none
Bloqueio USB no modo seguro com rede no Windows 7 Professional. RRS feed

  • Pergunta

  • Olá pessoal, trabalho em uma grande empresa do ramo sucroenergético é estamos com o seguinte problema, no nosso parque de computadores as entradas USB são bloqueadas e gerenciada pelo nosso antivírus symantec, mas no modo seguro sem rede conseguimos copiar os arquivos de um dispositivo USB, isso já resolvemos pois nenhum colaborador da nossa empresa e administrador local da estação de trabalho sendo assim não conseguem logar, mas como temos um domínio ao entrar no modo seguro com rede eles conseguem logar e copiar os arquivos de um dispositivo USB, precisamos restringir isso mas sem bloquear o modo seguro, aguardo qualquer ajuda.  (Nosso Windows server e o 2008 e no parque de computadores possuem o Windows 7 Professional). 

    Atenciosamente.

    segunda-feira, 3 de fevereiro de 2014 13:45

Respostas

  • Bom dia amigo,

    O melhor para vocês é criarem uma GPO que bloqueia os acessos aos discos removíveis, porque mesmo em modo de segurança as restrições ficam ativas. Logo abaixo segue uma video aula que criei no meu blog:

    https://interopit.wordpress.com/2014/01/11/como-criar-uma-gpo-para-restringirbloquear-usb-para-dispositivos-removiveis-no-windows-server-2008/

    Qualquer dúvida entre em contato.

    Att.,


    Marcelo dos Santos Gonçalves

    Não se esqueça de “Marcar como Resposta” se resolveu seu problema. Caso foi útil algum link ou sugestão dê um voto na resposta.







    segunda-feira, 3 de fevereiro de 2014 13:51
  • Fabricio,

    nas versões de Windows Server 2003 utilizávamos um template ".ADM" personalizado, na versão 2008 crie uma nova GPO e siga o procedimentos abaixo:

    Clique em Preference, Windows Settings, Register e selecione New > Registry Item.

    Em New Registry Properties, clique em Key Path e selecione o caminho:

    “Computer \ HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ USBSTOR” e altere o REG_DWORD para Value data “4”.

    Segue outro procedimento valido.





    segunda-feira, 3 de fevereiro de 2014 18:32

Todas as Respostas

  • Bom dia amigo,

    O melhor para vocês é criarem uma GPO que bloqueia os acessos aos discos removíveis, porque mesmo em modo de segurança as restrições ficam ativas. Logo abaixo segue uma video aula que criei no meu blog:

    https://interopit.wordpress.com/2014/01/11/como-criar-uma-gpo-para-restringirbloquear-usb-para-dispositivos-removiveis-no-windows-server-2008/

    Qualquer dúvida entre em contato.

    Att.,


    Marcelo dos Santos Gonçalves

    Não se esqueça de “Marcar como Resposta” se resolveu seu problema. Caso foi útil algum link ou sugestão dê um voto na resposta.







    segunda-feira, 3 de fevereiro de 2014 13:51
  • Fabricio,

    nas versões de Windows Server 2003 utilizávamos um template ".ADM" personalizado, na versão 2008 crie uma nova GPO e siga o procedimentos abaixo:

    Clique em Preference, Windows Settings, Register e selecione New > Registry Item.

    Em New Registry Properties, clique em Key Path e selecione o caminho:

    “Computer \ HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ USBSTOR” e altere o REG_DWORD para Value data “4”.

    Segue outro procedimento valido.





    segunda-feira, 3 de fevereiro de 2014 18:32
  • Amigão, porque não adiciona senha da BIOS das máquinas e bloqueia a porta USB lá? Evita ficam adicionando um monte de GPO na tua rede. Além do mais, seu servidor é o de produção certo? Sendo assim, qualquer coisa que faça errado, você pode comprometer toda a sua rede. Se tiver um servidor de Homologação, ai sim. Testa, ajusta cria...

    Vou ver se consigo alguma coisa aqui através do servidor de homologação daqui e te aviso.

    Abraço

    segunda-feira, 3 de fevereiro de 2014 19:56
  • AMigo,

    A GPO é aplicada para todas as versões, ou seja, do XP ao 8.1

    segunda-feira, 3 de fevereiro de 2014 21:43
  • Amigão o que modo seguro tem haver com senha na BIOS? Agora se você ta querendo dizer em bloquear o USB pela BIOS, isso não vai resolver nosso problema.

    Att.


    terça-feira, 4 de fevereiro de 2014 12:00
  • Fabricio,

    Tenta logar no modo de segurança, com rede, e dar o comando gpupdate /force

    Reinicia, e veja se as diretivas funcionam.

    A princípio, era para a diretiva funcionar:

    http://support.microsoft.com/kb/555995/pt-br#appliesto

    Atenciosamente,


    Edinaldo Oliveira

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    ** Por favor, lembre-se de “Marcar como Resposta” as respostas que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde. **

    terça-feira, 4 de fevereiro de 2014 12:27
  • Vou executar o GPUPDATE /FORCE dentro do modo seguro, mas eu ja havia atualizado a diretiva anteriomente ao aplicar a GPO.

    Att.

    terça-feira, 4 de fevereiro de 2014 12:46
  • Simples. O modo seguro é um recurso do Sistema Operacional e não do Hardware da máquina. Bloqueando a USB através da BIOS e adicionando senha nela, evita que entrem na BIOS e revertam o processo. O USB seria bloqueado PERMANENTEMENTE até que você, como responsável, desbloqueie. Vou dar uma verificada aqui e já te respondo sobre a GPO. Farei testes.

    terça-feira, 4 de fevereiro de 2014 12:57
  • Como já disse, o bloqueio pela BIOS não resolverá nosso problema, pois tratamos de varias exceções e o bloqueio tem que ser de um modo gerenciável e outra temos mais de 450 estações de trabalhos.

    Att.

    terça-feira, 4 de fevereiro de 2014 13:08
  • Muito estranho amigo, era para ser aplicado no modo seguro também, as máquinas estão atualizadas? Mas porque eles precisam ter acesso no modo seguro de rede?
    terça-feira, 4 de fevereiro de 2014 18:24
  • Quando você dá o comando Gpresult , no modo de segurança, a diretiva aparece como aplicada? Cola aqui o resultado...

    http://www.microsoft.com/brasil/windowsxp/pro/usando/artigos/gpresult.mspx


    Edinaldo Oliveira

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    ** Por favor, lembre-se de “Marcar como Resposta” as respostas que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde. **

    terça-feira, 4 de fevereiro de 2014 18:59
  • Sim aparace a GPO criada, e aplicada.

    Att.


    quarta-feira, 5 de fevereiro de 2014 11:46
  • Sim Marcelo estão todas atualizadas, e porque queremos esgotar todas as possibilidades dos colaboradores copiar algum arquivo para sua maquina. O nosso antivírus bloqueia o USB, mas como a GPO ao entrar no modo seguro com rede essas politicas não são aplicadas e os colaboradores conseguem copiar.

    Att.

    quarta-feira, 5 de fevereiro de 2014 11:51
  • Fabricio,

    tirando todas respostas a cima, a forma mais radical é utilizando o devcon da microsoft, criando um script para sair removendo os drivers, dispositivos ou desativando as USB's de todas as estações.

    http://support.microsoft.com/kb/311272/pt-br

    __________________________

    Bruno Ribeiro - MCTS Server Virtualization | MCTS Server Administrator | CCA XenApp | CCA XenDesktop | VTSP*. Caso responda sua pergunta, favor marque como resposta. Obrigado.



    quinta-feira, 6 de fevereiro de 2014 01:36
  • Obrigado Marcelo..
    quinta-feira, 6 de fevereiro de 2014 17:50