none
Hablitar politica de bloqueo de USB, CD.

    Question

  •  

    Hola, un cliente me pide que bloque todos los puertos usb y cd de los usuarios de su dominio. Me e estado mirando la política de bloqueo de usb y cd de la pagina de microsoft: http://support.microsoft.com/kb/555324/en-us en el cual tengo que copiar unos parámetros y renombrarlo a .adm y después importar el .adm, pero luego solo me aparece esto en plantillas administrativas:  solo me sale System policy settings -> una carpeta restring drives pero vacía no se ve ninguna opción para activar o desactivar.

    Me e fijado por foros que hay gente que le sucede lo mismo y no se encontrar la solución.

    Si me pueden ayudar seria de mucha ayuda.

    Un saludo a toda la gente del foro.

    Friday, February 15, 2008 10:37 AM

Answers

  • Ingeniero,

    Estoy verificando como realizar el Script para realizarlo por GPO.

    El proceso se puede realizar con un cambio en el Regedit.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\UsbStor

    en Start lo cambio a 4. El por defecto esta con el numero 3 por si desean cambiar la llave en "Start".


    Ing. Diego Fernando Muñoz L. MCT - MCSA - MCSE - CCAI - CCNA.
    Friday, May 15, 2009 11:49 PM

All replies

  •  

    En la MMC de directiva de grupo donde aparece el Restrict Drives , ve a View - Filtering y deselecciona la opcion que dice Only show policy settings that fully managed.

     

    Slds
    Sebastian del Rio

    Friday, February 15, 2008 11:24 AM
  • Gracias, no me habia fijado con el filtro.

    ya veo las opciones de habilitar o deshabilitar. Muchas Gracias!!!

    Un saludo.

    Friday, February 15, 2008 11:41 AM
  •  

    Hola,

    me e dado cuenta de que la politica esta habilitada y no me funciona, ya que me detecta los pendrive por usb.

    Despues de configurar la directiva poniendola a todo el dominio y en modo forzada, he realizado un gpupdate /force en el servidor y en los equipos y e cerrado sesión y e iniciado de nuevo la sesion y no me funciona. no se que puede ocurrir.

    estos son los parametros del .adm

     

    CLASS MACHINE
    CATEGORY !!category
     CATEGORY !!categoryname
      POLICY !!policynameusb
       KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
       EXPLAIN !!explaintextusb
         PART !!labeltextusb DROPDOWNLIST REQUIRED
     
           VALUENAME "Start"
           ITEMLIST
            NAME !!Disabled VALUE NUMERIC 3 DEFAULT
            NAME !!Enabled VALUE NUMERIC 4
           END ITEMLIST
         END PART
       END POLICY
      POLICY !!policynamecd
       KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
       EXPLAIN !!explaintextcd
         PART !!labeltextcd DROPDOWNLIST REQUIRED
     
           VALUENAME "Start"
           ITEMLIST
            NAME !!Disabled VALUE NUMERIC 1 DEFAULT
            NAME !!Enabled VALUE NUMERIC 4
           END ITEMLIST
         END PART
       END POLICY
      POLICY !!policynameflpy
       KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
       EXPLAIN !!explaintextflpy
         PART !!labeltextflpy DROPDOWNLIST REQUIRED
     
           VALUENAME "Start"
           ITEMLIST
            NAME !!Disabled VALUE NUMERIC 3 DEFAULT
            NAME !!Enabled VALUE NUMERIC 4
           END ITEMLIST
         END PART
       END POLICY
      POLICY !!policynamels120
       KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
       EXPLAIN !!explaintextls120
         PART !!labeltextls120 DROPDOWNLIST REQUIRED
     
           VALUENAME "Start"
           ITEMLIST
            NAME !!Disabled VALUE NUMERIC 3 DEFAULT
            NAME !!Enabled VALUE NUMERIC 4
           END ITEMLIST
         END PART
       END POLICY
     END CATEGORY
    END CATEGORY
     
    [strings]
    category="Custom Policy Settings"
    categoryname="Restrict Drives"
    policynameusb="Disable USB"
    policynamecd="Disable CD-ROM"
    policynameflpy="Disable Floppy"
    policynamels120="Disable High Capacity Floppy"
    explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
    explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
    explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
    explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
    labeltextusb="Disable USB Ports"
    labeltextcd="Disable CD-ROM Drive"
    labeltextflpy="Disable Floppy Drive"
    labeltextls120="Disable High Capacity Floppy Drive"
    Enabled="Enabled"
    Disabled="Disabled"

     

    Si alguien me puede ayudar seria de mucha ayuda.

    Gracias y un saludo.

    Friday, February 15, 2008 2:32 PM
  • Haz probado reiniciar la maquina ?

    Slds
    Sebastian del Rio

     

    Friday, February 15, 2008 2:37 PM
  •  

    Hola,

    Ahora mismo acabo de probar de reiniciar la maquina, y me hace lo mismo. la politica esta habilitada y no me funciona. esto es e reporte en html:

     

     
    Bloqueo USB
    Datos recopilados en: 15/02/2008 13:24:58
    General
    Detalles
    Dominio cadi-equipments.inet
    Propietario MIDOMINIO\Admins. del dominio
    Creado 15/02/2008 13:03:46
    Modificado 15/02/2008 13:06:02
    Revisiones de usuario 0 (AD), 0 (sysvol)
    Revisiones de equipo 1 (AD), 1 (sysvol)
    Id. único {56388E62-A05C-4BEB-A507-95F50104BFEA}
    Estado de GPO Habilitado
    Vínculos
    Ubicación Forzada Estado de vínculo Ruta
    cadi-equipments Habilitado midominio.local

    Esta lista sólo incluye vínculos en el dominio del GPO
    Filtrado de seguridad
    La configuración en este GPO sólo se puede aplicar a los grupos, usuarios y equipos siguientes:
    Nombre
    NT AUTHORITY\Usuarios autentificados
    Filtrado WMI
    Nombre de filtro WMI Ninguno
    Descripción No aplicable
    Delegación
    Estos grupos y usuarios tienen los permisos especificados para este GPO
    Nombre Permisos Heredado
    CADI-EQUIPMENTS\Administradores de organización Editar configuración, eliminar, modificar seguridad No
    CADI-EQUIPMENTS\Admins. del dominio Editar configuración, eliminar, modificar seguridad No
    NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS Lectura No
    NT AUTHORITY\SYSTEM Editar configuración, eliminar, modificar seguridad No
    NT AUTHORITY\Usuarios autentificados Lectura (de Filtrado de seguridad) No
    Configuración del equipo (habilitada)
    Plantillas administrativas
    Custom Policy Settings/Restrict Drives
    Directiva Configuración
    Disable USB Habilitado
    Disable USB Ports Disabled
    Configuración de usuario (habilitada)
    Ninguna configuración definida.
    Friday, February 15, 2008 3:28 PM
  • A mi me ocurre escatamente lo mismo, B-Bone, diste al final con la solución?

    Gracias
    Monday, May 11, 2009 7:54 AM
  • Cordial Saludo,

    Tenga cuidado con deshabilitar los puertos USB porque hay PC que tienen teclado y Mouse USB.  He realizado la deshabilitacion de puertos USB para almacenamiento.

    No lee los datos, ni puede copiar datos.  Pero puede utilizar para teclado, mouse e impresoras USB.

    Este proceso lo he realizado manualmente en cada equipo por que no existe una GPO para realizar esto.
    Usted puede colocar una politica para ocultar las unidades de Disco Duro y CD o DVD.

    Con Windows 2008 y Windows Vista si hay GPO para deshabilitar los puertos USB.
     


    Ing. Diego Fernando Muñoz L. MCT - MCSA - MCSE - CCAI - CCNA.
    Monday, May 11, 2009 5:45 PM
  • Hola jomaara y B-Bone:

    Yo he probado la politica y me funciona correctamente; posiblemente la falla este en que en que en Configuracion del Equipo (habilitada) - Plantillas Administrativas - Custom Policicy Settings/Restrictir Drivers - Directiva - Disable USB  Habilitado -  Disable USB Ports   HABILIDATO

    No hay problema con los dispositivos USB como Teclado y el Mouse ya que no quedan bloqueados.

    Espero sea de ayuda.

    Cordial Saludo,

    Eduardo L.

    La tarea del Foro TechNet: Conjugar el Verbo "Ayudar" ;)
    Monday, May 11, 2009 8:12 PM
  • Estimados, les comento que yo tambien ejecuta paso a paso este how to hace mucho y no me funciona, si dice que la politica esta aplicada, pero nada, lamentablemente he tenido que usar soft de terceros para hacero, pero quiero que a los que les funciono, puedan enseñarlos como hacerlo, mi res de windows 2003 server r2.


    Muchas gracias.
    Friday, May 15, 2009 3:04 PM
  • Ingeniero,

    Estoy verificando como realizar el Script para realizarlo por GPO.

    El proceso se puede realizar con un cambio en el Regedit.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\UsbStor

    en Start lo cambio a 4. El por defecto esta con el numero 3 por si desean cambiar la llave en "Start".


    Ing. Diego Fernando Muñoz L. MCT - MCSA - MCSE - CCAI - CCNA.
    Friday, May 15, 2009 11:49 PM
  • Estimado Diego, junto con saludarte , te quiero preguntar si lograste hacer el script que estabas verificando .

     

    Quiero hacer lo que dices lanzar un script para que cambie el valor start del Usbtor.

     

    Gracias de antamano.

     

    Wednesday, June 30, 2010 3:26 PM
  • Bueno yo no tengo tantos certificados jajaja, pero lo que hice fue entrar al editor de politicas de seguridad de mi active directory y abajo donde dice usuario y luego preferencias, configuracion de windows, y en registro agregue la regla que mencionan arriba

     

    suerte.

    Friday, January 14, 2011 3:51 PM
  • Hola, lo que ocurre es que aun no has terminado de aplicar la política. En la Directiva Disable USB Ports Configuración Disabled debes colocar Habilitado. Actualmente tengo esta política aplicada en equipos Windows 7 Pro SP1 64bits.
    Friday, February 03, 2012 9:02 PM
  • Hola,

    Tengo un servidor win2008 R2 y tengo el siguiente problema; a raiz que en mi trabajo me presionaban para que bloquee los usb, cree una regla en la raiz del dominio para que bloquee los usb, asi que bloqueo y todo bien, pero hasta que un dia un usuario queria usar la lectora no funcionaba me salia el error del bloqueo de usb. creo una regla para habilitar los cd´s y me funcionan en winXP pero en win7 no me funciona salen bloqueados; alguien me podria ayudar a resolver este problema porque para salir del apuro formatie la pc y funciono la lectora, aunque no creo que sea la unica solucion formateando porque son 200 maquinas con win7y ormatearlos todos ni loco.... a la espera de sus comentarios.

    Estare muy agradecido.

    Wednesday, March 26, 2014 10:42 PM