Computer >> คอมพิวเตอร์ >  >> ระบบ >> Windows Server

จะบล็อกไดรฟ์ USB ใน Windows โดยใช้นโยบายกลุ่มได้อย่างไร

เมื่อเชื่อมต่ออุปกรณ์ USB ใหม่เข้ากับคอมพิวเตอร์ Windows จะตรวจหาอุปกรณ์โดยอัตโนมัติและติดตั้งไดรเวอร์ที่เหมาะสม เป็นผลให้ผู้ใช้สามารถใช้ไดรฟ์ USB หรืออุปกรณ์ที่เชื่อมต่อเกือบจะในทันที ในบางองค์กร การใช้อุปกรณ์จัดเก็บข้อมูล USB (แฟลชไดรฟ์ USB HDD การ์ด SD และอื่นๆ) ถูกบล็อกเนื่องจากเหตุผลด้านความปลอดภัย เพื่อป้องกันการรั่วไหลของข้อมูลที่ละเอียดอ่อนและทำให้คอมพิวเตอร์ติดไวรัส บทความนี้อธิบายวิธีการใช้ Group Policy (GPO) เพื่อปิดใช้งานไดรฟ์ USB แบบถอดได้ภายนอก

การกำหนดค่า GPO เพื่อปิดใช้งานอุปกรณ์เก็บข้อมูล USB บนคอมพิวเตอร์โดเมน

ใน Windows ทุกรุ่นตั้งแต่ Windows 7 คุณสามารถจัดการการเข้าถึงไดรฟ์ภายนอกได้อย่างยืดหยุ่น (USB, CD / DVD, ฟลอปปี, เทป ฯลฯ ) โดยใช้นโยบายกลุ่ม (เราไม่ได้พิจารณาวิธีที่รุนแรงในการปิดการใช้งานพอร์ต USB ผ่านการตั้งค่า BIOS ). เป็นไปได้ที่จะบล็อกการใช้เฉพาะไดรฟ์ USB โดยทางโปรแกรม โดยไม่กระทบต่ออุปกรณ์ USB เช่น เมาส์ แป้นพิมพ์ เครื่องพิมพ์ ฯลฯ (ซึ่งไม่รู้จักว่าเป็นดิสก์แบบถอดได้)

นโยบายการบล็อกอุปกรณ์ USB จะทำงานหากโครงสร้างพื้นฐานของโดเมน AD ของคุณตรงตามข้อกำหนดต่อไปนี้:

  • เวอร์ชันสคีมา Active Directory — Windows Server 2008 หรือใหม่กว่า;หมายเหตุ . ชุดนโยบายกลุ่มช่วยให้ควบคุมการติดตั้งและการใช้สื่อแบบถอดได้บน Windows ที่ปรากฏเฉพาะใน AD เวอร์ชัน 44
  • เดสก์ท็อประบบปฏิบัติการ –Windows 7 หรือใหม่กว่า

เราจะจำกัดการใช้ไดรฟ์ USB สำหรับคอมพิวเตอร์ทุกเครื่องในคอนเทนเนอร์ AD (OU) คุณสามารถใช้นโยบายบล็อก USB กับทั้งโดเมนได้ แต่จะมีผลกับเซิร์ฟเวอร์และอุปกรณ์เทคโนโลยีอื่นๆ สมมติว่าเราต้องการใช้นโยบายกับ OU ชื่อ เวิร์กสเตชัน . โดยเปิดคอนโซลการจัดการ GPO (gpmc.msc ) คลิกขวาที่เวิร์กสเตชัน OU และสร้างนโยบายใหม่ (สร้าง GPO ในโดเมนนี้และลิงก์ที่นี่ )

เคล็ดลับ . ในกรณีของคอมพิวเตอร์แบบสแตนด์อโลน นโยบายการจำกัดอุปกรณ์ USB สามารถแก้ไขได้โดยใช้ตัวแก้ไขนโยบายกลุ่มในเครื่อง – gpedit.msc . Local Group  Policy Editor ไม่มีใน Windows Home รุ่นต่างๆ แต่คุณสามารถติดตั้งได้ดังนี้:วิธีเปิดใช้งาน gpedit.msc บน Windows 10 Home

จะบล็อกไดรฟ์ USB ใน Windows โดยใช้นโยบายกลุ่มได้อย่างไร

ตั้งชื่อ GPO “ปิดการใช้งานการเข้าถึง USB” .

จะบล็อกไดรฟ์ USB ใน Windows โดยใช้นโยบายกลุ่มได้อย่างไร

แก้ไขการตั้งค่า GPO (แก้ไข )

จะบล็อกไดรฟ์ USB ใน Windows โดยใช้นโยบายกลุ่มได้อย่างไร

การตั้งค่าสำหรับการบล็อกอุปกรณ์จัดเก็บข้อมูลภายนอกมีอยู่ในส่วนผู้ใช้และคอมพิวเตอร์ของ GPO:

  • การกำหนดค่าผู้ใช้ -> นโยบาย -> เทมเพลตการดูแลระบบ -> ระบบ -> การเข้าถึงที่เก็บข้อมูลแบบถอดได้
  • การกำหนดค่าคอมพิวเตอร์ -> นโยบาย -> เทมเพลตการดูแลระบบ -> ระบบ -> การเข้าถึงที่เก็บข้อมูลแบบถอดได้
หากคุณต้องการบล็อกอุปกรณ์เก็บข้อมูล USB สำหรับผู้ใช้คอมพิวเตอร์ทุกคน คุณต้องกำหนดการตั้งค่าในส่วน "การกำหนดค่าคอมพิวเตอร์"

ใน การเข้าถึงที่เก็บข้อมูลแบบถอดได้ มีหลายนโยบายที่อนุญาตให้คุณปิดการใช้งานคลาสพื้นที่เก็บข้อมูลประเภทต่างๆ — CD/DVD, FDD, อุปกรณ์ USB, เทป ฯลฯ

  • ซีดีและดีวีดี:ปฏิเสธการดำเนินการเข้าถึง
  • ซีดีและดีวีดี:ปฏิเสธการเข้าถึงแบบอ่าน
  • ซีดีและดีวีดี:ปฏิเสธการเข้าถึงการเขียน
  • คลาสที่กำหนดเอง:ปฏิเสธการเข้าถึงการอ่าน
  • คลาสที่กำหนดเอง:ปฏิเสธการเข้าถึงเพื่อเขียน
  • ฟลอปปีไดรฟ์:ปฏิเสธการเข้าถึงการดำเนินการ
  • ฟลอปปีไดรฟ์:ปฏิเสธการเข้าถึงแบบอ่าน
  • ฟลอปปีไดรฟ์:ปฏิเสธการเข้าถึงการเขียน
  • ดิสก์แบบถอดได้:ปฏิเสธการเข้าถึงการดำเนินการ
  • ดิสก์แบบถอดได้:ปฏิเสธการเข้าถึงแบบอ่าน
  • ดิสก์แบบถอดได้:ปฏิเสธการเข้าถึงการเขียน
  • คลาสพื้นที่เก็บข้อมูลแบบถอดได้ทั้งหมด:ปฏิเสธการเข้าถึงทั้งหมด
  • ที่เก็บข้อมูลแบบถอดได้ทั้งหมด:อนุญาตการเข้าถึงโดยตรงในเซสชันระยะไกล
  • เทปไดรฟ์:ปฏิเสธการเข้าถึงการดำเนินการ
  • เทปไดรฟ์:ปฏิเสธการเข้าถึงแบบอ่าน
  • เทปไดรฟ์:ปฏิเสธการเข้าถึงการเขียน
  • Windows Portable Device – คลาสนี้รวมถึงสมาร์ทโฟน แท็บเล็ต เครื่องเล่น ฯลฯ
  • อุปกรณ์ WPD:ปฏิเสธการเข้าถึงการเขียน

อย่างที่คุณเห็น คุณสามารถปฏิเสธการเปิดไฟล์ปฏิบัติการสำหรับอุปกรณ์แต่ละคลาสได้ (ปกป้องคอมพิวเตอร์จากไวรัส) ห้ามอ่านข้อมูล และเขียน/แก้ไขไฟล์บนสื่อภายนอก

จะบล็อกไดรฟ์ USB ใน Windows โดยใช้นโยบายกลุ่มได้อย่างไร

นโยบายการจำกัดที่ "เข้มงวดที่สุด" — คลาสพื้นที่เก็บข้อมูลแบบถอดได้ทั้งหมด:ปฏิเสธการเข้าถึงทั้งหมด – อนุญาตให้ปิดการใช้งานการเข้าถึงอุปกรณ์จัดเก็บข้อมูลภายนอกทุกประเภทอย่างสมบูรณ์ หากต้องการเปิดใช้นโยบาย ให้เปิดและทำเครื่องหมายที่เปิดใช้ .

จะบล็อกไดรฟ์ USB ใน Windows โดยใช้นโยบายกลุ่มได้อย่างไร

หลังจากเปิดใช้งานและอัปเดตนโยบายบนคอมพิวเตอร์ไคลเอนต์ (gpupdate /force ) OS ตรวจพบอุปกรณ์ภายนอกที่เชื่อมต่อ (ไม่เพียงแต่อุปกรณ์ USB แต่ยังรวมถึงไดรฟ์ภายนอกด้วย) แต่เมื่อพยายามเปิด อุปกรณ์ดังกล่าวจะเกิดข้อผิดพลาด:

Location is not available
Drive is not accessible. Access is denied.

จะบล็อกไดรฟ์ USB ใน Windows โดยใช้นโยบายกลุ่มได้อย่างไร

เคล็ดลับ . คุณสามารถตั้งค่าข้อจำกัดเดียวกันได้โดยใช้รีจิสทรีโดยสร้างพารามิเตอร์ DWORD Deny_All ด้วยค่า 00000001 ในรีจิสตรีคีย์ HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\RemovableStorageDevices .

ในส่วนนโยบายเดียวกัน คุณสามารถกำหนดค่าข้อจำกัดที่ยืดหยุ่นมากขึ้นเกี่ยวกับการใช้ไดรฟ์ USB ภายนอก

ตัวอย่างเช่น เพื่อป้องกันการเขียนข้อมูลลงในแฟลชไดรฟ์ USB และไดรฟ์ USB ประเภทอื่นๆ คุณควรเปิดใช้นโยบายดิสก์แบบถอดได้:ปฏิเสธการเข้าถึงการเขียน .

จะบล็อกไดรฟ์ USB ใน Windows โดยใช้นโยบายกลุ่มได้อย่างไร

ในกรณีนี้ ผู้ใช้จะสามารถอ่านข้อมูลจากแฟลชไดรฟ์ USB ได้ แต่เมื่อพยายามเขียนข้อมูลลงไป พวกเขาจะได้รับข้อผิดพลาดในการปฏิเสธการเข้าถึง:

Destination Folder Access Denied
You need permission to perform this action

จะบล็อกไดรฟ์ USB ใน Windows โดยใช้นโยบายกลุ่มได้อย่างไร

คุณสามารถป้องกันไม่ให้ไฟล์เรียกทำงานและไฟล์สคริปต์ทำงานจากไดรฟ์ USB ได้โดยใช้ ดิสก์แบบถอดได้:ปฏิเสธการเข้าถึงการดำเนินการ นโยบาย

จะบล็อกไดรฟ์ USB ใน Windows โดยใช้นโยบายกลุ่มได้อย่างไร

การปิดใช้งานไดรฟ์ USB ผ่าน GPO สำหรับผู้ใช้เฉพาะ

บ่อยครั้งที่จำเป็นต้องบล็อกไดรฟ์ USB สำหรับผู้ใช้ทุกคนในโดเมน ยกเว้นผู้ดูแลระบบ

วิธีที่ง่ายที่สุดในการทำเช่นนี้คือการใช้ การกรองความปลอดภัย ในองค์การเภสัชกรรม ตัวอย่างเช่น เพื่อป้องกันไม่ให้ใช้นโยบายบล็อก USB กับกลุ่ม Domain Admins:

  1. เลือก ปิดใช้งานการเข้าถึง USB . ของคุณ นโยบายในคอนโซลการจัดการนโยบายกลุ่ม
  2. ใน การกรองความปลอดภัย ส่วน เพิ่ม ผู้ดูแลระบบโดเมน กลุ่ม; จะบล็อกไดรฟ์ USB ใน Windows โดยใช้นโยบายกลุ่มได้อย่างไร
  3. ไปที่ การมอบหมาย แท็บแล้วคลิก ขั้นสูง . ในตัวแก้ไขการตั้งค่าความปลอดภัย ระบุว่ากลุ่ม Domain Admins ไม่ได้รับอนุญาตให้ใช้ GPO นี้ (ใช้นโยบายกลุ่ม – ปฏิเสธ )

อาจมีงานอื่น คุณต้องอนุญาตให้ใช้ไดรฟ์ USB ภายนอกสำหรับทุกคน ยกเว้นผู้ใช้บางกลุ่ม สร้างกลุ่มความปลอดภัย "ปฏิเสธ USB" และเพิ่มกลุ่มนี้ในการตั้งค่าความปลอดภัยของ GPO สำหรับกลุ่มนี้ ตั้งค่าสิทธิ์ในการอ่านและใช้ GPO และปล่อยให้สิทธิ์อ่านเฉพาะสำหรับ ผู้ใช้ที่ตรวจสอบสิทธิ์ หรือ คอมพิวเตอร์โดเมน กลุ่ม (โดยยกเลิกการเลือก ใช้นโยบายกลุ่ม ช่องทำเครื่องหมาย)

จะบล็อกไดรฟ์ USB ใน Windows โดยใช้นโยบายกลุ่มได้อย่างไร

การบล็อก USB และอุปกรณ์ที่ถอดออกได้ผ่านการตั้งค่ารีจิสทรีและนโยบายกลุ่ม

คุณสามารถควบคุมการเข้าถึงอุปกรณ์ภายนอกได้อย่างยืดหยุ่นมากขึ้นโดยกำหนดการตั้งค่ารีจิสทรีที่กำหนดโดยนโยบายที่กล่าวถึงข้างต้นผ่าน Group Policy Preferences (GPP) นโยบายข้างต้นทั้งหมดสอดคล้องกับรีจิสตรีคีย์บางตัวใน HKLM (หรือ HKCU ) \SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices คีย์ (โดยค่าเริ่มต้นคีย์รีจิสทรีนี้หายไป)

ในการเปิดใช้งานหนึ่งในนโยบายเหล่านี้ คุณต้องสร้างคีย์ย่อยใหม่ในคีย์ที่ระบุด้วยชื่อของคลาสอุปกรณ์ที่คุณต้องการบล็อกการเข้าถึง (คอลัมน์ 2) และพารามิเตอร์ REG_DWORD ด้วยประเภทข้อจำกัด (Deny_Read , Deny_Write หรือ Deny_Execute ). หากค่าของพารามิเตอร์นี้เท่ากับ 1 , การจำกัด USB จะทำงาน ถ้า 0 – ไม่มีการจำกัดซ้ำในคลาสอุปกรณ์นี้

ชื่อนโยบาย Guid คลาสอุปกรณ์ ชื่อพารามิเตอร์รีจิสตรี
ฟลอปปีไดรฟ์:
ปฏิเสธสิทธิ์การอ่าน
{53f56311-b6bf-11d0-94f2-00a0c91efb8b} ปฏิเสธ_Read
ฟลอปปีไดรฟ์:
ปฏิเสธการเข้าถึงการเขียน
{53f56311-b6bf-11d0-94f2-00a0c91efb8b} Deny_Write
ซีดีและดีวีดี:
ปฏิเสธการเข้าถึงแบบอ่าน
{53f56308-b6bf-11d0-94f2-00a0c91efb8b} ปฏิเสธ_Read
ซีดีและดีวีดี:
ปฏิเสธการเข้าถึงการเขียน
{53f56308-b6bf-11d0-94f2-00a0c91efb8b} Deny_Write
ดิสก์แบบถอดได้:
ปฏิเสธสิทธิ์การอ่าน
{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} ปฏิเสธ_Read
ดิสก์แบบถอดได้:
ปฏิเสธการเข้าถึงการเขียน
{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} Deny_Write
เทปไดรฟ์:
ปฏิเสธการเข้าถึงแบบอ่าน
{53f5630b-b6bf-11d0-94f2-00a0c91efb8b} ปฏิเสธ_Read
เทปไดรฟ์:
ปฏิเสธการเข้าถึงการเขียน
{53f5630b-b6bf-11d0-94f2-00a0c91efb8b} Deny_Write
อุปกรณ์ WPD:
ปฏิเสธการเข้าถึงการอ่าน
{6AC27878-A6FA-4155-BA85-F98F491D4F33}
{F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE}
ปฏิเสธ_Read
อุปกรณ์ WPD:
ปฏิเสธการเข้าถึงการเขียน
{6AC27878-A6FA-4155-BA85-F98F491D4F33}
{F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE}
Deny_Write

คุณสามารถสร้างคีย์รีจิสทรีและพารามิเตอร์ที่ระบุได้ด้วยตนเอง ในภาพหน้าจอด้านล่าง ฉันได้สร้าง RemovableStorageDevices คีย์ และคีย์ย่อยชื่อ {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} ด้วยความช่วยเหลือของพารามิเตอร์ REG_DWORD ฉันห้ามเขียนและเรียกใช้ไฟล์สั่งการจากไดรฟ์ USB

จะบล็อกไดรฟ์ USB ใน Windows โดยใช้นโยบายกลุ่มได้อย่างไร

การปิดใช้งานที่เก็บข้อมูล USB จะมีผลทันทีหลังจากใช้นโยบาย (ไม่จำเป็นต้องรีสตาร์ทคอมพิวเตอร์) หาก USB แฟลชไดรฟ์เชื่อมต่อกับคอมพิวเตอร์ แฟลชไดรฟ์นั้นจะใช้งานได้จนกว่าจะเชื่อมต่อใหม่

คุณสามารถใช้รีจิสตรีคีย์เหล่านี้และการกำหนดเป้าหมายระดับรายการของ GPP เพื่อปรับใช้นโยบายที่จำกัดการใช้อุปกรณ์จัดเก็บข้อมูล USB ภายนอกได้อย่างยืดหยุ่น คุณสามารถใช้นโยบายกับกลุ่มความปลอดภัย AD, ไซต์, เวอร์ชันของระบบปฏิบัติการ, OU (คุณสามารถใช้ตัวกรอง WMI ได้) ตัวอย่างเช่น คุณสามารถสร้าง Storage-Devices-Restrict กลุ่มโดเมนและเพิ่มบัญชีคอมพิวเตอร์ที่คุณต้องการจำกัดการใช้ไดรฟ์ USB กลุ่มนี้ระบุไว้ในนโยบาย GPP ของคุณใน การกำหนดเป้าหมายระดับรายการ -> กลุ่มรักษาความปลอดภัย ส่วนที่มีคอมพิวเตอร์ ในตัวเลือกกลุ่ม การดำเนินการนี้จะใช้นโยบายการบล็อก USB กับคอมพิวเตอร์ที่เพิ่มในกลุ่มโฆษณานี้

จะบล็อกไดรฟ์ USB ใน Windows โดยใช้นโยบายกลุ่มได้อย่างไร

หมายเหตุ . ในทำนองเดียวกัน คุณสามารถสร้างนโยบายของคุณเองสำหรับคลาสอุปกรณ์ที่ไม่อยู่ในรายการนี้ คุณสามารถค้นหา ID คลาสอุปกรณ์ได้ในคุณสมบัติของไดรเวอร์ในค่าของ Device Class GUID คุณลักษณะ.

ปิดใช้งานไดรเวอร์ที่เก็บข้อมูล USB ผ่านรีจิสทรี

คุณสามารถปิดการใช้งาน USBSTOR (USB Mass Storage Driver) . ได้อย่างสมบูรณ์ ซึ่งจำเป็นสำหรับการตรวจจับและติดตั้งอุปกรณ์จัดเก็บข้อมูล USB อย่างถูกต้อง

บนคอมพิวเตอร์แบบสแตนด์อโลน คุณสามารถปิดใช้งานไดรเวอร์นี้โดยเปลี่ยนค่าของ เริ่ม พารามิเตอร์รีจิสตรีจาก 3 ถึง 4 . คุณสามารถทำได้ผ่าน PowerShell:

Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\services\USBSTOR" -name Start -Value 4

จะบล็อกไดรฟ์ USB ใน Windows โดยใช้นโยบายกลุ่มได้อย่างไร

รีสตาร์ทคอมพิวเตอร์และลองเชื่อมต่ออุปกรณ์เก็บข้อมูล USB ของคุณ ตอนนี้ไม่ควรปรากฏใน File Explorer หรือคอนโซลการจัดการดิสก์ และใน Device Manager คุณจะเห็นข้อผิดพลาดในการติดตั้งไดรเวอร์อุปกรณ์

หมายเหตุ . นี่เป็นวิธีเดียวที่จะปิดการใช้งานไดรฟ์ USB ใน Windows XP/Windows Server 2003 ที่ล้าสมัย เนื่องจากในเวอร์ชันเหล่านี้ไม่มีการตั้งค่า Group Policy แยกต่างหากเพื่อจำกัดการเข้าถึงอุปกรณ์ USB ภายนอก

คุณสามารถปิดใช้งานไดรเวอร์ USBSTOR ไม่ให้ทำงานบนคอมพิวเตอร์โดเมนได้โดยใช้การตั้งค่านโยบายกลุ่ม ในการดำเนินการนี้ คุณต้องทำการเปลี่ยนแปลงรีจิสทรีผ่าน GPO

การตั้งค่าเหล่านี้สามารถปรับใช้กับคอมพิวเตอร์โดเมนทั้งหมดได้ สร้างนโยบายกลุ่มใหม่ เชื่อมโยงกับ OU กับคอมพิวเตอร์ และใน การกำหนดค่าคอมพิวเตอร์ -> ค่ากำหนด -> การตั้งค่า Windows -> รีจิสทรี ส่วน สร้างพารามิเตอร์ใหม่ด้วยค่า:

  • การกระทำ :อัปเดต
  • รัง :HKEY_LOCAK_MACHINE
  • เส้นทางหลัก :SYSTEM\CurrentControlSet\Services\USBSTOR
  • ชื่อค่า :เริ่ม
  • ประเภทค่า :REG_DWORD
  • ข้อมูลค่า :00000004

จะบล็อกไดรฟ์ USB ใน Windows โดยใช้นโยบายกลุ่มได้อย่างไร

อนุญาตให้เชื่อมต่อเฉพาะอุปกรณ์จัดเก็บข้อมูล USB เท่านั้น

คุณสามารถใช้การตั้งค่ารีจิสทรีบางอย่างเพื่ออนุญาตให้ไดรฟ์จัดเก็บ USB เฉพาะ (ที่ได้รับอนุมัติ) เชื่อมต่อกับคอมพิวเตอร์ของคุณได้ มาดูวิธีกำหนดค่านี้กัน

เมื่อคุณเชื่อมต่ออุปกรณ์เก็บข้อมูล USB ใดๆ เข้ากับคอมพิวเตอร์ USBSTOR ไดรเวอร์ติดตั้งอุปกรณ์และสร้างคีย์รีจิสทรีแยกต่างหากภายใต้  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR . คีย์รีจิสทรีนี้มีข้อมูลเกี่ยวกับไดรฟ์ USB (เช่น Disk &Ven_Kingstom &Prod_DT_1010_G2 &Rev_12.00)

จะบล็อกไดรฟ์ USB ใน Windows โดยใช้นโยบายกลุ่มได้อย่างไร

คุณสามารถแสดงรายการไดรฟ์ USB ที่เคยเชื่อมต่อกับคอมพิวเตอร์ของคุณด้วยคำสั่ง PowerShell ต่อไปนี้:

Get-ItemProperty –Path HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*| select FriendlyName

จะบล็อกไดรฟ์ USB ใน Windows โดยใช้นโยบายกลุ่มได้อย่างไร

คุณลบรีจิสทรีคีย์ทั้งหมดสำหรับแฟลชไดรฟ์ USB ที่เชื่อมต่อก่อนหน้านี้ได้ ยกเว้นสิ่งที่คุณต้องการ

จากนั้น คุณต้องเปลี่ยนการอนุญาตบนรีจิสตรีคีย์ USBSTOR เพื่อให้ทุกคน (รวมถึงระบบและผู้ดูแลระบบ) มีสิทธิ์ในการอ่านเท่านั้น ด้วยเหตุนี้ เมื่อคุณเชื่อมต่อไดรฟ์ USB ใดๆ ยกเว้นไดรฟ์ที่ได้รับอนุญาต Windows จะไม่สามารถติดตั้งอุปกรณ์ได้