Bloccare chiavette USB e disattivare Autoplay in Windows 11

Come ''disabilitare l'autorun e proteggere il computer da virus portati da penne USB e chiavette infette

L'inserimento di una memoria portatile di dubbia provenienza rappresenta il metodo più banale eppure infallibile per infettare un computer. Microsoft continua a mantenere attive funzioni di comodità che espongono il fianco ad attacchi informatici, privilegiando l'immediatezza d'uso alla protezione dei dati. Inserire un dispositivo trovato per strada o prestato da un collega poco attento innesca spesso l'esecuzione silente di script maligni. Per dormire sonni tranquilli bisogna intervenire a mano sulle configurazioni di Windows, disinnescando l'avvio automatico e, nei casi più rigidi, sigillando del tutto gli ingressi fisici.

LEGGI ANCHE: Tenere al sicuro i dati della chiavetta USB con VeraCrypt

Fermare l'apertura automatica dalle Impostazioni

Il primo livello di difesa agisce sull'interfaccia principale del sistema operativo. Windows 11 cerca sempre di interpretare il contenuto del disco appena collegato per mostrare foto o video, ma questa lettura preventiva va bloccata alla radice.

• Premere la combinazione di tasti Windows + I per aprire le Impostazioni.
• Selezionare la voce Bluetooth e dispositivi dal menu laterale.
• Cliccare su AutoPlay nella parte centrale dello schermo.
• Spegnere l'interruttore alla voce Usa AutoPlay per tutti i supporti e i dispositivi.
• Impostare le opzioni a comparsa per unità rimovibili e schede di memoria su Nessuna azione.

Da questo momento in poi, l'utente dovrà aprire Esplora File intenzionalmente per visualizzare i documenti, riducendo pesantemente le probabilità di esecuzioni indesiderate.

Disabilitare le memorie esterne tramite Criteri di Gruppo

Per chi utilizza le versioni Pro o Enterprise di Windows, l'Editor dei Criteri di Gruppo offre un controllo totale sulle periferiche di archiviazione. Risulta il metodo preferito nelle aziende per impedire il furto di documenti sensibili e l'immissione di file non autorizzati.

• Premere Windows + R, digitare gpedit.msc e dare invio.
• Navigare nel percorso Configurazione computer, poi Modelli amministrativi, Sistema e infine Accesso agli archivi rimovibili.
• Individuare la voce Tutte le classi di archivi rimovibili: nega tutte le autorizzazioni di accesso sulla destra.
• Fare doppio clic, impostare su Attivata e confermare con OK.

Questa impostazione forza il sistema a ignorare qualsiasi pennetta inserita. I dipendenti o gli utenti del PC condiviso non potranno né leggere né scrivere file, mantenendo però il pieno funzionamento di mouse, tastiere e stampanti.

Spegnere le porte dal Registro di sistema

Sulle versioni Home di Windows la modifica tramite Criteri di Gruppo non è accessibile di default. Bisogna agire direttamente sui driver di archiviazione di massa all'interno del Registro di sistema.

• Premere Windows + R, digitare regedit e confermare.
• Raggiungere la cartella HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR.
• Individuare la chiave Start nel pannello destro e aprirla con un doppio clic.
• Cambiare il valore numerico da 3 a 4.

Per annullare la restrizione e tornare a leggere i dispositivi basterà reinserire il valore 3. Riavviare il computer assicura l'applicazione corretta della modifica sui driver.

Vaccinare le chiavette USB (Il metodo manuale infallibile)

Molti malware USB tentano di scriversi nella memoria creando un file chiamato autorun.inf, che contiene le istruzioni per l'attacco. Il "vaccino" consiste nell'occupare preventivamente quel nome con un file bloccato che il virus non riesce a sovrascrivere.

Non serve installare software terzi, basta un trucco semplice ed efficace:

1. Inserisci la chiavetta USB (meglio se appena formattata per partire da una situazione pulita).
2. Apri l'unità, clicca con il tasto destro nello spazio vuoto e seleziona Nuovo > Cartella.
3. Rinomina questa cartella esattamente come: autorun.inf
4. Entra nella cartella appena creata e crea al suo interno un'altra cartella con un nome qualsiasi (ad esempio NONCANCELLARE). Questo passaggio è cruciale: Windows non permette la cancellazione semplice di una cartella se contiene sottocartelle, bloccando i virus meno sofisticati che tentano di eliminare il nostro vaccino.
5. Torna alla radice della chiavetta, clicca col tasto destro sulla cartella autorun.inf e scegli Proprietà.
6. Metti la spunta su Sola lettura e Nascosto, poi clicca su OK.

Ora la penna USB possiede uno scudo passivo. Se un virus tenterà di creare il proprio file di avvio, troverà lo spazio occupato e fallirà l'infezione.

I migliori programmi gratuiti per blindare le porte

Modificare manualmente i file di sistema richiede tempo e attenzione. Esistono piccoli software in grado di automatizzare queste chiusure, offrendo interruttori veloci per gestire gli accessi in base alle necessità del momento.

Seguire la rotta di Navigaweb porta spesso a scoprire utility portatili e sconosciute ai più, proprio come Ratool (Removable Access Tool). Questa applicazione leggerissima non richiede installazione e permette di bloccare l'accesso in scrittura o di disabilitare completamente le unità con un solo clic. La vera forza di questo strumento risiede nella possibilità di proteggere le impostazioni con una password, impedendo ad altre persone di annullare il blocco a nostra insaputa.

USB Disk Security rimane uno scudo sempre valido per impedire l'infezione da minacce autonome. Funziona in background e ferma i processi sospetti prima che raggiungano il disco rigido. Si adatta molto bene ai computer più anziani che faticano a far girare pesanti suite di protezione.

USBFix: Al momento è uno dei pochi strumenti rimasti attivi e aggiornati specificamente per questo scopo. La versione gratuita permette di pulire le chiavette infette ed offre una funzione di "Vaccinazione" che automatizza il processo manuale descritto sopra. È molto aggressivo contro i malware che creano collegamenti falsi (shortcut virus).

Il limite della protezione software: BadUSB

Le procedure descritte proteggono dai virus software, ma non possono nulla contro attacchi hardware come BadUSB. In questi casi, il chip della chiavetta è modificato per farsi riconoscere come una tastiera e digitare comandi malevoli.

Le finte chiavette (spesso note nell'ambiente informatico come Rubber Ducky) ingannano il computer fingendosi tastiere per digitare comandi distruttivi in pochi millisecondi. I blocchi di archiviazione visti sopra non fermano questi attacchi di natura puramente fisica.

L'unica difesa contro BadUSB è fisica: non utilizzare mai chiavette trovate per terra o ricevute come gadget da fonti non verificate. Se devi caricare lo smartphone a una torretta pubblica, usa un cavo "solo ricarica" o un adattatore "USB Data Blocker" che isola fisicamente i pin dei dati.

Altre cose importanti

• Come recuperare i file nascosti da un virus USB? Spesso i virus rendono i file "invisibili". Si può usare il comando attrib -h -r -s /s /d G:\*.* (sostituendo G con la lettera della chiavetta) dal Prompt dei comandi.
• L'antivirus del PC non basta? Windows Defender è ottimo, ma agisce quando il virus tenta di entrare. Disattivare l'Autoplay evita proprio che il virus "bussi alla porta".
• Posso vaccinare un Hard Disk esterno? Sì, il metodo della cartella autorun.inf funziona su qualsiasi memoria esterna formattata in FAT32 o NTFS.
• Formattare una memoria infetta elimina ogni minaccia presente al suo interno, a condizione di avviare l'operazione cliccando con il tasto destro sull'unità senza mai aprirne il contenuto.
• Windows Defender possiede una funzione nascosta per scansionare in automatico ogni disco rimovibile, attivabile aprendo PowerShell come amministratore e digitando il comando Set-MpPreference -DisableRemovableDriveScanning $false.
• Disattivare le periferiche da Gestione Dispositivi disabilitando l'Hub radice USB risulta un errore frequente. Questa azione spegne del tutto l'erogazione di corrente, bloccando immediatamente anche le periferiche legittime collegate al PC.
• Il blocco tramite Registro di sistema o Ratool ha effetto solo sui dispositivi di archiviazione di massa. Non impedisce in alcun modo la normale ricarica della batteria di smartphone o tablet collegati tramite cavo.

In alternativa si possono bloccare del tutto le porte USB del computer oppure, in modo meno drastico, dare autorizzazioni specifiche per nuovi dispositivi USB che vengono collegati al pc.

Consiglio prezioso è, anche se si possiede un antivirus come Nod 4 o Kaspersky, che hanno la protezione dei supporti USB, di disabilitare sempre e comunque l'autorun.