none
Capado de dispositivos portátiles (smartphone, cámara de fotos,...) RRS feed

  • Pregunta

  • Buenos días.

    Es la primera vez que escribo aquí por lo que perdón si he situado mal la pregunta o algo similar.

    Expongo mi problema:

    Queremos bloquear que los usuarios puedan utilizar sus dispositivos como tablets, móviles,... Hemos realiza ya el capado por USB y está funcionando perfectamente a través de directivas.

    El problema nos surge al capar los otros. Si el móvil está conectado en modo de dispositivo de almacenamiento la directiva por USB lo bloquea perfectamente pero si se establece como dispositivo multimedia o cámara de fotos, nos permite acceder perfectamente a la memoria del teléfono pudiendo copiar, pegar y mover libremente.

    Probamos a activar la directiva para bloquear los WPD (Windows Portable Device) y a bloquear incluso todas las clases de almacenamiento extraíble pero nos sigue sin funcionar...

    No se si es que estamos configurando donde no es o simplemente que no está funcionando bien la directiva.

    Es un 2012 Server y los clientes son Windows 7. Estas directivas que aplicamos están en Configuración del equipo>Directivas>Plantillas administrativas>Sistema/Acceso de almacenamiento extraíble.

    Muchas gracias de antemano a todos y a ver si pudiéramos dar con la solución, un saludo.

    jueves, 5 de febrero de 2015 8:47

Respuestas

Todas las respuestas

  • Hola Eduardo,

    El problema con smartphones, y tablets es que no son dispositivos que tengan una configuración específica para ser bloqueados a través de GPO, sobre todo si hablamos de Android, o Apple.

    Lo que suele hacer en estos casos es bloquear los puertos usb por GPO, y permitir únicamente teclado, ratón...o algún dispositivo más que requiera el usuario. Al margen de esto no hay una solución específica, y en cierta manera es un engorro para los administradores de sistemas, que cada día nos enfrentamos a más y más dispositivos que no podemos controlar en nuestra red.

    Te dejo este link donde hablan de este tema https://social.technet.microsoft.com/Forums/windowsserver/en-US/ce35d6e1-381f-490c-a4de-ab3510d3c094/how-to-block-android-mobile-access-using-gpo-in-domain-server-2008?forum=winserverGP

    Algo más de info https://community.mcafee.com/thread/74109



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn


    • Editado Dani Gracia jueves, 5 de febrero de 2015 9:28
    jueves, 5 de febrero de 2015 9:22
  • Primero de todo muchas gracias.

    He estado mirando los links que me has pasado pero no veo nada realmente de ayuda. Lo que entiendo de estos es que cada smart phone por ejemplo tendrá una clase diferente y que la manera de bloquear es añadiendo esas clases a las clases denegadas?

    Es algo intratable, si es este caso, el añadir las clases de todos los dispositivos. Lo ideal sería que no se si se puede, decirle cuando bloquea una clase específica que bloquee una genérica que compartieran todos los dispositivos portables que sea como Windows los reconoce.

    Pero igualmente no se si la solución se encuentra ahí. Insisto en que tengo habilitada la directiva para bloquear TODO el almacenamiento extraíble, que entiendo que lo que hace es bloquear todas las opciones que aparecen en este grupo de directiva, o sea, pen drive, CD-ROM, clases personalizadas,... y aún así no me bloquea los teléfonos móviles.

    Si me pudierais dar alguna indicación más para ver la solución por "latosa" que sea...

    Y muchas gracias de nuevo por la ayuda.

    jueves, 5 de febrero de 2015 11:10
  • Hola de nuevo, por esa razón te he pasado esos enlaces, lo único que he visto que podría funcionar es lo de las clases. En ese caso ya debes investigar más por si hay algún listado con las clases de cada Smartphone ... aunque no lo se.

    Pásanos una captura, o la config de la GPO por si acaso vemos algo que se te haya podido pasar.



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    jueves, 5 de febrero de 2015 11:26
  • Solo tengo las siguientes habilitadas

    Acceso denegado de escritura a CD y DVD

    Denegado de escritura a clases personalizadas

    Denegado de ejecucion, lectura y escritura a disquetes.

    Denegado de escritura a discos extraíbles

    Todas las clases de almacenamiento extraíble: denegar acceso

    Unidades de cinta denegado acceso de escritura

    Denegado de escritura dispositivos WPD

    En esta ultima tenía esperanzas al principio ya que Windows es como reconoce a los dispositivos, como Windows Portable Device, pero nada ....

    He probado con varios Smartphone y el guid de la clase que me aparece en todos es el siguiente eec5ad98-8080-425f-922a-dabf3de3f69a. Voy a probar a añadir a la restricción de las clases a ver pero no tengo muchas esperanzas en que funcione...

    jueves, 5 de febrero de 2015 12:42
  • He hecho una prueba y me aparece el dispositivo un móvil pero deniega el acceso tanto en cámara como almacenamiento

    con esta config ..

    Ha sido simplemente por hacer una prueba...



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    jueves, 5 de febrero de 2015 12:48
  • Pues eso es justo lo que necesito...

    Las directivas que estás aplicando son en: 

    Configuración del equipo->Directivas->Plantillas Administrativas->Sistema->Acceso de almacenamiento extraíble 

    no?

    Tengo exactamente esas dos habilitadas al igual que las otras mencionadas y sigue permitiéndonos... 

    ¿Con qué versiones de Server y Cliente estás haciendo las pruebas?

    Y muchas gracias de nuevo!

    viernes, 6 de febrero de 2015 8:51
  • Vale, he hecho la prueba aplicando las directivas a Usuario y ya funciona!!!

    No se porque con las de equipo no estaba cogiendo estas restricciones.

    Muchísimas muchísimas gracias!

    viernes, 6 de febrero de 2015 8:56
  • Hola, las pruebas las hice con Windows Server 2012 R2, y clientes Windows 7. Solo toqué esos dos parámetros.

    No se si tienes un entorno de pruebas para cacharrear, te recomiendo que instales un equipo cliente por ejemplo una máquina virtual si puedes Windows 7, y hagas una GPO nueva únicamente para probar con esa máquina, así puedes probar.



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    viernes, 6 de febrero de 2015 9:06
  • No si ya está muchísimas gracias.

    Y ya por rizar el rizo, como levantar por ejemplo para que sólo funcione mi teléfono móvil.

    O sea, crear excepciones de dispositivos dentro de estas restricciones?

    Muchas gracias, un saludo.

    viernes, 6 de febrero de 2015 12:28