Ancora oggi, soprattutto negli ambienti aziendali, le chiavette USB vengono considerate come una minaccia. E spesso lo sono davvero perché possono essere utilizzate, da parte di dipendenti infedeli, per sottrarre dati sensibili che dovrebbero restare all’interno dell’azienda.
Come fare per bloccare l’utilizzo delle chiavette USB in Windows?
I passaggi da compiere sono piuttosto semplici, soprattutto se si hanno a disposizione gli strumenti giusti.
Presentiamo, di seguito, due soluzioni per bloccare l’utilizzo delle chiavette USB in Windows. Entrambe poggiano su alcune modifiche apportate al registro di sistema di Windows.
Le restrizioni applicate per disattivare la memorizzazione dei dati su chiavette USB e altri supporti esterni possono essere impostate e rimosse solamente da parte degli utenti che dispongono dei diritti amministrativi e, quindi, di un account amministratore.
È importante quindi che gli utenti autorizzati a utilizzare un PC aziendale dispongano di un account normale e non di un account amministratore. In questo secondo caso, infatti, potrebbero tranquillamente riuscire, a patto di avere le competenze per farlo, a rimuovere il blocco per l’utilizzo delle chiavette USB.
Entrambi gli interventi qui presentati possono essere sfruttati per bloccare l’utilizzo delle chiavette USB senza intaccare il corretto funzionamento delle altre periferiche di tipo USB (stampanti, scanner,…).
Inutile dire che anche se si bloccassero le periferiche di memorizzazione di tipo USB ma, per esempio, si fosse attivata la condivisione di file e cartelle senza password, un dipendente infedele o un altro utente non autorizzato potrebbe collegare un dispositivo alla rete locale e sottrarre del materiale.
La condivisione di file e cartelle senza password, poi, espone a rischi ben più gravi: Condividere cartelle in Windows con password protegge anche da attacchi remoti.
Bloccare la memorizzazione di file nelle chiavette USB
Il primo intervento che è possibile applicare è meno “invasivo” e si limita a bloccare la memorizzazione di dati nelle chiavette USB e negli altri dispositivi per la memorizzazione di massa di tipo USB.
Ciò significa che le chiavette USB potranno essere sempre collegate e verranno riconosciute dal sistema ma non vi si potrà più scrivere. Supporti di memorizzazione esterni di tipo USB, insomma, potranno essere esclusivamente utilizzati in lettura.
La modifica funziona in tutte le versioni di Windows, Windows 10 compreso.
Per procedere è necessario applicare i seguenti passaggi:
1) Accedere a Windows con un account amministratore.
2) Scaricare questo file compresso.
3) Fare doppio clic sul file disattivascrittura_usb.reg
e cliccare sul pulsante Esegui.
4) Alla comparsa della finestra Consentire a questa app di apportare modifiche al PC?, cliccare su Sì.
5) Non appena apparirà la finestra di dialogo seguente, rispondere, ancora una volta, Sì.
Windows confermerà l’inserimento delle informazioni nel registro (messaggio Chiavi e valori contenuti in disattivascrittura_usb.reg inseriti nel Registro di sistema).
6) A questo punto, inserendo una qualunque chiavetta USB e provando a copiare qualsiasi file o cartella, verrà visualizzato il messaggio Disco protetto da scrittura (non è neppure necessario il riavvio della macchina).
Cliccando con il tasto destro sulla chiavetta USB, si noterà come il menu contestuale di Windows non contenga più neppure la voce Nuovo.
Come disattivare la restrizione impostata
Per disabilitare il blocco in scrittura sulle chiavette USB, basterà fare doppio clic sul file attivascrittura_usb.reg
confermando l’inserimento del suo contenuto nel registro di Windows.
Questa volta, per rendere effettiva la modifica, si dovrà riavviare il sistema oppure, in alternativa, aprire una finestra del prompt dei comandi (cmd
) e digitare quanto segue:
taskkill /f /im explorer.exe
explorer.exe
Bloccare l’utilizzo delle chiavette USB completamente
Per rendere completamente inutilizzabili le chiavette USB (non soltanto in scrittura ma anche in lettura), è invece possibile applicare un’altra modifica al registro di sistema.
Il file da utilizzare, questa volta, è scaricabile cliccando qui.
I passaggi da seguire:
1) Prelevare il programma SetACL cliccando qui.
2) Estrarre il contenuto dell’archivio compresso di SetACL in una cartella su disco fisso o unità SSD.
3) Copiare il contenuto dell’archivio disableusb.zip
nella sottocartella \32 bit
o \64 bit
di SetACL, a seconda della versione di Windows in uso (32 o 64 bit).
4) Cliccare con il tasto destro sul file disableusb.bat
e scegliere Esegui come amministratore.
5) Alla eventuale comparsa della schermata PC protetto da Windows (SmartScreen), cliccare su Ulteriori informazioni quindi su Esegui comunque.
6) Verrà mostrata una finestra sfondo nero che conferma la disattivazione del riconoscimento delle unità di memorizzazione di tipo USB.
7) A questo punto, Windows non riconoscerà più nessuna unità di memorizzazione USB collegata al sistema.
In Rete si trovano procedure che permettono di disattivare le chiavette USB e gli altri supporti di memorizzazione agendo sulla chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\USBSTOR
del registro di Windows.
Il nostro file batch fa proprio questo con un’accortezza in più: modificando solo la chiave citata, Windows non riconoscerebbe le nuove chiavette USB collegate al sistema (impedendone l’utilizzo) ma continuerebbe a permettere l’impiego delle unità di memorizzazione USB già conosciute perché connesse in precedenza allo stesso sistema.
La procedura da noi presentata, invece, imposta una ACL (Access Control List) nel registro di sistema facendo sì che l’utente SYSTEM (ossia quello usato da Windows) non possa mai modificare il valore contenuto nella chiave USBSTOR (da qui la necessità di ricorrere al programma SetACL per automatizzare il tutto).
Così facendo, non appena si collegherà una chiavetta già nota al sistema, questa non sarà comunque utilizzabile.
Come annullare la modifica e ripristinare l’utilizzo delle chiavette USB
Per disattivare la modifica e rendere nuovamente utilizzabili chiavette USB e altre unità di memorizzazione USB, è sufficiente cliccare con il tasto destro del mouse sul file enableusb.bat
e scegliere Esegui come amministratore.
Alla eventuale comparsa della schermata di SmartScreen (PC protetto da Windows), si dovrà fare clic su Ulteriori informazioni, su Esegui comunque e rispondere Sì alla domanda Consentire a questa app di apportare modifiche al PC?.
Apparirà la conferma della riattivazione del supporto per le unità di memorizzazione di tipo USB.
Tutte le modifiche sono valide per le varie versioni di Windows, Windows 10 compreso.
In ambito business, gli amministratori possono distribuire la restrizione sulle macchine client usando una policy di gruppo (vedere, a tal proposito, questo articolo al paragrafo DEPLOYING THROUGH GROUP POLICY).
Per chi odia mettere le mani sul registro di sistema: Ratool
Uno degli strumenti di più semplice utilizzo per bloccare le chiavette USB sui sistemi Windows si chiama Ratool.
Scaricabile da questa pagina, una volta avviato, Ratool indica che tipo di protezione risulta eventualmente attiva.
L’opzione Consenti lettura e scrittura è quella predefinita mentre attivando Consenti sola lettura oppure Blocca dispositivi di archiviazione USB, l’icona della chiavetta USB mostrata nella finestra di Ratool si colorerà, rispettivamente, di giallo o rosso.
Per rendere effettiva la modifica, senza neppure la necessità di riavviare Windows, basterà scegliere l’opzione desiderata e cliccare sul pulsante Applica cambiamenti.
Accedendo al menu Opzioni, WPD si può bloccare l’utilizzo dei cosiddetti Windows Portable Devices cioè smartphone, fotocamere e altri dispositivi multimediali dotati di funzionalità per lo storage dei dati. Il blocco è attivabile semplicemente selezionando la voce Blocca unità.
Nel menu Options è presente la voce Prevent Installation of USB devices: se attivata, Windows bloccherà l’inserimento di nuove chiavette USB mentre consentirà l’utilizzo dei dispositivi di memorizzazione già conosciuti (suggeriamo di selezionare Consenti sola lettura quindi attivare successivamente Prevent Installation of USB devices).