none
Restricción USB's RRS feed

  • Pregunta

  • Hola a todo el mundo,

    Tengo un Dominio Microsoft con unos 70 hosts. Me gustaria poder restringir el uso los USB's con el fin de que los usuarios no puedan sustraer información de la empresa.

    La idea seria que todos los dispositivos USB tipo pen Dirves.. HDD, externos, etc.. queden como solo lectura y que solo aquellos dispositivos que yo permita expresamente, puedan estar como lectura/escritura.

    He estado mirando por microsoft per no encuentro una solución que se me ajuste:

    http://support.microsoft.com/default.aspx?scid=kb%3Bes%3B823732

    EL DC es 2008 R2 y los hosts Windows XP y Windows 7.

    Saludos y gracias,

    Hernán

    viernes, 24 de agosto de 2012 11:34

Respuestas

  • Hola nuevamente Hernán,

    He estado revisando y testeando la plantilla del artículo. Funciona correctamente como dije que funcionaba con las políticas por defecto.

    Además de eso he estado buscando también las "sophisticated features" que dicen en el artículo... Por defecto lo que si que permite es una gestión más completa de los dispositivos. El salto de 2003 a 2008R2 (desconozco si ya se produce el salto en el 2008) es muy grande, te dan más tipos de dispositivos y más posibilidades con ellas respecto 2003 como puedes ver en esta captura:

    Te paso una captura de pantalla con las rutas que tocan directa o indirectamente los dispositivos USB:

    Espero que te haya servidor de ayuda.

    Saludos


    Héctor Martínez

    MCITP: Microsoft Certified IT Professional
    Blog - Twitter

    jueves, 30 de agosto de 2012 10:38

Todas las respuestas

  • Hola Hernank,

    Para mantener habilitado el acceso USB en modo readonly deberás añadir un nuevo template a una GPO y configurar el setting "Write Protect Removable Drive Status" a enabled. En el siguiente enlace tienes el ADM y los pasos:

    http://www.petri.co.il/disable_writing_to_usb_disks_in_xp_sp2_with_gpo.htm

    Nunca lo probé con W7 pero no creo que haya problemas, haz un update para confirmar si te funciona.

    Saludos

    Julio Rosua

    lunes, 27 de agosto de 2012 8:08
  • Buenos días,

    Efectivamente como dice Julio, con una GPO lo puedes restringir sin ningún tipo de problema. Te recomiendo que esa restricción la crees y la apliques en una OU distinta a la del dominio ya que sino lo haces, nadie en todo el dominio va a poder conectar un dispositivo extraible.

    Te adjunto una captura. Si quisieras restringir el uso de los CDS también puedes.

    Yo lo he probado con W7 y no ha habido ningún problema.


    Héctor Martínez

    MCITP: Microsoft Certified IT Professional
    Blog - Twitter

    jueves, 30 de agosto de 2012 7:48
  • Hola Julio,

    De momento lo he aplicado en otro entorno y me ha funcionado correctamente. El entorno es un 2003 Server y los clientes Windows 7.

    Comento esto porque me ha sido útil la plantilla y tube que restringir mediante OU's tal y como comenta Hector.

    Ahora bien... en un futuro no muy lejano, voy a tener que aplicarlo en el entono que comentaba inicialmente, 2008 R2 y equipo Windows 7 y XP.

    En el articulo que me pasas hay una parte que no se de donde sacarla y que realmente es la que ando buscando para implementar:

    "It's worth mentioning that in Windows Vista Microsoft(con esto entiendo que 7 y W2k8 tb) has implemented a much more sophisticated method of controlling USB disks via GPO. If you have Windows Vista client computers in your organization you can use GPO settings edited from one of the Vista machines to control if users will be able to install and use USB disks, plus the ability to control exactly what device can or cannot be used on their machines."

    Con esto, entiendo yo que podré autorizar o denegar directamente el acceso al dispositivo que el usuario quiera utilizar.

     


    Saludos y gracias,

     


    Hernán Kölling

     


    Pd: Que gracia encontrarte por aquí, espero que todo vaya bien. ;-)

    jueves, 30 de agosto de 2012 9:44
  • Hola nuevamente Hernán,

    He estado revisando y testeando la plantilla del artículo. Funciona correctamente como dije que funcionaba con las políticas por defecto.

    Además de eso he estado buscando también las "sophisticated features" que dicen en el artículo... Por defecto lo que si que permite es una gestión más completa de los dispositivos. El salto de 2003 a 2008R2 (desconozco si ya se produce el salto en el 2008) es muy grande, te dan más tipos de dispositivos y más posibilidades con ellas respecto 2003 como puedes ver en esta captura:

    Te paso una captura de pantalla con las rutas que tocan directa o indirectamente los dispositivos USB:

    Espero que te haya servidor de ayuda.

    Saludos


    Héctor Martínez

    MCITP: Microsoft Certified IT Professional
    Blog - Twitter

    jueves, 30 de agosto de 2012 10:38
  • Hola Hernan,

    Que casualidad, veo que te acuerdas de tus compañeros de Ricoh :-)

    Bueno, espero que todo vaya bien, me alegra verte por aquí.

    Estás en lo cierto, puedes deshabilitar desde GPO la instalación del propio dispositivo USB inclusive.  Lo de Vista, desde un equipo Vista o superior con RSAT instalado puedes realizar estos cambios. 

    Un saludo y que vaya bien Hernan.

    Julio



    • Editado Julian Ros jueves, 30 de agosto de 2012 11:24
    jueves, 30 de agosto de 2012 11:23