💡 Полезные Советы

В этой статье подробно разберем, как работает технология MTProto FakeTLS, почему она так эффективна для Telegram, и пошагово настроим собственный неуязвимый прокси-сервер.

Что такое MTProto?

MTProto - это специализированный криптографический протокол, разработанный командой Telegram для безопасной передачи данных. Благодаря ему все ваши переписки надежно зашифрованы (как в прочном сейфе), и никто не может прочитать их содержимое. Однако обычный MTProto-прокси легко обнаруживается провайдерами: они не могут прочитать трафик, но видят его специфическую структуру и просто блокируют соединение.

Что такое FakeTLS?

Чтобы обмануть DPI, была придумана надстройка FakeTLS. Её задача - маскировка.
FakeTLS берет зашифрованный трафик Telegram и оборачивает его так, чтобы внешне он выглядел как абсолютно стандартное, безопасное HTTPS-соединение с популярным сайтом (например, с серверами Google, Microsoft или Apple).

Представьте, что вы отправляете секретный документ (ваше сообщение). Обычный прокси - это прозрачный конверт: почтальон (провайдер) не может прочесть текст, но видит, что письмо адресовано в Telegram, и выбрасывает его.
С FakeTLS вы кладете документ в стандартную коробку из-под популярного интернет-магазина. Почтальон видит обычную посылку, ничего не подозревает и свободно пропускает её.

Ограничения: почему не работают звонки?

Важно понимать, что MTProto идеально подходит для передачи текста, фото, видео и кружочков (используется надежный протокол TCP).
Однако голосовые и видеозвонки в Telegram требуют максимальной скорости без задержек, поэтому для них используется протокол UDP. MTProto-прокси не умеет маршрутизировать UDP-трафик. При попытке позвонить приложение попытается установить прямое соединение в обход прокси, и провайдер его заблокирует. (Для звонков лучше использовать полноценные VPN-решения, такие как Outline или WireGuard).

Пошаговая настройка сервера VPS/VDS

Для настройки нам понадобится виртуальный сервер (VPS/VDS) с установленной ОС Linux (рекомендуется Ubuntu) и доступом по SSH. Мы будем использовать современный и легковесный сервер mtg версии 2, работающий через Docker.

1. Подготовка сервера и установка Docker
Подключитесь к вашему серверу по SSH. Для маскировки под HTTPS-трафик нам обязательно нужен свободный порт 443. Проверим, не занят ли он:

ss -tulnp | grep :443

Если вывод пустой - порт свободен.

Установим Docker одной командой (если он еще не установлен):

curl -fsSL https://get.docker.com -o get-docker.sh && sudo sh get-docker.sh

2. Генерация криптографического ключа (FakeTLS)

Нам нужно создать специальный секрет, который заставит наш прокси притворяться сервером Google (dl.google.com). Выполните команду:

docker run --rm nineseconds/mtg:2 generate-secret --hex dl.google.com

В терминале появится длинная строка, начинающаяся с букв ee (например: ee123456789...dl.google.com). Скопируйте и сохраните её! Это ваш секретный ключ.

3. Создание файла конфигурации

Современная версия mtg требует отдельного файла настроек. Создадим его. Скопируйте приведенный ниже блок целиком, заменив ВАШ_СЕКРЕТ_ИЗ_ШАГА_2 на скопированный ранее длинный ключ (кавычки вокруг ключа нужно оставить!):

cat <<EOF > config.toml
secret = "ВАШ_СЕКРЕТ_ИЗ_ШАГА_2"
bind-to = "0.0.0.0:3128"
EOF

Нажмите Enter. Файл config.toml успешно создан в вашей текущей директории.

4. Запуск прокси-сервера

Теперь запустим сам сервер в фоновом режиме. Команда пробросит нужные порты и применит наш файл настроек:

docker run -d --name mtproto-proxy \
  -p 443:3128 \
  -v $(pwd)/config.toml:/config.toml \
  --restart unless-stopped \
  nineseconds/mtg:2 run /config.toml

Чтобы убедиться, что всё запустилось без ошибок, проверьте логи:

docker logs mtproto-proxy

Если вы не видите сообщений об ошибках, значит сервер успешно работает!

5. Настройка Firewall (UFW)
Обязательно нужно разрешить входящий трафик на наш порт маскировки.
Внимание: Если вы используете UFW, сначала обязательно разрешите порт SSH (22), чтобы не потерять доступ к серверу!

sudo ufw allow 22/tcp
sudo ufw allow 443/tcp
sudo ufw enable

(Нажмите y, если система предупредит о возможном разрыве SSH-соединения).

Подключение в Telegram

Ваш сервер готов! Осталось только сформировать ссылку для себя и своих друзей/клиентов.

Шаблон ссылки выглядит так:
tg://proxy?server=IP_АДРЕС_СЕРВЕРА&port=443&secret=ВАШ_СЕКРЕТ

1. Замените IP_АДРЕС_СЕРВЕРА на реальный IP вашего сервера.
2. Вместо ВАШ_СЕКРЕТ вставьте ту самую длинную строку, начинающуюся на ee.
3. Отправьте эту ссылку себе в "Избранное" в Telegram.
4. Нажмите на нее и выберите "Подключить прокси".

В верхней части экрана Telegram появится значок щита с галочкой. Поздравляем, теперь ваш трафик надежно замаскирован, а блокировки остались в прошлом!

P.S: Не забудьте обезопасить сервер и другими полезными вещами, например fail2ban, доступ по ssh ключам и т.д.

Многие владельцы Nintendo Switch столкнулись с неприятной проблемой: eShop перестал открываться даже при смене региона аккаунта, выдавая глухую ошибку подключения. Причина кроется не только в прошлых ограничениях самой Nintendo, но и в недавних массовых блокировках инфраструктуры Cloudflare со стороны Роскомнадзора. Пытаясь заблокировать технологию шифрования ECH (Encrypted Client Hello) и другие сервисы, под блокировку попали целые подсети IP-адресов, на которых работают серверы цифрового магазина Nintendo.

Nintendo Switch не поддерживает установку VPN‑клиентов. На консоль нельзя поставить приложение, которое бы шифровало трафик или меняло IP‑адрес. Поэтому единственный рабочий способ - дать консоли доступ к интернету, который уже проходит через VPN.
И здесь появляется Android‑смартфон: он умеет подключаться к VPN, а с помощью приложения Every Proxy может "раздавать" этот VPN‑трафик другим устройствам в локальной сети.

Почему чужие прокси небезопасны, а локальный прокси через телефон - безопасен.

Публичный прокси - это как попросить незнакомца из подворотни(гетто) отправить вашу почту.
Локальный прокси - это как передать письмо самому себе в соседнюю комнату.

Когда люди слышат слово "прокси", они часто представляют себе сомнительные публичные сервера, где непонятно кто сидит по ту сторону. И это справедливо: чужие прокси действительно могут быть опасны! Но локальный прокси, который работает на вашем собственном телефоне, - это совершенно другая история.

Почему публичные или "чужие" прокси небезопасны.
Когда вы подключаетесь к прокси, который принадлежит неизвестному человеку или компании, вы фактически отдаёте им весь свой интернет‑трафик. Это значит, что владелец прокси может:
•     перехватывать незашифрованные данные (логины, пароли, токены, куки);
•     подменять ответы сайтов (фишинг, реклама, вредоносные скрипты);
•     собирать историю посещений;
•     встраивать трекинг;
•     вмешиваться в трафик игр и сервисов.
Публичные прокси - это чёрный ящик. Вы не знаете, кто их контролирует, что они логируют и какие цели преследуют.

Почему локальный прокси на Android безопасен

1. Вы контролируете устройство - прокси работает на вашем телефоне.
Никто, кроме вас, не имеет к нему доступа.

2. Трафик не выходит наружу - Switch -> ваш телефон -> VPN -> интернет. Никаких сторонних серверов между вами и VPN нет.

3. Прокси не шифрует и не расшифровывает данные - он просто пересылает трафик дальше. HTTPS‑сайты шифруются TLS, VPN шифрует весь трафик телефона, прокси не может "подглядывать" внутрь пакетов.
4. Прокси работает только в вашей Wi‑Fi сети.

5. Every Proxy не имеет доступа к вашему трафику

Подготовка

1. У Вас должен быть телефон OS Android (владельцы Iphone идут лесом), у Вас должен быть рабочий VPN
2. Подключите оба устройства к одной сети. Ваш Android-смартфон и Nintendo Switch должны быть подключены к одной и той же Wi-Fi сети (к одному роутеру).
3. Установите VPN на телефон. Скачайте и установите любой надежный VPN-сервис на ваш Android, если у вас его еще нет.
4. Установите Every Proxy. Скачайте приложение Every Proxy из Google Play Market.

Настройка Android-устройства

1. Откройте ваш VPN-клиент на телефоне.
2. Выберите сервер в стране, где Nintendo eShop работает без ограничений (например, США, Великобритания, Польша и т.д.), и подключитесь к нему.
3. Убедитесь, что VPN работает (обычно появляется значок ключика в верхней панели телефона).

Настройка приложения Every Proxy

1. Откройте приложение Every Proxy на телефоне.
2. В главном меню вы увидите переключатель HTTP/HTTPS. Переведите его во включенное положение.
3. Ниже появятся данные вашего подключения:

4. IP Address (IP-адрес): Обычно выглядит как 192.168.X.X (выбирайте тот, который соответствует вашей локальной Wi-Fi сети, а не внутренний IP типа 10.X.X.X).

   

5. Port (Порт): По умолчанию обычно 8080.
6. Запишите или запомните эти две цифры - они понадобятся для консоли.
7. Нажмите на три точки (Настройки) в правом верхнем углу Every Proxy и убедитесь, что в разделе настроек не стоят ограничения, мешающие раздаче интернета. (По умолчанию стандартных настроек достаточно).

Настройка Nintendo Switch

1. Включите Nintendo Switch и зайдите в Настройки системы (иконка шестеренки на главном экране).
2. Перейдите в раздел Интернет -> Настройки интернета.
3. Консоль начнет поиск сетей. Выберите вашу домашнюю Wi-Fi сеть (к которой уже подключен телефон).
4. Нажмите Изменить настройки.
5. Прокрутите вниз до пункта Прокси-сервер и измените его значение на Вкл.
6. В появившихся полях введите данные из Every Proxy:
7. В поле Сервер введите IP-адрес из приложения (например, 192.168.1.149).
8. В поле Порт введите порт из приложения (например, 8080).
9. Сохраните изменения и нажмите Подключиться к этой сети.
10. Консоль проверит подключение. Если все сделано верно, тест пройдет успешно.

💡 Для особо одаренных.

• Регион аккаунта: Чтобы зайти в зарубежный eShop, регион вашей учетной записи Nintendo (Nintendo Account) должен быть регионом, который не находиться под санкциями. Регион аккаунта меняется через браузер на официальном сайте Nintendo (в настройках профиля), а не на самой консоли!

• Спящий режим: Когда вы переводите телефон в спящий режим, система Android может "убивать" фоновые процессы для экономии батареи, включая Every Proxy или VPN. Если интернет на Switch пропал, проверьте телефон - возможно, нужно отключить оптимизацию батареи для этих двух приложений.

• Отключение: Когда вы закончите скачивать игры и захотите играть по обычной сети, не забудьте зайти в настройки интернета на Switch и выключить Прокси-сервер.

📂 File and Directory Management (Управление файлами и папками)

Эти команды используются для навигации по файловой системе и работы с файлами.

• ls (List): Выводит список файлов и папок в текущей директории.

• pwd (Print Working Directory): Показывает полный путь к папке, в которой вы сейчас находитесь.

• cd (Change Directory): Используется для перехода в другую папку.

• mkdir (Make Directory): Создает новую папку.

• rmdir (Remove Directory): Удаляет пустую папку.

• touch: Создает пустой файл или обновляет время последнего изменения существующего файла.

• cp (Copy): Копирует файлы или папки.

• mv (Move): Перемещает файлы или папки (также используется для переименования).

• rm (Remove): Удаляет файлы (или папки с ключом -r).

📝 File Viewing and Editing (Просмотр и редактирование файлов)

Инструменты для чтения содержимого файлов и внесения изменений.

• cat (Concatenate): Выводит содержимое файла на экран полностью.

• less: Позволяет просматривать длинные файлы постранично (можно листать вверх и вниз).

• more: Старая версия less, позволяет листать только вниз (в большинстве случаев).

• nano: Простой и понятный консольный текстовый редактор для новичков.

• vim: Мощный и сложный консольный редактор для продвинутых пользователей.

• gedit: Стандартный графический текстовый редактор (как Блокнот) для среды GNOME.

⚙️ Process Management (Управление процессами)

Команды для контроля запущенных программ и служб.

• ps (Process Status): Показывает моментальный снимок текущих запущенных процессов.

• top: Показывает список процессов в реальном времени (нагрузка на CPU, память).

• kill: Завершает процесс по его идентификатору (PID).

• killall: Завершает все процессы с указанным именем.

• pstree: Показывает процессы в виде иерархического дерева (кто кого запустил).

• htop: Более удобная, цветная и интерактивная версия top.

ℹ️ System Information (Информация о системе)

Диагностика ресурсов и параметров компьютера.

• uname: Выводит информацию о системе (ядро, архитектура). Часто используют uname -a.

• df (Disk Free): Показывает количество свободного и занятого места на дисках.

• du (Disk Usage): Показывает размер папок и файлов.

• free: Показывает использование оперативной памяти (RAM) и файла подкачки (Swap).

• lscpu: Детальная информация о процессоре.

• lshw (List Hardware): Подробная информация обо всем оборудовании.

• lsblk (List Block Devices): Список всех подключенных накопителей и их разделов.

👤 User and Group Management (Управление пользователями и правами)

Администрирование учетных записей.

• passwd: Смена пароля пользователя.

• useradd: Создание нового пользователя.

• userdel: Удаление пользователя.

• usermod: Изменение параметров пользователя (например, добавление в группу).

• groupadd: Создание новой группы пользователей.

• groupdel: Удаление группы.

• groups: Показывает, в каких группах состоит пользователь.

• id: Выводит цифровые идентификаторы пользователя (UID) и групп (GID).

🌐 Network Configuration and Monitoring (Сеть)

Настройка сети и диагностика подключений.

• ifconfig: Старая команда для просмотра и настройки сетевых интерфейсов (IP, маска).

• ip: Современная и более мощная замена ifconfig.

• ping: Проверка доступности удаленного узла (сервера/сайта).

• netstat: Статистика сетевых подключений, портов и таблиц маршрутизации.

• ss: Современная и быстрая замена netstat для просмотра сокетов.

• traceroute: Показывает маршрут (узлы), который проходит пакет до цели.

• ssh (Secure Shell): Безопасное подключение к удаленному компьютеру.

• nc (Netcat): "Швейцарский нож" для сети — умеет читать и писать данные в сетевые соединения (тестирование портов, передача файлов).

📦 Package Management (Управление пакетами)

Установка и удаление программ. Команды зависят от вашего дистрибутива Linux.

• apt-get / apt: Используются в Debian, Ubuntu, Mint. apt — более современная и удобная версия.

• yum / dnf: Используются в RHEL, CentOS, Fedora. dnf — современная замена yum.

• rpm: Низкоуровневый менеджер пакетов для Red Hat систем (установка .rpm файлов).

• dpkg: Низкоуровневый менеджер пакетов для Debian систем (установка .deb файлов).

• snap: Универсальный менеджер пакетов от Canonical (работает на большинстве дистрибутивов).

• zypper: Менеджер пакетов для openSUSE.

С моей Raspberry Pi 5 всё не так, при добавлении init=/bin/sh в cmdline.txt на Raspberry Pi появляется чёрный экран и кулер работает на максимуме, явный симптом зависания и проблема глубже на уровне железа. Поэтому я заказал UART провод, скоро подключимся по COM порту с помощью PuTTy и посмотрим, какие проблемы при старте системы. 

Раз init=/bin/sh ведёт себя нестабильно, можно сбросить пароль оффлайн, изменив shadow на карте памяти. Если у вас Windows, используйте виртуальную машину (VirtualBox/VMware) с любым Live-образом Linux (Ubuntu/Debian).

Шаг 1: Подготовка VirtualBox (если у вас Windows).
Проброс USB-картридера в виртуальную машину часто вызывает трудности, так как Windows "захватывает" устройство первой.

1. Установите VirtualBox Extension Pack (обязательно для работы USB 2.0/3.0).
2. Вставьте картридер с флешкой в ПК.
3. В настройках машины: USB -> Поставьте галочку Включить контроллер USB -> Нажмите иконку с плюсом ("Добавить фильтр") -> Выберите ваш картридер (например, Generic Mass Storage).
4. Важно: Теперь извлеките картридер из ПК. Запустите виртуальную машину.
5. Когда Linux загрузится, вставьте картридер обратно в порт. Благодаря фильтру он сразу "пробросится" внутрь виртуальной машины.

Шаг 2: Монтирование файловой системы (выполняйте только если карта не смонтировалась автоматически - см. Бонус внизу)

1. Узнайте имя вашего диска:

   1. lsblk

   2. 

   3. Обычно карта памяти видна как sdb или mmcblk0. На ней будет два раздела:
      1. маленький bootfs (FAT32)
      2. большой rootfs (EXT4) - он нам и нужен.

2. Смонтируйте раздел с системой (замените sdb2 на ваш раздел):

   sudo mkdir -p /mnt/rpi
   sudo mount /dev/sdb2 /mnt/rpi
   

Шаг 3: Удаление пароля

Нам нужно отредактировать файл /etc/shadow, где хранятся хеши паролей.

1. Сделайте резервную копию на всякий случай:

   sudo cp /mnt/rpi/etc/shadow /mnt/rpi/etc/shadow.bak

2. Откройте файл в редакторе:

   sudo nano /mnt/rpi/etc/shadow
   

3. Найдите строку с вашим пользователем (обычно pi, root или ваш логин). Она выглядит примерно так:

   user:$6$kH...поток_символов...:19000:0:99999:7:::

4. Что делать: Удалите всё, что находится между первым и вторым двоеточием.

5. 

   1. Было: user:$6$aBcDeF...:12345:...
   2. Стало: user::12345:...
   3. Примечание: Двоеточия должны остаться, между ними должно быть пусто. Это означает "пароль не задан".
6. Сохраните файл: Ctrl+O -> Enter -> Ctrl+X.

Шаг 4: Завершение

1. Размонтируйте диск перед извлечением, чтобы не повредить файловую систему:

   sudo umount /mnt/rpi

2. Вставьте карту обратно в Raspberry Pi и включите его.
3. Система пустит вас без пароля (или попросит логин - введите имя пользователя и нажмите Enter).
4. Сразу же задайте новый пароль:

5. passwd

Бонус: если раздел уже смонтирован (пример с /run/media/...) [Как у меня]

Во многих десктоп‑дистрибутивах (KDE, GNOME, XFCE) флешки и SD‑карты автоматически монтируются файловым менеджером в /run/media/ИМЯ_ПОЛЬЗОВАТЕЛЯ/МЕТКА_НОСИТЕЛЯ.

Это значит, что вам может не понадобиться вручную монтировать раздел в /mnt - достаточно сразу отредактировать файл по уже существующему пути.

Например, если система смонтировала root‑раздел Raspberry Pi как /run/media/merion/rootfs, достаточно выполнить:

sudo nano /run/media/merion(ваше имя пользователя)/rootfs/etc/shadow

Дальнейшие действия те же: найти нужного пользователя и очистить поле с хешем пароля между первым и вторым двоеточием, сохранить файл и корректно размонтировать устройство.

Чем отличается /mnt от /run/media ?

/mnt - исторически "универсальная" точка для ручного временного монтирования, куда админ сам монтирует нужный раздел командой mount.

/media и /run/media - стандартные места для автоматического монтирования съёмных носителей (флешки, SD‑карты и т.п.) через udisks/desktop‑окружение, обычно подподкаталог /run/media/ПОЛЬЗОВАТЕЛЬ/….

Читатели моего сайта знают: 20 раз перезаписывал свою SD карту и давайте посмотрим жива ли она? В этом руководстве я расскажу как проверить SD карту Rastberry Pi 5. (Всё началось из-за проблем прошивки, но мне удалось отключить обновление).

P.S: Мне пришлось решать проблему с Rastbian, потому что на Ubuntu часто отваливался RDP (Удаленный рабочий стол), а у Raspberry Pi есть своя фишка, о которой я расскажу в следующих "Полезных советах".

Если у вас загружен графический интерфейс (Raspberry Pi OS Desktop), вы можете использовать официальную утилиту для тестов. Она не просто проверяет скорость, но и говорит, подходит ли карта для работы ОС.
 

Как запустить:

1. Откройте меню Raspberry Pi (малинка в левом верхнем углу).
2. Перейдите в раздел Accessories (Стандартные).
3. Выберите Raspberry Pi Diagnostics.

(Если утилиты нет, установите её командой: sudo apt install agnostics)

Как пользоваться.

В открывшемся окне нажмите кнопку Run Tests. Утилита проведёт серию тестов записи и чтения файлов. Это займёт 1-2 минуты. Не запускайте в это время тяжелых программ.

Расшифровка результатов (Log).

После теста вы увидите либо PASS (Тест пройден), либо FAIL (Провал). Нажмите Show Log, чтобы увидеть детали. Вот на что смотреть:

Бонус, расшифровка логов со скриншота:

Тесты SD-карты у которой уже облезла краска, оказались не просто нормальными, они отличные! Карта памяти показывает производительность значительно выше минимальных требований Raspberry Pi. Несмотря на 20 циклов перезаписи, контроллер карты пока справляется с нагрузкой великолепно.

Существует несколько уровней отключения USB-портов: от полной блокировки на уровне "железа" (BIOS/физически) до программного запрета только для накопителей (флешек), оставляя рабочими мышь и клавиатуру.
1. Отключение на уровне BIOS/UEFI (Самый надежный метод)
Этот метод полностью обесточивает порты или отключает контроллер. Он работает независимо от ОС, но может отключить USB-клавиатуру и мышь (если нет PS/2). 

• Зайдите в BIOS (обычно Del или F2) -> раздел Peripherals или Advanced -> USB Configuration.

• Опции:

  • USB Controller: [Disabled] - полностью отключает все порты.

  • Legacy USB Support: [Disabled] - иногда используется для отключения USB до загрузки ОС.

  • Single Port Control: На некоторых материнских платах можно отключать конкретные порты выборочно.

2. Windows: Методы для администратора
В Windows чаще всего требуется запретить именно носители информации (DLP), не отключая периферию. 

Через Групповые политики (GPO) - Рекомендуемый

Подходит для доменных сетей или локальной настройки.

1. Нажмите Win + R, введите gpedit.msc.
2. Перейдите: Конфигурация компьютера -> Административные шаблоны -> Система -> Доступ к съемным запоминающим устройствам (Removable Storage Access).
3. Найдите политику Съемные диски: Запретить чтение (или "Запретить выполнение", "Запретить запись").
4. Установите статус Включено.

Через Реестр (Полный запрет драйвера USB-Storage)

Этот метод отключает загрузку драйвера для флешек. Мыши/клавиатуры (HID) продолжат работать.

1. Win + R -> regedit.
2. Путь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
3. Измените значение параметра Start с 3 (включено) на 4 (отключено).
   1. Примечание: Если драйвер уже загружен, потребуется перезагрузка.

Через Диспетчер устройств (Полное отключение порта)

1. devmgmt.msc -> Контроллеры USB.
2. Найдите Корневой USB-концентратор (Root Hub) или Расширенный хост-контроллер.
3. ПКМ -> Отключить устройство. Это отключит питание и передачу данных для группы портов.

Глоссарий:

• USB-порт - физический разъём и интерфейс для подключения устройств (флешки, клавиатуры, мыши, принтеры и т. д.).
• BIOS - базовая прошивка материнской платы, в которой можно включать/выключать встроенные контроллеры и функции до загрузки ОС.
• UEFI - более современная замена BIOS с похожими задачами (инициализация оборудования, настройки, загрузка ОС).
• Peripherals / Advanced / USB Configuration - типичные разделы меню BIOS/UEFI, где находятся настройки USB-контроллера и портов.
• USB Controller - настройка контроллера USB; при Disabled обычно отключаются USB-порты/контроллер на уровне прошивки.
• Legacy USB Support - режим совместимости USB на этапе до загрузки ОС (например, чтобы клавиатура работала в старых режимах/загрузчиках); отключение может повлиять на работу USB до старта ОС.
• Single Port Control - функция точечного отключения отдельных USB-портов (есть не на всех платах).
• ОС (операционная система) - Windows/Linux и т. п., внутри которых тоже можно ограничивать USB.
• DLP (Data Loss Prevention) - класс мер/политик для предотвращения утечек данных, часто через ограничение съёмных носителей.
• GPO (Group Policy Object) / Групповые политики - механизм централизованных или локальных политик Windows для настройки ограничений и поведения системы.
• gpedit.msc - оснастка «Редактор локальной групповой политики» Windows, через которую настраивают политики (в т. ч. для съёмных носителей).
• Removable Storage Access (Доступ к съёмным запоминающим устройствам) - раздел политик Windows по пути Computer Configuration > Policies > Administrative Templates > System > Removable Storage Access, где есть запреты чтения/записи/выполнения для "Removable Disks" и других классов устройств.
• Реестр (Registry) - база конфигурации Windows, где можно менять параметры служб/драйверов и поведения системы.
• USBSTOR - служба/драйвер Windows для USB-накопителей; изменение HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Start на 4 отключает работу USB-накопителей, а возврат на 3 включает обратно.
• Start=3 / Start=4 - типовые значения параметра запуска службы/драйвера в Windows: 3 (ручной/по требованию) и 4 (отключено) на примере USBSTOR.
• HID (Human Interface Device) - класс USB-устройств ввода (клавиатуры, мыши); часто их не трогают, запрещая только накопители.
• Диспетчер устройств (Device Manager) - оснастка Windows для управления устройствами/драйверами (в т. ч. можно отключать USB-хабы/контроллеры).
• devmgmt.msc - команда запуска "Диспетчера устройств".
• USB Root Hub (Корневой USB‑концентратор) - "узел/хаб" в дереве устройств Windows, через который обычно висят несколько портов.
• Host Controller (хост‑контроллер USB) - контроллер, который обслуживает USB‑шину (например, xHCI для USB 3.x); его отключение может "уронить" сразу много портов.
• PS/2 - это старый компьютерный порт (разъём mini-DIN на 6 контактов) для подключения клавиатуры и мыши к ПК, впервые появившийся в линейке IBM PS/2 в 1987 году.
  Используется для клавиатуры и мыши, традиционно фиолетовый - клавиатура, зелёный - мышь.

Включение USB обратно потребует обратных операций: вернуть настройки BIOS/UEFI из Disabled в Enabled, в политиках снять/выключить запреты, а в реестре для USBSTOR\Start поменять 4 -> 3 (и при необходимости перезагрузить).
​