Inibire l'accesso in scrittura ed il riconoscimento delle unità di memorizzazione USB

Le chiavette USB, si sa, sono un’eccellente soluzione per trasportare dati ma possono rivelarsi strumenti essenziali anche per coloro che desiderino sottrarre delle informazioni, ad esempio da sistemi aziendali, e portarle con sé.
Un semplice “trucco”, qualunque sia la versione di Windows installata sul sistema, permette di disabilitare l’accesso in scrittura a qualsiasi supporto di memorizzazione USB.
Per procedere, è sufficiente avviare l’Editor del registro di sistema con un account dotato dei privilegi amministrativi quindi portarsi in corrispondenza della chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control creando manualmente la sottochiave StorageDevicePolicies. All’interno di essa, nel pannello di destra, si dovrà aggiungere un nuovo valore DWORD WriteProtect ed attribuirgli il valore 1.

In questo modo, d’ora in avanti, le unità di memorizzazione USB saranno regolarmente riconosciute da Windows ma non sarà più possibile salvarvi alcun dato. Verrà infatti visualizzato il messaggio d’errore seguente:

L’immagine in figura si riferisce al messaggio restituito da Windows 7. Nel caso di Windows XP, per esempio, il look grafico del messaggio d’errore risulterà leggermente differente ma la sostanza non cambia.

Qualora si volesse disabilitare la restrizione, sarà sufficiente impostare il valore DWORD WriteProtect a 0.

Per fare in modo che non sia più possibile memorizzare dati sulle unità USB basterà fare doppio clic sul file disattivascrittura_usb.reg acconsentendo all’inserimento delle informazioni nel registro:

Viceversa, per annullare la limitazione e ripristinare la situazione iniziale, si dovrà fare doppio clic sul file attivascrittura_usb.reg rispondendo, di nuovo, in modo affermativo alla comparsa della finestra di dialogo.

Sia che la scelta sia ricaduta sul file di registro sia che si preferisca modificare manualmente il contenuto del registro, per rendere operativa la modifica si dovrà provvedere a riavviare Windows.

Disabilitare completamente il riconoscimento delle unità di memorizzazione USB

Con un ulteriore intervento, è possibile disabilitare del tutto il riconoscimento delle unità USB inibendone l’accesso da Windows. La modifica che verrà apportata farà comunque in modo che le altre periferiche USB (mouse, tastiere, stampanti, altri dispositivi di input/output) continuino a funzionare regolarmente.

La procedura, che va comunque considerata appannaggio degli utenti più esperti, implica ancora una volta l’interazione col registro di sistema di Windows.
Dopo aver avviato l’Editor del registro, ci si dovrà portare in corrispondenza della chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\USBSTOR. Qui, si dovrà modificare il valore Start da 3 a 4 (nel caso in cui il valore DWORD Start non esistesse, si dovrà crearlo manualmente).

Il valore 4 consentirà di fare in modo che una periferica di memorizzazione di tipo USB che sia stata già precedentemente connessa al sistema non possa funzionare. Il suggerimento arriva direttamente da Microsoft: la soluzione è perfetta per tutte quelle unità USB che siano state collegate, almeno una volta, al sistema in uso. Purtuttavia, se l’utente dovesse connettere, ad esempio, una chiavetta USB mai collegata prima al sistema, Windows configurerà il driver per permettere il funzionamento del dispositivo e reimposterà a 3 il valore Start. In questo modo verrà di fatto annullato l’intervento precedente.

Per ovviare al problema, è sufficiente modificare le autorizzazioni per l’accesso all’intera chiave USBSTOR facendo in modo che l’utente SYSTEM non possa più interagirvi.

Prima di apportare la modifica alla configurazione del registro di Windows, suggeriamo di scaricare l’utilità gratuita SetACL, aprire il file compresso, accedere alla cartella Set ACL 2.3.0, alla sottocartella Command Line Version ed infine la directory x86 o x64, a seconda della versione di Windows in uso.
Il file SetACL.exe potrà quindi essere salvato in una cartella, a propria scelta, sul disco fisso (ad esempio, c:\setacl).

A questo punto, per automatizzare l’intera procedura, è bene scaricare questo file compresso estraendone tutto il contenuto nella cartella ove si è salvata l’applicazione SetACL (i.e. c:\setacl).
Cliccando due volte sul batch disableusb.bat utilizzando un account dotato di diritti amministrativi (in Windows 7 così come in Windows Vista bisognerà farvi clic col tasto destro del mouse quindi scegliere la voce “Esegui come amministratore“).
Il batch, in primis, modificherà il valore Start della chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\USBSTOR in 4 quindi negherà il controllo completo dell’intera chiave del registro USBSTOR all’utente SYSTEM. Allo scopo, verrà utilizzato il software SetACL che permette di intervenire sui permessi assegnati a file, cartelle ed elementi del registro di Windows.
Per maggior cautela, il batch conserva una copia di backup delle autorizzazioni precedenti all’intervento nel file usbstor-backup.txt. Il contenuto di tale file di testo non dovrà mai essere alterato.
Le modifiche diverranno operative solamente dopo il riavvio del sistema.

Qualora si volesse riabilitare il riconoscimento delle unità di memorizzazione USB, si dovrà utilizzare il batch enableusb.bat avviandolo con i diritti di amministratore. Anche in questo caso, le modifiche diventeranno effettive non appena Windows sarà riavviato.
Questo secondo batch provvederà a ripristinare le autorizzazioni di default sulla chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\USBSTOR attingendo al backup conservato nel file usbstor-backup.txt.