quinta-feira, 25 de março de 2010

Restringindo a gravação para dispositivos de armazenamento removíveis USB via GPO

Visão geral

Neste tutorial iremos mostrar como restringir a capacidade de gravação para dispositivos de armazenamento removíeis USB (USB block storage devices) utilizando Group Policies.

Por padrão usuários podem ler e gravar em dispositivos de armazenamento removíveis USB em computadores executando o Microsoft Windows XP.

Com o Service Pack2 do Windows XP, a Microsoft adicionou a habilidade de adminsitradores restringirem a capacidade de gravação para estes dispositivos mitigando a vulnerabilidade de roubo de informação.

Pré-Requisitos

· Estações de trabalho com o Sistema Operacional Microsoft Windows XP Professional SP2;

· Estações ingressadas no domínio;

· Group Policy Management (GPMC) instalado no controlador de domínio.

Solução

No Domain Controller:

1. Ir em Start / Run digite c:\windows\inf e clique em OK.

2. Na tela Inf clique em Tools e depois em Folder Options...
clip_image001

3. Na tela Folder Options clique na guia View. Clique para desmarcar a opção Hide extensions for Known file types e depois clique em OK.
clip_image002

4. Na tela Inf clique em File e depois em New e escolha Text Document.
clip_image003

5. No nome do arquivo New Text Document.txt digite Usb.adm e pressione Enter. Na tela Rename cliquem em Yes.
clip_image004
clip_image005

6. 6. Abra o arquivo Usb.adm. Copie e cole o código abaixo. Salve as alterações no arquivo Usb.adm.

7.  CLASS MACHINE


8.  CATEGORY !!category


9.  CATEGORY !!categoryname


10.POLICY !!policynameusb


11.KEYNAME "SYSTEM\CurrentControlSet\Control\StorageDevicePolicies"


12.EXPLAIN !!explaintextusb


13.VALUENAME "WriteProtect"


14.VALUEON NUMERIC 1


15.VALUEOFF NUMERIC 0


16. 


17.END POLICY


18.END CATEGORY


19.END CATEGORY


20. 


21.[strings]


22.category="Custom Policy Settings for XP SP2"


23.categoryname="Restrict USB"


24.policynameusb="Disable USB Write"


25.explaintextusb="Windows XP with SP2 will block writes to USB block storage devices"


26.labeltextusb="Disable USB Write"


  


clip_image006



27. Ir em Start / Run digite gpmc.msc e clique em OK.



28. Na tela Group Policy Management expanda Forest/Domains/SeuDomínio. Clique com o botão direito do mouse em Default Domain Policy e escolha Edit...

clip_image007



29. 9. Na tela Group Policy Objetct Editor expanda Computer Configuration. Clique como o botão direito do mouse em Administrative Templates e depois em Add/Remove Templates...

clip_image008



30. Na tela Add/Remove Templates clique em Add.

clip_image009



31. Na tela Policy Templates selecione o arquivo Usb.adm e clique em Open.

clip_image010


Novamente na tela Add/Remove Templates clique em Close.


clip_image011



32. Na tela Group Policy Object Editor clique em View e depois em Filtering...

clip_image012



33. Na tela Filtering clique para desmarcar a opção Only show policy settings that can be fully managed depois clique em OK.

clip_image013



34. Na tela Group Policy Object Editor expanda Computer Configuration\Administrative Templates\Custom Policy Settings for XP SP2 e clique em Restrict USB.

clip_image014



35. No painel direito da tela Group Policy Object Editor dê um duplo clique em Disable USB Write. Na tela Disable USB Write Properties clique na opção Enable e depois em OK.

clip_image015



36. Feche a tela Group Policy Object Editor. Feche a tela Group Policy Management.

Um comentário:

Paulo Seibel disse...

Boa Tarde André;

Por gentileza: é possível usar essa GPO para bloquear pendrives no windows 7?

O que precisa ser ajustado /mudado ?

Cordialmente

Paulo Seibel