none
Deshabilitar el uso de USB para maquinas del dominio. Windows Server 2008 R2 RRS feed

  • Pregunta

  • Hola gente...

    Tengo un dominio con Windows 2008 R2 Enterprise Edition, mi idea seria a traves de un GPO deshabilitar el uso de USB, pero no todos los usb, me explico:

    Necesitaria dejar habilitado el uso de dispositivos usb que sean de la empresa, al igual que si yo conecto un raton o teclado al usb lo pueda utilizar sin ningun tipo de problema.

    A ver si me podeis ayudar con este tema.

    Saludos

    jueves, 15 de noviembre de 2012 14:07

Todas las respuestas

  • Puedes bloquer con GPO el uso de los USB excepto de los que identifiques con un ID de Hardware, por ejemplo de una marca/modelo concreto, aunque es un poco lioso.

    Si tienes Windows 7 Enterprise podrías usar Bitlocker en los USB. Creo recordar que había una forma de indicar que solo se podían usar con el cifrado los dispositivos marcados por la organización.

    A ver si a alguien se le ocurre algo mejor.

    Un saludo

    jueves, 15 de noviembre de 2012 21:03
  • Hola gente...

    Ya he habilitado la opcion de bloquear el almacenamiento extraible mediante una GPO:


    Bien, ahora viene lo mejor, ¿como puedo hacer para seleccionar yo que tipo de dispositivos de almacenamiento extraible se puedan conectar al PC sin ningun problema? En las GPO veo unicamente opciones de bloquear pero no de habilitar un elemento especifico.

    Y otra cosilla, en este caso esta GPO estara habilitada para equipos con Windows Vista en adelante, pero tambien tengo equipos con Windows XP SP3.

    Saludos


    • Editado J.Guzman viernes, 16 de noviembre de 2012 11:41
    viernes, 16 de noviembre de 2012 10:26
  • Algo que puedes hacer con los Pendrives USB desde XP hasta Windows 8...

    http://nextadmin.blogspot.com.ar/2009/10/controlando-los-pendrives-usb.html

    Igual necesitariamos que especifiques un poco mejor cuales son "los dispositivos de la empresa"...

    Si alguien usa un mouse USB personal no debería andar y si utiliza un USB que lo pagó la empresa si ?!?!?

    Que pasa si alguien se compra el mismo modelo del que la empresa compra? Debería andar o no? y si el usuario cambia de PC debe andar o no?

    Esteban

    viernes, 16 de noviembre de 2012 18:54
  • Algo que puedes hacer con los Pendrives USB desde XP hasta Windows 8...

    http://nextadmin.blogspot.com.ar/2009/10/controlando-los-pendrives-usb.html

    Igual necesitariamos que especifiques un poco mejor cuales son "los dispositivos de la empresa"...

    Si alguien usa un mouse USB personal no debería andar y si utiliza un USB que lo pagó la empresa si ?!?!?

    Que pasa si alguien se compra el mismo modelo del que la empresa compra? Debería andar o no? y si el usuario cambia de PC debe andar o no?

    Esteban

    Hola Esteban, que tal estas¿?

    La idea es unicamente bloquear el almacenamiento extraible, pen drives, discos duros externos y ese tipo de cosas. Para los ratones y teclados no seria viable esta opcion.Si se compra el mismo modelo no lo tengo claro aun, no se si habra algun tipo de bloqueo por GUID, cada pen drive tendria el suyo y si queremos que funcione ese pen drive este tendra que estar dado de alta en la GPO con su GUID correspondiente.

    Esa era mi idea pero ahora falta ponerla en practica.

    Con el GPO que he habilitado mas arriba me funciona el bloqueo de unidades de almacenamiento extraible y me siguen funcionando todos los demas dispositivos conectados al usb (blackberry, teclados, ratones), pero aun sigue faltando el tema de habilitar los que yo tengo en la empresa.

    Saludos

    lunes, 19 de noviembre de 2012 8:53
  • Los GUID no creo que te sirvan, ya que corresponden a clases de dispositivos, y todos los pen drive seguramente tendrán el mismo GUID.

    Puedes intentarlo con los ID de Hardware, en Equipos\Plantillas Admin\Sistema\Instalación de dispositivos

    Creo que era algo así:

    - Impedir la instalación de dispositivos no descritos por otras configuraciones.

    y luego

    - Permitir la instlación de dispositivos que coincidan con cualquiera de estos Id. de dispositivo (y pones los ID).

    Es bastante engorroso, y de todas formas solo limitarías el uso a los Pendrive de una marca/modelo.

    jueves, 22 de noviembre de 2012 11:51
    • Inicie el Explorador de Windows y, a continuación, busque la carpeta %SystemRoot%\Inf.
    • Haga clic con el botón secundario en el archivo Usbstor.pnf y Usbstor.inf haga clic en Propiedades.
    • Haga clic en la ficha Seguridad.
    • En el dominio, se crea un Global Group, por ejemplo GG_BloqueoUSB y le agregamos los usuarios a bloquear
    • Se agrega el grupo GG_BloqueoUSB e indicamos Denegar al check "Control Total".
    • En la lista Nombres de grupos o usuarios, seleccionamos Denegar al check "Control Total" a todos los grupos a excepción del Administradores.
    • Click en Aceptar
    • Descarga y abre el programa USBDeview.
    • Se elimina todos los dispositivos USB instalados que sean "Mass Storage".
    • Inicio - Ejecutar - Regedit.
    • Nos vamos a la clave de registro "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor"
    • Eliminamos todas las carpetas de los dispositivos intalados, si no se deja eliminar, le da click derecho y en seguridad le dice "Control total" y vuelve intentar eliminar las carpetas y listo.

    Ya con eso, lo que nos permite (como lo uso en la empresa) cuando conecta un dispositivo de almacenamietno USB, pide permiso de instalación del USB, si no tiene credenciales, no le permite instalar, pero si lo instala por primera vez, queda instalado y cada vez que conecte ese dispositivo, le permite entrar
    miércoles, 9 de octubre de 2013 15:09
  • en la empresa donde trabajo se implementaron estas políticas:

    configuración de equipo - plantillas administrativas - Discos extraíbles: denegar acceso de escritura, Permitir la instalación de dispositivos que coincidan con cualquiera de estos id. de dispositivo, Impedir la instalación de dispositivos extraíbles.

    y funciona muy bien

    jueves, 24 de julio de 2014 18:19
  • Amigos: Yo trabajo en un Banco con mas de 4000 equipos. El problema con este caso es que desde la GPO, la opción de instalar solo aplica para dispositivos nuevos. Los dispositivos que ya estaban instalados se ejecutan sin problemas.

    Ahora bien, si los desinstalas manualmente obviamente al volver a conectar se aplicará la GPO. Pero eso en mi caso no sirve, salvo que pueda desinstalar todos los dispositivos sin conocerlos, pues ocurre que mucha gente en la empresa trajo sus celulares, pendrive, memorias SD, etc. y cuando yo quiera trabajar en sus máquinas ellos no estarán ahí conectados con sus dispositivos.

    Creo que para eso la solución de Javier podría funcionar. Lo ideal en mi caso al menos es hacer todo eso masivamente (quizá desde otra GPO) con la precaución de no dañar otros dispositivos como mouse o teclados o cámaras web que obviamente no son dispositivos de almacenamiento extraíbles

    viernes, 25 de septiembre de 2015 16:37
  • Hola Juangu,

    Te dejo estos dos vídeos donde puedes ver los procedimiento:

    Windows Server 2012 R2 - Bloquear dispositivos USB en equipos del dominio por GPO  https://www.youtube.com/watch?v=ELOMWmUrCDw

    Windows Server 2012 R2 - Bloquear dispositivos USB en equipos del dominio por Regedit: https://www.youtube.com/watch?v=DLqVQg0ZRaU

    Espero te sean de ayuda.

    Jair Gomez

    MVP Cloud & Server

    Cursos → http://JGAITPro.com/cursos Facebook → http://facebook.JGAITPro.com/ Twitter → http://twitter.JGAITPro.com/ Blog → http://blog.JGAITPro.com/<input aria-labelledby="title_ELOMWmUrCDw" class="yt-uix-form-input-checkbox video-checkbox" name="video-checkbox" style="font-size:16px;font-family:Roboto, arial, sans-serif;margin:0px;width:14px;height:14px;cursor:pointer;border-width:0px;outline:0px;padding:0px;-webkit-appearance:none;" type="checkbox" value="ELOMWmUrCDw" />

    martes, 29 de septiembre de 2015 14:33