none
Script para bloqueio de modems 3G RRS feed

  • Discussão Geral

  • Olá, gostaria de publicar um script que é muito útil para ambientes corporativos. Sua função é bloquear a utilização de modems, e o principal modems 3G. Ele se baseia em alterações do registro negando a utilização do arquivo modem.sys e é valido principalmente quando o usuário tem privilégios mais avançados na estação, como administrador. Assim, todo e qualquer dispositivo que utiliza do arquivo modem.sys, presente em %systemroot%\system32\drivers\ ficará com erro em seu status. Outros métodos foram testados e não tiveram exito como, negação permissão no arquivo, renomear o arquivo, excluir e alterar permissões da chave do registro.

    Sua funcionalidade se aplica a Windows 2000 e posteriores e com domínios baseados em Windows Server 2003. No Server 2008 já possui diretivas de segurança voltados para desativação de dispositivos por classe ou por ID de hardware, mas com aplicabilidade apenas em Windows Vista e posteriores.

    Da sua utilização, basta criar um arquivo .adm com o codigo e adicionar  a uma GPO e como modelo administrativo nas configurações do computador. Maiores informações no KB: http://support.microsoft.com/kb/323639/pt-br

     

    Tenham uma ótima experiência. Qualquer dúvida, comente! Abraço.

    ; Luis Mauricio Costa - 19/05/2010 - luismauricio.delphi@gmail.com
    CLASS MACHINE
    CATEGORY !!category
     CATEGORY !!categoryname
     POLICY !!policynameModem
     KEYNAME "SYSTEM\CurrentControlSet\Services\Modem"
     EXPLAIN !!explaintextModem
      PART !!labeltextModem DROPDOWNLIST REQUIRED
     
      VALUENAME "Start"
      ITEMLIST
      NAME !!Disabled VALUE NUMERIC 3 DEFAULT
      NAME !!Enabled VALUE NUMERIC 4
      END ITEMLIST
      END PART
     END POLICY
     END CATEGORY
    END CATEGORY
     
    [strings]
    category="Configurações de Restrição de modems"
    categoryname="Restringir instalação de modems"
    policynameModem="Desativar modems"
    explaintextModem="Desativa o driver de modems no computador pela alteração do valor DWORD "Start" no Registro do Windows para 4 (HKLM\SYSTEM\CurrentControlSet\Services\Modem). O valor padrão (default) é 3. Com tal mudança o sistema nega a utilização do arquivo modem.sys; assim qualquer espécie de dispositivo (principalmente da classe modem) que utiliza o arquivo como driver, não funcionará. Para o funcionamento abra a diretiva e a marque como "Ativado", logo em seguida ficará disponível uma sub-opção denominada "Desativar o driver de modems" e então selecione "Ativado". Para reativar o uso de modems selecione nessa sub-opção "Desativado", o valor voltará a ser 3. Todavia é bom salientar que este modelo administrativo quando adicionado, tem compartamento de "tatuar" o registro."
    labeltextModem="Desativar o driver de modems"
    Enabled="Ativado"
    Disabled="Desativado"
    quarta-feira, 19 de maio de 2010 20:56

Todas as Respostas

  • Olá, gostaria de publicar um script que é muito útil para ambientes corporativos. Sua função é bloquear a utilização de modems, e o principal modems 3G. Ele se baseia em alterações do registro negando a utilização do arquivo modem.sys e é valido principalmente quando o usuário tem privilégios mais avançados na estação, como administrador. Assim, todo e qualquer dispositivo que utiliza do arquivo modem.sys, presente em %systemroot%\system32\drivers\ ficará com erro em seu status. Outros métodos foram testados e não tiveram exito como, negação permissão no arquivo, renomear o arquivo, excluir e alterar permissões da chave do registro.

    Sua funcionalidade se aplica a Windows 2000 e posteriores e com domínios baseados em Windows Server 2003. No Server 2008 já possui diretivas de segurança voltados para desativação de dispositivos por classe ou por ID de hardware, mas com aplicabilidade apenas em Windows Vista e posteriores.

    Da sua utilização, basta criar um arquivo .adm com o codigo e adicionar  a uma GPO e como modelo administrativo nas configurações do computador. Maiores informações no KB: http://support.microsoft.com/kb/323639/pt-br

     

    Tenham uma ótima experiência. Qualquer dúvida, comente! Abraço.

    ; Luis Mauricio Costa - 19/05/2010 - luismauricio.delphi@gmail.com
    CLASS MACHINE
    CATEGORY !!category
     CATEGORY !!categoryname
     POLICY !!policynameModem
     KEYNAME "SYSTEM\CurrentControlSet\Services\Modem"
     EXPLAIN !!explaintextModem
     PART !!labeltextModem DROPDOWNLIST REQUIRED
     
     VALUENAME "Start"
     ITEMLIST
     NAME !!Disabled VALUE NUMERIC 3 DEFAULT
     NAME !!Enabled VALUE NUMERIC 4
     END ITEMLIST
     END PART
     END POLICY
     END CATEGORY
    END CATEGORY
     
    [strings]
    category="Configurações de Restrição de modems"
    categoryname="Restringir instalação de modems"
    policynameModem="Desativar modems"
    explaintextModem="Desativa o driver de modems no computador pela alteração do valor DWORD "Start" no Registro do Windows para 4 (HKLM\SYSTEM\CurrentControlSet\Services\Modem). O valor padrão (default) é 3. Com tal mudança o sistema nega a utilização do arquivo modem.sys; assim qualquer espécie de dispositivo (principalmente da classe modem) que utiliza o arquivo como driver, não funcionará. Para o funcionamento abra a diretiva e a marque como "Ativado", logo em seguida ficará disponível uma sub-opção denominada "Desativar o driver de modems" e então selecione "Ativado". Para reativar o uso de modems selecione nessa sub-opção "Desativado", o valor voltará a ser 3. Todavia é bom salientar que este modelo administrativo quando adicionado, tem compartamento de "tatuar" o registro."
    labeltextModem="Desativar o driver de modems"
    Enabled="Ativado"
    Disabled="Desativado"

    Cara testei aqui, mas tem algum rolo, no gpedit aparece dentro de Modelo administrativo / Configuração de Registros de modems / Restringir instalação de modems , mas não aparece opção alguma para editar.

    Feito, descobri o que era, vou testar agora.

    Testei e não foi feito o bloqueio do modem 3G, para você funciona a GPO ?

    Abraço,

     

    Cássio

    • Editado Cassio Rocha terça-feira, 25 de maio de 2010 19:27 ..
    terça-feira, 25 de maio de 2010 19:02
  • Caro Cassio Rocha, ele é feito para funcionar via GPO, voce adiciona como modelo administrativo via .adm. Para exibir modelos administrativos adicionados você precisa remover todos os filtros.

    Sobre seu funcionamento, realmente funciona, foi testado e já implantado no ambiente de "produção". Tal modelo é valido para o computador e não para o usuário. Ou seja, a GPO tem que estar configurada para o computador.

     

    Verifique ai e diga o que está acontecendo. Veja seu Event Viewer, caso exista algum log de erro, informe para que possamos solucionar.

    Abraço!

    segunda-feira, 31 de maio de 2010 19:19
  • Luis,

    O adm funcionou de boa!

     

    Vlw!

    terça-feira, 1 de junho de 2010 13:15
  • Vou testar novamente e informo.

     

    Valeu

    segunda-feira, 7 de junho de 2010 17:31
  • Luis,

    Gostaria estipular que esta restrição funcione apenas em horário comercial (8 as 18) para que os notebooks do meu dominio possam utilizar 3g apos expediente para conectar remotamente.

    quinta-feira, 10 de junho de 2010 18:03
  • Perfeito... funcionou de boa... esse vai para a coleção... rs...
    Att Eduardo Popovici http://htbraz.spaces.live.com
    terça-feira, 15 de junho de 2010 16:15
  • Boas Luiz Maurício!

    Testei aqui na empresa e esta funcionando perfeitamente. Porém agora quero remover a política de um computador. Retirei o link da política na UO que o objeto computador se encontra, efetuei o GPupdate e reiniciei a máquina. Reparei que a chave ainda estava sinalizando "4", então também alterei para "3" e reiniciei novamente a máquina, porém sempre que conecto o modem 3G (vivo zap) na hora de conectar ele indica que não foi encontrado o dispositivo.

    Verifiquei no gerenciamento de dispositivos e também estão todos os drivers instalados. Como posso proceder?

     

     


    Maurício Sasia MCSA|MCP wXP|MCP w2003|MCDST|MCTS|MCITP|TFC|TCSP|TCSE
    segunda-feira, 19 de julho de 2010 20:58
  • Boas Luiz Maurício!

    Testei aqui na empresa e esta funcionando perfeitamente. Porém agora quero remover a política de um computador. Retirei o link da política na UO que o objeto computador se encontra, efetuei o GPupdate e reiniciei a máquina. Reparei que a chave ainda estava sinalizando "4", então também alterei para "3" e reiniciei novamente a máquina, porém sempre que conecto o modem 3G (vivo zap) na hora de conectar ele indica que não foi encontrado o dispositivo.

    Verifiquei no gerenciamento de dispositivos e também estão todos os drivers instalados. Como posso proceder?

     

     


    Maurício Sasia MCSA|MCP wXP|MCP w2003|MCDST|MCTS|MCITP|TFC|TCSP|TCSE


    Caro Maurício, esse comportamento é natural visto que quando adicionamos scripts administrativos via GPO eles tem a função de tatuar o registro. Isso é descrito no kb: http://support.microsoft.com/kb/323639/pt-br . Como explicação do modelo administrativo, coloquei tal referência: "Todavia é bom salientar que este modelo administrativo quando adicionado, tem compartamento de "tatuar" o registro."

    Ou seja, mesmo que você exclua a GPO ou retira alguém da UO onde ela está sendo executada, ela ainda continuará em execução. Para contornar, é preciso alterar a diretiva do modelo para Ativado (o valor da chave mudará para 3). A partir dai ele carregará sempre como 3.

    Obrigado!

    terça-feira, 20 de julho de 2010 16:12
  • Mauricio,

    Bom dia!

    Passei por isso aqui na empresa também, tenho laptops que precisam acessar a Internet via 3G fora da empresa, mas na empresa eu tenho que bloquear. Sempre que uma pessoa precisa do laptop fora da empresa, ela comunica ao analista e o mesmo arrasta a máquina para a OU allow_devices (Esta OU tem uma GPO desbloqueando o modem), entra em sistema - hardware -  gerenciador de dispositivos e remove o driver do modem que está instalado e reinicia a máquina.

    Obs1. Quando for reiniciar, espere o computador desligar os discos e retire o cabo de rede, para que a GPO que bloqueia o modem 3G entre em ação.

    Obs2.Criei uma GPO chamada GPUPDATE, onde configurei no start e no shutdown da maquina o gpupdate /force. Fiz isso com um arquivo vbs.

    Não sei se ficou claro.

     

    segunda-feira, 26 de julho de 2010 14:08
  • Cara testei aqui, mas tem algum rolo, no gpedit aparece dentro de Modelo administrativo / Configuração de Registros de modems / Restringir instalação de modems , mas não aparece opção alguma para editar.

    Feito, descobri o que era, vou testar agora.

    Testei e não foi feito o bloqueio do modem 3G, para você funciona a GPO ?

    Abraço,

     

    Cássio


    Amigo,

    Aconteceu a mesma coisa comigo. Tem como dar uma ajuda?


    Gude
    quinta-feira, 29 de julho de 2010 22:22
  • Abrí um bloco de notas no windows 2003 server

    colei o Script:

    ; Luis Mauricio Costa - 19/05/2010 - luismauricio.delphi@gmail.com
    CLASS MACHINE
    CATEGORY !!category
     CATEGORY !!categoryname
     POLICY !!policynameModem
     KEYNAME "SYSTEM\CurrentControlSet\Services\Modem"
     EXPLAIN !!explaintextModem
     PART !!labeltextModem DROPDOWNLIST REQUIRED
     
     VALUENAME "Start"
     ITEMLIST
     NAME !!Disabled VALUE NUMERIC 3 DEFAULT
     NAME !!Enabled VALUE NUMERIC 4
     END ITEMLIST
     END PART
     END POLICY
     END CATEGORY
    END CATEGORY
     
    [strings]
    category="Configurações de Restrição de modems"
    categoryname="Restringir instalação de modems"
    policynameModem="Desativar modems"
    explaintextModem="Desativa o driver de modems no computador pela alteração do valor DWORD "Start" no Registro do Windows para 4 (HKLM\SYSTEM\CurrentControlSet\Services\Modem). O valor padrão (default) é 3. Com tal mudança o sistema nega a utilização do arquivo modem.sys; assim qualquer espécie de dispositivo (principalmente da classe modem) que utiliza o arquivo como driver, não funcionará. Para o funcionamento abra a diretiva e a marque como "Ativado", logo em seguida ficará disponível uma sub-opção denominada "Desativar o driver de modems" e então selecione "Ativado". Para reativar o uso de modems selecione nessa sub-opção "Desativado", o valor voltará a ser 3. Todavia é bom salientar que este modelo administrativo quando adicionado, tem compartamento de "tatuar" o registro."
    labeltextModem="Desativar o driver de modems"
    Enabled="Ativado"
    Disabled="Desativado"

    Depois salvei como todos os arquivos e coloquei o nome exemplo.adm. O arquivo foi salvo em C:\Windows\inf\

    Fui no AD do servidor cliquei com o botão direito na OU criei a diretiva

    adicionar e remover modelos - abrir e peguei exemplo.adm ae apareceu "desativar modems" então ativei tudo.

    mas simplismente os clientes não pegam essa diretiva, as outras todas que eu fiz funcionou (tema luna, conf do proxy, limitar tamanho do perfil, entre outras)

    já tentei até criar uma unica com essa diretiva do modem mas nada,

    A chave do registro start não muda de 3 para 4 de jeito nenhum nos clientes

    o que pode ser??

     

    quarta-feira, 27 de outubro de 2010 20:52
  • Cara, Perfeito... me ajudou demais esta sua publicação.

    Para que fique um auxilio a mais...

    Eu precisava bloquear o roteamento através de telefones com cabo USB sem que pra isto precisasse inutilizar a porta USB então pesquisei bem os serviços e fiz as seguintes alterações nos meus templates:

    Android:

    DE:

    ...

    KEYNAME "SYSTEM\CurrentControlSet\Services\Modem"

    ...

    categoryname="Restringir instalação de modems"

    PARA:

    ...

    KEYNAME "SYSTEM\CurrentControlSet\Services\usb_rndisx"

    ...

    categoryname="Restringir instalação de modems Android"

    APPLE:

    DE:

    ...

    KEYNAME "SYSTEM\CurrentControlSet\Services\Modem"

    ...

    categoryname="Restringir instalação de modems"

    PARA:

    ...

    KEYNAME "SYSTEM\CurrentControlSet\Services\Netaapl"

    ...

    categoryname="Restringir instalação de modems Apple"

    Mais uma vez, obrigado!

    quarta-feira, 6 de maio de 2015 20:36