Windows: Запретить автоматическую установку драйверов для новых USB-устройств

При подключении к компьютеру нового USB-устройства, Windows тщательным образом ищет для него драйверы и, в случае обнаружения таковых, без спроса (подтверждения со стороны пользователя) устанавливает их. Это конечно очень удобно, если я подключаю свой любимый смартфон, на который я хочу скинуть новые фотографии, программы или электронные книги. Однако, если я подключаю смартфон ТОЛЬКО на подзарядку, мне не нужно, чтобы у меня в системе была установлена новая мышка, клавиатура, модем, камера и т.п.:

Это я сейчас говорю про свой смартфон. В принципе, мне когда-нибудь может потребоваться полноценное USB-подключение к смартфону, например для того, чтобы установить новый boot-loader. В этом случае автоматическая установка драйвера USB-хранилища мне пригодится. Если рассмотреть другую ситуацию, когда в гости приходит знакомый и просит просто подзарядить его смартфон, то установка драйверов для его смартфона точно не нужна.
Если рассмотреть совсем уж параноидальный пример со смартфоном, зараженным BadUSB, то приятного мало тем более. Хотя попытка Windows автоматически поставить драйвер для USB может принести и такие неудобства.
В связи со всем этим я решил отключить возможности Windows ставить драйвера для новых USB-устройств.

This policy setting allows you to prevent Windows from installing removable devices. A device is considered removable when the driver for the device to which it is connected indicates that the device is removable. For example, a Universal Serial Bus (USB) device is reported to be removable by the drivers for the USB hub to which the device is connected. This policy setting takes precedence over any other policy setting that allows Windows to install a device.

If you enable this policy setting, Windows is prevented from installing removable devices and existing removable devices cannot have their drivers updated. If you enable this policy setting on a remote desktop server, the policy setting affects redirection of removable devices from a remote desktop client to the remote desktop server.

If you disable or do not configure this policy setting, Windows can install and update device drivers for removable devices as allowed or prevented by other policy settings.

1. Запускаем под админом оснастку для управления групповыми политиками:

gpedit.msc

2. Переходим Computer Configuration -> Administrative Templates -> System -> Device Installation -> Device Installation Restrictions -> Prevent Installation of removable devices
3. Устанавливаем значение этой политики в Enabled.
4. Нажимаем «OK».
Теперь при попытке подключить новую USB-флэшку появится сообщение об ошибке:

Если вы попытаетесь подключить уже заблокированную флэшку, то услышите 3 коротких сигнала, но сообщение о заблокированной установке драйвера на этот раз НЕ появится!
Если вдруг потребуется подключить новое USB-устройство, то нужно будет сначала изменить значение этого параметра на Disabled.
Это же относится и к тому случаю, если вы захотите обновить драйвер!

Бывают случаи, когда нужно подключить USB-устройство, которое ранее было заблокировано. То есть, если была включена политика блокировки USB-устройств, потом пользователь пытался подключить флэшку, но система не позволила установить драйвер, потом вы отключили политику, но флэшка все равно не устанавливается. Здесь можно воспользоваться утилитой USBDeview от NirSoft. Запускаем утилиту, находим нужное нам устройство, нажимаем на нем правую кнопку мыши и выбираем пункт меню Uninstall Selected Devices. Драйвер этого устройства будет удален. После этого можно подключить эту флэшку еще раз, система успешно установит для него драйвер. После чего можно опять включать политику блокировки установки драйвера для USB.