none
Desabilitar Pen Driver RRS feed

  • Pergunta

  • Bom dia...

    Na rede que administro implementei uma política de uso de pen driver aonde os usuários que pretendem ter uso de pen driver precisam assinar um termo de compromisso. Após isso eles são adicionados a um grupo de trabalho e passam a ter acesso aos pen drivers, sendo que só podem usar pen driver no formato NTFS. Ao colocarem um pen driver no formato FAT32, um script tenta ejetar o mesmo pen driver e caso não consiga, é enviado um comando (objShell.Run "C:\Windows\system32\rundll32.exe user32.dll,LockWorkStation") continuamente com intervalos de 10 segundos que impossibilita o usuário de usar o computador. Essa sequência de bloqueios só termina após o usuário remover o pen-driver.

    Tudo funcionava perfeitamente até a chegada do Windows 7, pois nesses computadores o bloqueio do computador não funciona, já que o script que envia o comando objShell.Run "C:\Windows\system32\rundll32.exe user32.dll,LockWorkStation" é executado sob credenciais (administrativas) diferente da do usuário que está logado.

    A minha dúvida é: Existe no Windows 7 algum serviço que ao ser desativado desabilite ou impeça o acesso ao pen driver? Pois nesse caso seria só eu alterar o meu script quando ele executar em computadores com o Windows 7.

    Agradeço qualquer auxílio.

    terça-feira, 25 de setembro de 2012 14:09

Respostas

  • Tem um modo bem simples de desabilitar o pendrive, basta alterar o valor na seguinte chave de Registro:

    HKLM\SYSTEM\CurrentControlSet\services\USBSTOR\
    O valor Start estará em 4 (USB Liberado), passando o valor para 3 você impede o acesso.

    Você pode fazer isso remotamente também por esse comando:

    reg add \\%computador%\HKLM\SYSTEM\CurrentControlSet\services\USBSTOR\ /v Start /t REG_DWORD /d 0x0000003 /f
    Em '%computador%' insira o IP ou hostname da máquina que irá efetuar a configuração.

    Note que, para usar o comando acima, o registro remoto deve estar ativo na máquina, para isso use este comando:

    sc \\%computador% config remoteregistry start= auto
    sc \\%computador% start remoteregistry


    Att, Paulo Rocha

    • Sugerido como Resposta Paulo R S Rocha terça-feira, 25 de setembro de 2012 15:26
    • Marcado como Resposta fernando silva 1 sexta-feira, 19 de abril de 2013 14:11
    terça-feira, 25 de setembro de 2012 15:26

Todas as Respostas

  • Tem um modo bem simples de desabilitar o pendrive, basta alterar o valor na seguinte chave de Registro:

    HKLM\SYSTEM\CurrentControlSet\services\USBSTOR\
    O valor Start estará em 4 (USB Liberado), passando o valor para 3 você impede o acesso.

    Você pode fazer isso remotamente também por esse comando:

    reg add \\%computador%\HKLM\SYSTEM\CurrentControlSet\services\USBSTOR\ /v Start /t REG_DWORD /d 0x0000003 /f
    Em '%computador%' insira o IP ou hostname da máquina que irá efetuar a configuração.

    Note que, para usar o comando acima, o registro remoto deve estar ativo na máquina, para isso use este comando:

    sc \\%computador% config remoteregistry start= auto
    sc \\%computador% start remoteregistry


    Att, Paulo Rocha

    • Sugerido como Resposta Paulo R S Rocha terça-feira, 25 de setembro de 2012 15:26
    • Marcado como Resposta fernando silva 1 sexta-feira, 19 de abril de 2013 14:11
    terça-feira, 25 de setembro de 2012 15:26
  • Boa tarde Paulo.

    Em primeiro lugar, obrigado pela ajuda.

    Esse procedimento é justamente o que eu adorei mas de uma forma mais elaborada. Só que ela não é 100% eficiente. Já reparei que quando o usuário coloca um pen driver que nunca foi utilizado na estação e cujo driver precisa ser instalado para o dispositivo funcionar, mesmo que a dword esteja em 4, ou seja, desabilitado. O pen driver irá funcionar. Por isso que para reforçar a medida, incluí uma ejeção por script. Só que em certas situações, por exemplo, quando um arquivo é aberto, torna-se inviável ejetar o pen driver.

    terça-feira, 25 de setembro de 2012 16:30