none
Bloquear dispositivos USB

    Pregunta

  • Hola a todos:

     

    Soy el administrador de la red de una institución financiera, nuestra infraestructura de red es 100% Microsoft, uno de los grades problemas que tenemos actualmente son los dispositivos extraíbles (aquí los conocemos como memorias USB) ya hemos tenido casos de robo d e información o de infección de virus ya que los empleados hacen uso de estos dipositivos para pasarse música, fotos, etc. He tratado por todos los medios de solucionar este problema con  Windows 2000 o  XP pero no encuentro la forma, mi pregunta es la siguiente: ¿Windows Vista integra algún mecanismo para restringir la instalación de dispositivos USB? me interesa mucho por que dentro de poco vamos a renovar casi todos nuestros  equipos y estamos analizando si los pedimos con  Windows Vista.

     

    Espero sus comentarios

     

    Tito

     

    viernes, 21 de septiembre de 2007 13:42

Respuestas

  • Siendo Administrador tienes todas las alternativas del mundo, inclusive ya desde Windows XP SP2.

     

    Desde XP SP2 y ahora en Vista, se incluyen politicas restrictivas que bloquen el uso de dispositivos USB de almacenamiento. Puede hacerse bien mediante politicas de DOminio, si estais en Dominio, o bien mediante la gestion de politicas en local (ejecutando GPEDIT.MSC) y estableciendo la politica en local.

     

    Ahora bien, si estas en una empresa lo logico es que esteis en DOminio y en ese caso será mas comodo de administrar desde el Dominio.

     

    Para maquinas o sistemas anteriores a XP SP2, se debe controlar de otra manera ya que no tenian dicha politica. Revisate este articulo mio sobre el tema: "Cómo prevenir el uso de dispositivos removibles USB" que está publicado en: http://www.multingles.net/docs/jmt/usb.htm

     

    Un saludo,

    viernes, 21 de septiembre de 2007 13:50
  • Estimado Tito:

     

    Si  efectivamente Windows Vista trae nuevas políticas de grupo que te permiten bloquear dispositivos USB no deseados y solo permitir que se instalen los autorizados como mouse o teclado, etc.

    Esta políticas como todas las puedes aplicar en un equipo como locales o desde directorio activo para todo tu dominio.

    Puedes probarlo en el equipo local abre una consola y agrega el Group Policy Object Editor  selcciona Computer Configuration | Administrative Templates | System | Device Installation,y da doble clic en Device Installation Restrictions.

    Selecciona y habilita la política Prevent installation of devices not described by other policy settings con esto estamos bloqueando todos los dispositivos USB que no estén permitidos por otra política.

     

    Todos los dispositivos tienen un identificador de Hardware y es justamente el criterio en que se basará la política para bloquear algunos dipositivos y permitir  otros, este identificador de hardware lo podemos encontrar en el Administrador de dispositivos (Device Manager on local computer)

    Selecciona el mouse estándar por ejemplo ( Microsoft PS/2 Mouse)botón derecho propiedades y en Property list, selecciona  Hardware Ids.

    El Id para este dispositivo es *PNP0F03, ahora cópialo.

    Regresamos al Group Policy Object Editor, seleccionamos y habilitamos  la política  Allow installation of devices using drivers for these device setup classes que se encuentra dentro de System | Device Installation - Device Installation Restrictions.

    Damos un clic en  Show y luego con Add y  Add Item  nos aparece un cuadro de dialogo  donde debemos pegar el hardware id del mouse es nuestro caso el dispositivo que queremos permitir todos los demás dispositivos USB no se podrán instalar.

     

    Espero que te sea de utilidad

     

    Said

    viernes, 21 de septiembre de 2007 14:16

Todas las respuestas

  • Siendo Administrador tienes todas las alternativas del mundo, inclusive ya desde Windows XP SP2.

     

    Desde XP SP2 y ahora en Vista, se incluyen politicas restrictivas que bloquen el uso de dispositivos USB de almacenamiento. Puede hacerse bien mediante politicas de DOminio, si estais en Dominio, o bien mediante la gestion de politicas en local (ejecutando GPEDIT.MSC) y estableciendo la politica en local.

     

    Ahora bien, si estas en una empresa lo logico es que esteis en DOminio y en ese caso será mas comodo de administrar desde el Dominio.

     

    Para maquinas o sistemas anteriores a XP SP2, se debe controlar de otra manera ya que no tenian dicha politica. Revisate este articulo mio sobre el tema: "Cómo prevenir el uso de dispositivos removibles USB" que está publicado en: http://www.multingles.net/docs/jmt/usb.htm

     

    Un saludo,

    viernes, 21 de septiembre de 2007 13:50
  • Estimado Tito:

     

    Si  efectivamente Windows Vista trae nuevas políticas de grupo que te permiten bloquear dispositivos USB no deseados y solo permitir que se instalen los autorizados como mouse o teclado, etc.

    Esta políticas como todas las puedes aplicar en un equipo como locales o desde directorio activo para todo tu dominio.

    Puedes probarlo en el equipo local abre una consola y agrega el Group Policy Object Editor  selcciona Computer Configuration | Administrative Templates | System | Device Installation,y da doble clic en Device Installation Restrictions.

    Selecciona y habilita la política Prevent installation of devices not described by other policy settings con esto estamos bloqueando todos los dispositivos USB que no estén permitidos por otra política.

     

    Todos los dispositivos tienen un identificador de Hardware y es justamente el criterio en que se basará la política para bloquear algunos dipositivos y permitir  otros, este identificador de hardware lo podemos encontrar en el Administrador de dispositivos (Device Manager on local computer)

    Selecciona el mouse estándar por ejemplo ( Microsoft PS/2 Mouse)botón derecho propiedades y en Property list, selecciona  Hardware Ids.

    El Id para este dispositivo es *PNP0F03, ahora cópialo.

    Regresamos al Group Policy Object Editor, seleccionamos y habilitamos  la política  Allow installation of devices using drivers for these device setup classes que se encuentra dentro de System | Device Installation - Device Installation Restrictions.

    Damos un clic en  Show y luego con Add y  Add Item  nos aparece un cuadro de dialogo  donde debemos pegar el hardware id del mouse es nuestro caso el dispositivo que queremos permitir todos los demás dispositivos USB no se podrán instalar.

     

    Espero que te sea de utilidad

     

    Said

    viernes, 21 de septiembre de 2007 14:16
  • ¿por que comentas esto:  Prevent installation of devices not described by other policy settings?

     

    Creo queestás liando al usuario. La politica de bloqueo USB es inmediata en Vista bajo la rama:

     

    Computer Configuration

      Administrative Templates

          System

             Removable Storage.

     

     

    viernes, 21 de septiembre de 2007 14:27
  • Muchas gracias a los dos (Jose Manuel y Said), me tome el tiempo para probar el bloqueo de puertos tanto en windows XP como en una nuevas máquinas que me llegaron con windows vista y funciona bien!!!!!

     

    viernes, 19 de octubre de 2007 22:41
  • sábado, 20 de octubre de 2007 8:17
  • Como puedo hacer este bloqueo en windows xp o bajo dominio windows 2003

     

    Saludos,

     

    Ricardo

    lunes, 12 de mayo de 2008 14:34
  •  RicardoP Escribió:
    Como puedo hacer este bloqueo en windows xp o bajo dominio windows 2003



    No entiendo la pregunta ya que la respuesta, o lo que entiendo por respuesta, está ya dada anteriormente... Si no te queda claro y puedes ser un poco mas explicito...


    Un saludo,

    lunes, 12 de mayo de 2008 14:38
  • Hola, Jose Manuel, saludos. Queria preguntarte acerca del bloqueo de los dispositovos de almacenamiento USB (Universal Serie Bus), yo en mi trabajo no puedo utilizarlos, ya que estoy sometido bajo la administración total de un dominio que me restringe muchas opciones, herramientas y demás. Ahora, ¿es posible al menos independizar esta opción en mi computador? Lo digo porque al menos en el sector donde laboro siempre necesitamos el traslado de información y para mi mala dicha no estoy registrado y nisiquiera tengo una cuenta en el Outlook o Windows Live Mail para mal de males.¿Es posible modificar esto de alguna manera, que me es urgente debido a que indirectamente recibo información y me cuesta mucho por razones obvias compartirlo con los demás. Gracias por la atención.
    lunes, 12 de mayo de 2008 22:05
  • Si estás en Dominio, estás bajo control del Dominio. Es el administrador del Dominio el que envia las politicas, y lo mismo que las envia, puede establecer excepciones para ciertas maquians / usuarios.

     

    En cualquier caso, si el Administrador ha hecho bien las cosas, no podrás hackear tu maquina en ese sentido.

     

    Un saludo,

    martes, 13 de mayo de 2008 4:53
  • Gracias por tomarte la molestia de responder. Saludos.
    miércoles, 14 de mayo de 2008 16:16
  • Una Pregunta tengo mi entorno de Trabajo sobre un DC 2003 r2, quisiera saber cual es la plantilla administrativa para bloquear los dispositivis USB, ya probe con la forma de importar la plantilla desde la pagina de Petri pero no me funciona, agradeceria cualquier aqyuda. Gracias!!!!

     

    jueves, 27 de noviembre de 2008 2:12
  • Pregunta mejor en los grupos de server, pero deberas en W2003 instalar las extensiones de politicas para Vista y superiores...

    Un saludo,
    jueves, 27 de noviembre de 2008 17:12
  • Hola.

    cuando dices que "abre una consola y agrega el Group Policy Object Editor", ¿a qué consola te refieres y cómo la ejecuto?. Cuando dices " selcciona Computer Configuration | Administrative Templates | System | Device Installation,y da doble clic en Device Installation Restrictions.", lo he buscado en el gpedit.msc y en el mmc, pero veo nada de lo que dices. podrías explicar un poco cómo hacer ésto en winXP Sp3 y para un grupo de trabajo.

    Gracias.

    lunes, 18 de julio de 2011 19:50