DeviceLock
или

A> Что-то не видел я политики, позволяющей запретить доступ к USB. Только
A> с использованием сторонних продуктов, но и там есть нюансы. А что до

Вот что писал на эту тему raw@kgk.bashnet.ru:
"Я получил официальный ответ от Микрософтов:
В SP2 - существует возможность задать раздел реестра, запрещающий операции записи в блочные запоминающие устройства USB,
например карты памяти. Если задан раздел реестра, такие устройства работают только на чтение. Стратегия безопасности может
предусматривать такую настройку, чтобы пользователи не переносили данные на этих устройствах.

Здесь все описано: http://www.microsoft.com/technet/prodtechnol/winxppro/ru/maintain/sp2otech.mspx
и здесь: http://www.microsoft.com/technet/prodtechnol/winxppro/ru/maintain/sp2otech.mspx#EDAA
"

Плюс Dmitriy Ivanov <sadok@mail.ru>; :
"Все описанные изменения вносятся в файл %SystemRoot%\inf\sceregvl.inf

[Register Registry Values]

MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\Start,4,%CdRomStartup%,3,4|%CDDisable%,1|%CDEnable%
MACHINE\SYSTEM\CurrentControlSet\Services\Flpydisk\Start,4,%FlpStartup%,3,4|%FlpDisable%,1|%FlpEnable%

MACHINE\SYSTEM\CurrentControlSet\Services\usbehci\Start,4,%UsbehciStartup%,3,4|%UsbehciDisable%,1|%UsbehciEnable%
MACHINE\SYSTEM\CurrentControlSet\Services\usbuhci\Start,4,%UsbuhciStartup%,3,4|%UsbuhciDisable%,1|%UsbuhciEnable%
MACHINE\SYSTEM\CurrentControlSet\Services\Serial\Start,4,%SerialStartup%,3,4|%SerialDisable%,1|%SerialEnable%
MACHINE\SYSTEM\CurrentControlSet\Services\Parport\Start,4,%ParportStartup%,3,4|%ParportDisable%,1|%ParportEnable%
MACHINE\SYSTEM\CurrentControlSet\Services\usbhub\Start,4,%UsbhubStartup%,3,4|%UsbhubDisable%,1|%UsbhubEnable%


[Strings]
;================================ Devices ======================
CdRomStartup= "Devices: CD-ROM Driver"
CDEnable= "Enable CD-ROM devices"
CDDisable= "Disable CD-ROM devices"

FlpStartup = "Devices: Floppy Disk devices"
FlpEnable= "Enable Floppy Drive devices"
FlpDisable= "Disable Floppy Drive devices"

ParportStartup= "Devices: Parallel port"
ParportEnable= "Enable Parallel port devices"
ParportDisable= "Disable Parallel port devices"

SerialStartup= "Devices: Serial port"
SerialEnable= "Enable Serial port devices"
SerialDisable= "Disable Serial port devices"

UsbehciStartup= "Devices: USB 2.0 Enhanced Host Controller"
UsbehciEnable= "Enable USB 2.0 Enhanced Host Controller devices"
UsbehciDisable = "Disable USB 2.0 Enhanced Host Controller devices"
UsbuhciStartup= "Devices: USB Universal Host Controller"
UsbuhciEnable= "Enable USB Universal Host Controller devices"
UsbuhciDisable = "Disable USB Universal Host Controller devices"
UsbhubStartup= "Devices: USB2 Enabled Hub"
UsbhubEnable= "Enable USB2 Enabled Hub devices"
UsbhubDisable = "Disable USB2 Enabled Hub devices"

;================================================================================================


Далее запускаем regsvr32 scecli.dl и радуемся жизни
В GPO - Security Options появляются описанные выше пункты.
Это позволяет блочить девайсы при старте.
Единственный минус - затруднение мэйнтейнса...

В принципе таким образом можно вносить лЮбые изменения в политику в раздел Security Options "

"Через ГПО явно можно сделать одно из трех:

1. Закрыть доступ вообще всем (включая SYSTEM) к system32\drivers\usbstor.sys
2. Закрыть доступ вообще всем (включая SYSTEM)к
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
3. Отключить службу USB Mass Storage Driver"