quinta-feira, 25 de março de 2010

Restringindo a gravação para dispositivos de armazenamento removíveis USB via GPO

Visão geral

Neste tutorial iremos mostrar como restringir a capacidade de gravação para dispositivos de armazenamento removíeis USB (USB block storage devices) utilizando Group Policies.

Por padrão usuários podem ler e gravar em dispositivos de armazenamento removíveis USB em computadores executando o Microsoft Windows XP.

Com o Service Pack2 do Windows XP, a Microsoft adicionou a habilidade de adminsitradores restringirem a capacidade de gravação para estes dispositivos mitigando a vulnerabilidade de roubo de informação.

Pré-Requisitos

· Estações de trabalho com o Sistema Operacional Microsoft Windows XP Professional SP2;

· Estações ingressadas no domínio;

· Group Policy Management (GPMC) instalado no controlador de domínio.

Solução

No Domain Controller:

1. Ir em Start / Run digite c:\windows\inf e clique em OK.

2. Na tela Inf clique em Tools e depois em Folder Options...
clip_image001

3. Na tela Folder Options clique na guia View. Clique para desmarcar a opção Hide extensions for Known file types e depois clique em OK.
clip_image002

4. Na tela Inf clique em File e depois em New e escolha Text Document.
clip_image003

5. No nome do arquivo New Text Document.txt digite Usb.adm e pressione Enter. Na tela Rename cliquem em Yes.
clip_image004
clip_image005

6. 6. Abra o arquivo Usb.adm. Copie e cole o código abaixo. Salve as alterações no arquivo Usb.adm.

7.  CLASS MACHINE


8.  CATEGORY !!category


9.  CATEGORY !!categoryname


10.POLICY !!policynameusb


11.KEYNAME "SYSTEM\CurrentControlSet\Control\StorageDevicePolicies"


12.EXPLAIN !!explaintextusb


13.VALUENAME "WriteProtect"


14.VALUEON NUMERIC 1


15.VALUEOFF NUMERIC 0


16. 


17.END POLICY


18.END CATEGORY


19.END CATEGORY


20. 


21.[strings]


22.category="Custom Policy Settings for XP SP2"


23.categoryname="Restrict USB"


24.policynameusb="Disable USB Write"


25.explaintextusb="Windows XP with SP2 will block writes to USB block storage devices"


26.labeltextusb="Disable USB Write"


 


clip_image006



27. Ir em Start / Run digite gpmc.msc e clique em OK.



28. Na tela Group Policy Management expanda Forest/Domains/SeuDomínio. Clique com o botão direito do mouse em Default Domain Policy e escolha Edit...

clip_image007



29. 9. Na tela Group Policy Objetct Editor expanda Computer Configuration. Clique como o botão direito do mouse em Administrative Templates e depois em Add/Remove Templates...

clip_image008



30. Na tela Add/Remove Templates clique em Add.

clip_image009



31. Na tela Policy Templates selecione o arquivo Usb.adm e clique em Open.

clip_image010


Novamente na tela Add/Remove Templates clique em Close.


clip_image011



32. Na tela Group Policy Object Editor clique em View e depois em Filtering...

clip_image012



33. Na tela Filtering clique para desmarcar a opção Only show policy settings that can be fully managed depois clique em OK.

clip_image013



34. Na tela Group Policy Object Editor expanda Computer Configuration\Administrative Templates\Custom Policy Settings for XP SP2 e clique em Restrict USB.

clip_image014



35. No painel direito da tela Group Policy Object Editor dê um duplo clique em Disable USB Write. Na tela Disable USB Write Properties clique na opção Enable e depois em OK.

clip_image015



36. Feche a tela Group Policy Object Editor. Feche a tela Group Policy Management.

às

Um comentário:

Paulo Seibel disse...

Boa Tarde André;

Por gentileza: é possível usar essa GPO para bloquear pendrives no windows 7?

O que precisa ser ajustado /mudado ?

Cordialmente

Paulo Seibel

16 de julho de 2015 às 17:38

Postar um comentário

Assinar: Postar comentários (Atom)

Boot em imagem .VHDX de um desktop

Como diz um amigo meu coronel reformado do exército brasileiro, quem trabalha na área da saúde vive uma “missão real”, pois ali lidamos com ...