settingsLogin | Registersettings
Show Menu

¿Cómo puedo bloquear los puertos USB por medio de políticas de Active Directory?

+3 votos
Muy buen dia Excelente sitio de preguntas.

Tengo dos preguntas que creo que van relacionadas.  1.. Como puedo bloquear desde una GPO los puertos USB? 2 .Como puedo bloquear que no permina agregar hardwares nuevos. Gracias por la ayuda. saludos a todos.
por (36 puntos)  
editado por
Tienes controlador sobre 2008 R2, 2008 o 2003. Adicional tus clientes son xp, 7, 8 Estaremos atentos
Donde esta el GP Managent, que OS es. Windows 2003 o 2008? y las estaciones que sistema operativo tiene?
Windows Server 2008 R2, las estaciones tienen Windows XP en su mayoría SP3, algunos tienen Windows 7.

3 Respuestas

+5 votos

 

Deshabilitar el uso de memorias USB a través de una GPO

 
Puedes aprender a como deshabilitar o bloquear el uso de dispositivos de almacenamiento como memorias USB, floppy discs, lectoras y unidades LS-120.
Son muchas las formas para deshabilitar el uso de estos dispositivos, hoy veremos la restricción a través de una GPO a una OU, que contiene objetos computadoras.

Pasos a seguir:
  1. Ingresar a: http://support.microsoft.com/kb/555324 y copiar el código a un archivo de texto plano y guardarlo con laextensión .adm. (Esta es la plantilla obtenida de Microsoft). Se debe copiar todo el texto sin modificación alguna.
  2. Debemos ingresar al Domain Controller, que contiene el Active Directory, y acceder a la consola Group Policy Management Console. Podemos descargarla de:http://www.microsoft.com/downloads/details.aspx?FamilyID=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en. Les recomiendo que utilicen el GPMC porque les facilitará el modelado de GPOs o Directivas de grupos.
  3. Luego de descargarlo debemos instalarla.
  4. Accedemos a Inicio, Ejecutar y escribimos gpmc.msc.
  5. Expandemos los contenedores y creamos una GPO y la linkeamos o asociamos a una OU. Esta OU (Unidad Organizativa) debe contener las cuentas de computadoras donde se bloqueará el acceso a dispositivos de almacenamiento.
  6. Escribimos un nombre para la GPO.
  7. Seleccionamos la GPO creada y le damos clic derecho, Editar.
  8. Expandemos Computer Configuration, Administrative Templates, damos clic derecho y seleccionar Agregar/Eliminar Templates.
  9. Importamos el template, el cual es obtenido de:http://support.microsoft.com/kb/555324. Este código lo guardamos en un archivo de texto plano con extensión .adm.
  10. Luego aparecerá una carpeta llamada Restrict Drives. Sobre esta carpeta le damos clic derecho, y hacemos clic en View, luego en Filtering. Debemos deshabilitar los tres checks:Filter By requirement information, Only show configured policy settings y Only show policy settings that can be fully managed. Como lo muestra la imagen.
  11. Hacemos clic sobre Restricted Drives y hacemos click sobre Disable USB, ahora nos cargará una pantalla para asignar la política. Debemos habilitar la política, para ello será necesario seleccionar Enable o Habilitado a la política, y luego seleccionar la opción correcta para el siguiente texto: Disable USB Ports, Enable si queremos que esten deshabilitados y Disable si queremos que estén habilitados.

Nota: Cabe señalar que esta política no debe ser eliminada debido a que toma poseción de los archivos usbstor.inf y usbstor.sys. Sólo podemos seleccionar Enable o Disable para la política. Si la GPO es eliminada la configuración definida permanecerá. Ustedes pueden obtener más información de:http://support.microsoft.com/kb/555324.

 

por (23 puntos)  
Gracias lo probare y les comento.
Apoyo la respuesta de max01ve, yo ya lo he probado anteriormente  en la administracion de mi dominio y realmente es un metodo eficas que me evito mucho trabajo de bloquear puertos usb maquina por maquina.
+1 voto

Puedes bajar un programa freeware que te va a simplificar la vida, y es de uno de los partners altamente reconocido por microsoft que ademas uso para auditar el AD / GPO / Exchange / Servicio / Espacio en server, es de Netwrix:

http://www.netwrix.com/usb_blocker_freeware.html

Lo que hace el software es basicamente lo que necesitas y de fonde veras que te crea un GPO.

Con respecto al hardware, si los usuarios del dominio son usuarios razos no deberian poder agregar nada, ni drivers, ni ejecutar software. Lo que puedes hacer es una politica de AppLocker con GPO, esta misma te hace un escaneo de una maquina base en donde este instalada y no va a permitir la ejecucion de ningun software ni hardware nuevo una vez aplicada. Hay software que hacen esto como los de Anti-Executable de Faronics, muy reconocida tambien por el software de los cybercafes "Deep Freeze"

 

Descripcion de los features:

 

Features

Complete removable media control

NetWrix USB Blocker is robust and offers rock–solid protection mechanisms that ensure no unauthorized activity is taking place:

  • Access restriction to all USB and FireWire devices
  • Built–in protection against tampering
  • Secure temporary access via encrypted passcode
  • Protection from unknown devices


Wide range of granular access options

Security solution should be versatile to avoid unnecessary complications that lower its effectiveness:

  • Domain–wide policies
  • Computer scope filter by OU and exclusion lists
  • Black and white lists for devices
  • Trusted and vile users list


Seamlessly integrates in your existing environment

Support for wide variety of environments, and ease of deployment, configuration and maintenance further contribute to overall product performance:

  • Supports Windows 7, Vista, XP, and Server 2003 and 2008
  • Native integration with Active Directory
  • Simple one–click deployment
  • Fully centralized management
  • Shorter personnel learning curve


Saludos.

por (4.6k puntos)  
Al parecer esa aplicación ya no está disponible
0 votos
Hola.

Una forma muy rapida es cambiando los permisos a los archivos USBSTOR.INF y USBSTOR.SYS

estos dos archivos estan en la carpeta %systemroot%\INF (usualmente c:\windows\inf)

Crea una politica para cambiar los permisos y listo. Permite solo a administradores asi cuando te logeas en ese equipo como administrador puedes utilizar un USB.

Saludos.

Alejandro.
por (67 puntos)  
...