатистического директора небольшой компании заставит вздохнуть и закрыть вкладку. Я не говорю, что DLP — это плохо. Просто для большинства моих клиентов это избыточно и финансово нецелесообразно.

Windows начиная с версии Vista и Server 2008 имеет встроенный механизм управления установкой устройств через групповые политики. Называется он Device Installation Restrictions, в русскоязычном интерфейсе — «Ограничения на установку устройств». Работает он на уровне установки драйвера, то есть буквально не даёт Windows признать устройство и начать с ним работать. Это не отключение питания на порту — ток в разъём всё равно идёт, зарядить телефон можно. Но как накопитель устройство не заработает. Пользователь видит сообщение «Не удалось установить необходимые драйверы» и ничего больше.

Есть несколько подходов в рамках штатных средств. Самый быстрый, но ненадёжный — реестр: в ветке HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR меняем параметр Start с 3 на 4, и служба USBSTOR перестаёт запускаться. Работает мгновенно, но легко откатывается пользователем с правами администратора. Правильный подход — групповые политики через GPMC или локальный gpedit.msc. Политики централизованно хранятся на контроллере домена, применяются при входе в систему и при периодическом обновлении, и их не отключить из пользовательского сеанса.

Шаг за шагом: блокируем все съёмные накопители

Открываем редактор групповых политик — либо через консоль управления групповыми политиками (gpmc.msc) на сервере, либо через gpedit.msc на локальной машине, если домена нет. Путь к нужным настройкам: Конфигурация компьютера → Административные шаблоны → Система → Установка устройств → Ограничения на установку устройств. Вот здесь и живут все нужные нам политики. Их несколько, и важно понимать, какую именно включать в вашем конкретном случае.

Самый простой вариант — политика «Запретить установку съёмных устройств» (Prevent installation of removable devices). Включаем её — и Windows перестаёт распознавать любые устройства, которые операционная система считает съёмными носителями. Это флешки, внешние жёсткие диски, SD-карты через картридер, некоторые модели MP3-плееров со старой прошивкой. Мышь, клавиатура, принтер, веб-камера, гарнитура — не затрагиваются, потому что они относятся к другим классам устройств. После включения политики запускаем gpupdate /force в командной строке с правами администратора — на этой же машине политика применяется немедленно, без перезагрузки.

Можно пойти чуть глубже и запретить по классу устройств. Класс USBSTOR — это именно USB Storage, его GUID выглядит так: {36FC9E60-C465-11CF-8056-444553540000}. Используем политику «Запретить установку устройств с использованием драйверов, соответствующих указанным классам устройств» и вносим этот GUID. Этот подход немного гибче — например, можно отдельно управлять другими классами. Но для большинства задач в небольшом бизнесе достаточно простого запрета съёмных устройств. Не надо усложнять там, где можно обойтись простым решением.

Исключения: разрешаем только свои флешки

Полная блокировка без исключений — слишком жёстко для большинства компаний. Бухгалтеру нужно сдать отчётность через токен КриптоПро. Сисадмину нужна загрузочная флешка для восстановления системы. Директору нужно принести презентацию с домашнего ноутбука. Для таких случаев работает белый список — разрешаем конкретные устройства по их аппаратному идентификатору, а всё остальное блокируем общим запретом. Это и есть правильная архитектура: запрещено всё, что явно не разрешено.

Как получить Hardware ID устройства. Вставляем нужную флешку, открываем Диспетчер устройств (devmgmt.msc), находим устройство в разделе «Дисковые устройства» или «Контроллеры USB», кликаем правой кнопкой → Свойства → вкладка «Сведения» → в выпадающем списке выбираем «ИД оборудования». Видим строки вида USB\VID_0930&PID_6545&REV_0100 и USB\VID_0930&PID_6545. Чем длиннее строка — тем точнее идентификатор конкретного экземпляра устройства. Для белого списка удобно использовать версию без REV — тогда разрешается вся линейка модели вне зависимости от ревизии прошивки. Если флешки нет под рукой, Hardware ID заранее можно найти по модели устройства в интернете или через PowerShell-команду Get-PnpDevice.

В GPO добавляем эти идентификаторы в политику «Разрешить установку устройств, соответствующих этим кодам устройства» (Allow installation of devices that match any of these device IDs). Ключевой момент, который многие упускают: правила разрешения обрабатываются раньше правил запрета. Логика такая — сначала Windows смотрит белый список, и если устройство там есть — разрешает. Нет — смотрит запрещающие политики. Именно поэтому белый список корректно работает поверх общего запрета. Не забудьте поставить галочку «Применять также к уже установленным устройствам», если она доступна в вашей версии Windows — иначе устройства, установленные до включения политики, продолжат работать.

Корпоративные флешки и BitLocker: второй рубеж защиты

Если решаете, что флешки в компании будут, но только свои — лучше сразу закупить однотипные модели. Kingston DataTraveler, Transcend JetFlash, SanDisk Ultra — неважно, лишь бы партия была одинаковая. Один производитель, одна модель — один VID/PID в белом списке GPO. Удобно и для настройки, и для учёта, и для замены. Маркировать можно лаком или гравировкой, чтобы сотрудники не путали свои и корпоративные.

Мы делали так у одного клиента — юридической фирмы на 18 рабочих мест. Закупили 20 штук Transcend JetFlash 790 на 32 гигабайта примерно по 890 рублей — итого около 18 тысяч рублей. Занесли Hardware ID в GPO, включили запрет всего остального. Часть флешек раздали сотрудникам, несколько штук — в резерве у администратора. Вся инфраструктура обошлась в 18 тысяч рублей плюс три часа настройки. Корпоративная DLP-лицензия на 18 мест стоила бы от 54 тысяч рублей ежегодно. Арифметика очевидна.

Дополнительный уровень — BitLocker To Go. Если включить его на корпоративных флешках и через GPO запретить запись на съёмные носители без защиты BitLocker (политика «Запретить запись на съёмные диски без защиты BitLocker» в разделе Компоненты Windows → Шифрование диска BitLocker → Съёмные диски с данными), то даже если кто-то найдёт способ обойти фильтр устройств — скопированные данные окажутся зашифрованы и бесполезны без ключа. Это второй рубеж обороны. Настраивается там же, в групповых политиках, без дополнительного ПО.

Аудит: кто и когда пытался вставить чужое

Блокировка — это хорошо. Но знать, кто и сколько раз пытался подключить флешку — это отдельно ценно. Сам факт попытки уже информативен: если бухгалтер три раза за рабочий день безуспешно пробует вставить USB-накопитель на разных машинах — это повод поговорить с человеком раньше, чем случится инцидент. Или уволить. Зависит от контекста.

Аудит PnP-устройств включается через GPO: Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Дополнительная настройка политики аудита → Подробное отслеживание → «Аудит событий Plug and Play». Ставим галочки «Успех» и «Отказ». После применения политики каждое подключение USB-устройства генерирует событие с кодом 6416 в журнале безопасности (Security) Windows. В нём видно: какое именно устройство подключили (Hardware ID и описание), на каком компьютере, под каким доменным пользователем и в какое точное время. Заблокированные попытки тоже попадают в лог — это важно.

Для небольших компаний без SIEM-систем — а большинство моих клиентов без них — делаем простой скрипт на PowerShell: раз в сутки собирает с всех машин или с контроллера домена события с кодом 6416 за последние 24 часа и отправляет отчёт на почту администратору. Скрипт занимает 25-30 строк, запускается через планировщик заданий на сервере. Никакой экзотики. Директор каждое утро видит сводку: кто что подключал, что было разрешено, что заблокировано. Не промышленный SIEM, конечно, но для команды в 10-25 человек — вполне достаточно и без ежегодной лицензии.

Подводные камни, которые не очевидны с первого взгляда

Первая и главная проблема — пользователи с правами локального администратора. Если у сотрудника есть такие права на своей машине, он теоретически может попытаться обойти политику или установить драйвер вручную. В настройках GPO для блокировки установки устройств есть параметр «Применять также к устройствам, которые соответствуют данным критериям» — убедитесь, что политика распространяется на всех, включая локальных администраторов. Но правильный ответ здесь один: рядовые сотрудники не должны иметь права локального администратора на рабочих машинах. Точка. USB-lockdown без этого — полумера.

Вторая проблема — перенаправление дисков по RDP. Если сотрудники работают через Remote Desktop, например подключаются к серверу с 1С, они могут пробросить свой локальный диск в удалённую сессию. То есть данные с сервера копируются на локальный компьютер пользователя, а уже оттуда — на флешку. Блокировка на сервере в этом сценарии ничего не даёт. Решение: в настройках Remote Desktop Services через GPO ограничиваем перенаправление локальных дисков и устройств. Политика называется «Не разрешать перенаправление дисков» и находится в разделе Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Службы удалённых рабочих столов.

Третья неочевидная вещь — USB-C-доки и хабы. Ноутбук подключён к монитору через докстанцию Lenovo ThinkPad Dock или Dell WD19 — казалось бы, никаких флешек рядом. Но многие такие доки имеют встроенный картридер или дополнительные USB-A порты. Пользователь вставляет флешку в порт дока — устройство появляется в системе как обычный USB-накопитель, и политика его честно блокирует. Это хорошая новость. Плохая новость: некоторые корпоративные доки со встроенным хранилищем имеют свои особенности в том, как они представляются системе. Тестируйте на конкретном железе перед развёртыванием. Всегда.

Частые вопросы

Не перестанут ли работать мышь и клавиатура после включения блокировки?
Нет, если политика настроена правильно. Мышь и клавиатура относятся к классу HID (Human Interface Device) с GUID {745A17A0-74D3-11D0-B6FE-00A0C90F57DA}, а не к классу съёмных накопителей. Политика «Запретить установку съёмных устройств» и блокировка класса USBSTOR на HID-устройства не распространяется. На практике за несколько лет настройки подобных политик у десятков клиентов мы ни разу не сталкивались с тем, чтобы мышь или клавиатура перестали работать. Но тест на одной машине перед массовым развёртыванием — обязательный шаг, который мы всегда делаем.

Можно ли разрешить только корпоративные флешки, а все чужие блокировать?
Да, это один из самых востребованных сценариев. Вы закупаете партию одинаковых носителей, извлекаете их Hardware ID через Диспетчер устройств (это строки вида USB\VID_XXXX&PID_XXXX), добавляете в политику разрешённых устройств в GPO, а общим запретом блокируете всё остальное. Правила разрешения проверяются раньше запрещающих, поэтому корпоративные носители работают, а чужие — нет. Единственная оговорка: если две разные модели совпадают по VID/PID (редкость, но бывает у безымянного Китая), по идентификатору их не разделить.

Что будет с USB-токенами для КриптоПро — Рутокен, eToken, JaCarta?
В большинстве случаев ничего страшного не произойдёт. Токены типа Рутокен, eToken, JaCarta работают как смарт-карты или HID-устройства — они не относятся к классу USBSTOR. При включённой блокировке съёмных носителей токен, как правило, продолжает работать. Если после применения политики токен перестал определяться — откройте Диспетчер устройств, проверьте, к какому классу он отнесён, и при необходимости добавьте его Hardware ID или GUID класса в список разрешённых. Это занимает пять минут.

Сможет ли пользователь загрузиться с LiveUSB и обойти запрет?
Если человек загружается с внешнего носителя — Windows вообще не запускается, а значит и GPO не применяются. Это уже другой вектор атаки, и защита от него другая: пароль на BIOS/UEFI, запрет загрузки с внешних устройств в настройках прошивки и шифрование системного диска BitLocker. GPO — это инструмент для защиты от обычного пользователя, который вставил флешку в работающую операционную систему, а не от целенаправленной атаки с физическим доступом к железу. Разные угрозы — разные инструменты.