Você está na página 1de 7

Desabilitar USB via GPO ou Script de Logon

Estou tentando implementar o bloqueio de drivers USB na minha rede, j consultei vrios posts e artigos sobre o assunto. Criei um template conforme diversos artigos publicados que eu consultei,ex: http://www.microsoft.com/brasil/technet/Colunas/AdemirYuri/usbviagpo.mspx , tem outro no site do andersonpatricio.org.br, basicamente fazem a mesma coisa. Distribui via GPO, mas os drivers USB continuam funcionando, lendo algumas paginas em foruns sobre esse assunto, muitos deles afirmam que para dispositivos j instalados no mudaria em nada, que o efeito seria para "novos" dispositivos, aps constatar essa dificuldade parti para editar o registro utilizando script de logon, exportei a chave com a alterao no valor desejado [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Type"=dword:00000001 "Start"=dword:00000004 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\ 00,52,00,2e,00,53,00,59,00,53,00,00,00 "DisplayName"="USB Mass Storage Driver" depois criei um vb, Dim WSHShell Set WSHShell = WScript.CreateObject("WScript.Shell") WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Start",4 ," REG_DWORD" Set WSHShell = nothing Bom, s funciona quando o usuario administrador local da maquina, ai esta o problema, preciso implementar esse bloqueio de alguma forma, sem ter que logar nas estaes como administrador, alguem pode ajudar? Em minha opnio, no funcionou porque esta poltica para ser aplicada apenas em Mquinas e no para usurios, creio que no exista forma alguma de bloquear dispositivos apenas com script de usurio e sim de mquina. Aqui na Empresa eu implementei via GPO e funciona perfeitamente da seguinte forma:

- Crie uma GPO somente para esta regra; - Crie um ".adm" com este script abaixo e importe-o; - Existe a possibilidade de voc habilitar a poltica de "apenas leitura" de dispositivos USB e no permitir escrita; - Ou voc pode bloquear de vez dispositivos USB, o que ruim, pois hoje em dia muitas mquinas utilizam Mouse e teclado via USB;

A Poltica ficar configurada dentro de: Computer Configuration\Administrative Templates\Nome se sua Empresa\Drives USB, CD e Floppy - Neste momento voc no estar vendo nada no Painel da direita, clique com o boto direito do mouse em "Drives USB, CD e Floppy" e escolha a opo "Filtering", desmarque a opo "Only show policy settings that can be fully managed", a ento voc passar a ver as opes ao lado. Segue o script ".ADM": CLASS MACHINE CATEGORY "Nome de sua Empresa" CATEGORY "Drives USB,CD e Floppy" POLICY "USB Storage - Read Only" KEYNAME "SYSTEM\CurrentControlSet\Control\StorageDevicePolicies" VALUENAME "WriteProtect" VALUEON NUMERIC 1 VALUEOFF NUMERIC 0 END POLICY POLICY "USB Storage - Enable/Disable" KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR" EXPLAIN "Disables the computers USB ports by disabling the usbstor.sys driver" PART "Disable USB Ports" DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME "Disabled" VALUE NUMERIC 3 DEFAULT NAME "Enabled" VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY "CD-ROM - Enable/Disable" KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"

EXPLAIN "Disables the computers CD-ROM Drive by disabling the cdrom.sys driver" PART "Disable CD-ROM Drive" DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME "Disabled" VALUE NUMERIC 1 DEFAULT NAME "Enabled" VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY "Floppy - Enable/Disable" KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk" EXPLAIN "Disables the computers Floppy Drive by disabling the flpydisk.sys driver" PART "Disable Floppy Drive" DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME "Disabled" VALUE NUMERIC 3 DEFAULT NAME "Enabled" VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY "High Capacity Floppy - Enable/Disable" KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy" EXPLAIN "Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver" PART "Disable High Capacity Floppy Drive" DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME "Disabled" VALUE NUMERIC 3 DEFAULT NAME "Enabled" VALUE NUMERIC 4 END ITEMLIST END PART END POLICY END CATEGORY END CATEGORY Eu j tinha feito o procedimento acima, para isso criei uma OU de Teste, adicionei usurios de teste a essa OU mas como disse anteriormente no funcionou. Efetuo login com esses usuarios de teste em alguns desktops e os dispositivos continuam a serem detectados, aceitando leitura e escrita. Por isso parti para a tecnica de scipt de logonm, o que esta impedindo o bloqueio justamente que para alterar a chave: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]

Em minha opnio, no funcionou porque esta poltica para ser aplicada apenas em Mquinas e no para usurios, creio que no exista forma alguma de bloquear dispositivos apenas com script de usurio e sim de mquina.

Vc tem toda razo, nunca iria funcionar, no tam nada haver com usuario e sim com computer,, movi as maquinas de teste para minha UO de teste linkei a GPO para desabilitar os drivers USB, funcionou sem problemas, grato pela "luz" , Caro amigo rafael, vc sabe dizer, conforme o script passado s funciona com windows verso em Ingles. Rapaz eu nunca trabalhei com Windows Server em verso portugus, mas pelo que entendo o registro todo em ingls. Voc chegou a testar ? Testei sim , bloquemos a copia para USB mas s funciona se ativo na OU do Dominio inteiro, se colocar somente na dos usuarios no funciona. Temos que Bloquear somente para alguns usuarios. Conforme dialogo acima, vc precisa adicionar as maquinas na OU de teste, funciona na raiz do dominio, pq ela acaba abrangendo tudo, Users e Computers. Eu estava cometendo esse erro, aplicando na OU de teste, mas apenas com os usuarios de teste nessa OU, para funcionar tem que adicionar as maquinas nessa OU. Concordo com o Alfredo Manuel, muito provavelmente voc deve estar com TODAS as suas mquinas do domnio no Container "Computers", voc deve mover as contas de Mquinas para uma OU e a sim aplicar a poltica que passei acima nesta OU, pois esta poltica se aplica mquinas.
Utilizando esse .adm, os teclados e mouses USB tambm so desabilitados? No existe nenhuma forma de bloqueio apenas ao pen-drive e outros dispositivos de gravao?

- Existe a possibilidade de voc habilitar a poltica de "apenas leitura" de dispositivos USB e no permitir escrita; - Ou voc pode bloquear de vez dispositivos USB, o que ruim, pois hoje em dia muitas mquinas utilizam Mouse e teclado via USB; Sobre este assunto, tenho dvidas. Entendi que o bloqueio por mquina.

Que posso aplicar numa OU, desde que nela tenha os computadores que eu quero aplicar, assim, no necessrio aplicar para todo o domnio ou na Default Policy. Que pode ser habilitada a politica de apenas leitura do dispositivo USB. Neste caso, tenho uma dvida: Por exemplo, algum traz um vrus gravado no seu pen-drive, ele consegue cop-lo para seu micro ? Ou abre um doc no pen-drive, e clica em salvar como, e o salva no disco rgido. Enfim, ele poder ler o arquivo no pen-drive e grav-lo em seu disco rgido, porm, no poder gravar arquivos no pen-drive. Pelo que entendi, somente a gravao no pen-drive (roubo de informaes) que estar sendo evitado. Algum poder me explicar melhor esta questo ? Outra dvida/situao: teclado USB no dispositivo de armazenamento/storage. H alguma poltica ou regra para bloquear "dispositivos de armazenamentos USB", como pendrive, cmeras, mp3, celulares, sem contudo atrapalhar os outros dispositivos USB que no so de armazenamento, como teclados, cmeras, impressoras ? Alguem sabe de algum script para bloquear o Drive CDROM? Pessoal onde fao isso no windows 2003 sem ser o R2? Pessoal, ninguem me ajudou ainda mas j consegui fazer, porem como falei o meu win2003 no o R2, mas fiz, o problema quando entro com esse usuario que eu criei para teste ele nao bloqueia. Criei um OU - no grupo police coloquei o template carregou bonito e la habilitei para bloqueiar a USB e coloque Enable na opo, falta mais o que? Voc criou a GPO para usurios ou computadores? Pois, a poltica de bloqueio tem que ser aplicada para computadores. Aqui na empresa eu criei uma O.U. com os computadores que eu queria o bloqueio e apliquei a GPO sobre essa O.U. funciounou perfeitamente. Eu no uso o R2. Criei sim, a seguinte estrutura: Tenho um OU Principal e dentro dela criei diversas OUs de acordo com os departamentos, dai criei outra OU dentra da principal com o nome TESTE e coloquei o meu usurio dela para ver se bloqueia. Minha duvida : Dentro dessa OU teste tenho que colocar os logins do pessoal que nao vai ter acesso ou a mquina a qual sera bloqueado?

Vou mais alm se tem como eu bloquear apenas os Pendriver e similares pq seno minhas impressoras param. Voc coloca o(s) computador(es) que voc deseja bloquear. O bloqueio feito por computador. Eu apliquei a Policy da forma que foi descrita no form, apenas os pen-drivers foram bloqueados, impressoras, mouses e teclados funcionaram perfeitamente. Tive uma reduo de 80% no indice de virus aps o bloqueio dos pen-drivers. Caro colega, vc vai dizer que mentira minha mas nao deu certo nao OU TESTE onde tem esse bloqueio e nada. coloquei meu PC

Tente movimentar outro computador do seu dominio nessa OU para testar, execute o comando gpupdate /force. Se vc habilitou somente a opo de bloqueio de USB ele ir bloquear apenas os pendrives(USB MASS STORAGE). Implementei essa policy em meu ambiente e esta funcionando. Meu 2003 em Portugues algum problema e no o R2 algum problema?
No tem problema ser em portugus. Se a opo da GPO foi habilitada caso no esteja sendo aplicada via GPO no seu AD pode ser outro problema. Tente colocar essa policy diretamente na Maquina para fazer um teste e veja se funciona.

Muito obrigado pela sua dica, mas no consegui colocar pra funcionar, aparente est tudo certo. Estou fazendo exatamente como vc indicou, no mudei nenhuma vrgula do procedimento passado. Se puder me ajudar a resolver este problema, agradeo. Estou querendo na verdade proibir o uso de usb aqui na empresa. qual a verso do seu SO ? Qual o idioma ? O que est acontecendo ? Gera algum erro ? Estou implementando essa politica na empresa, mais as vezes dou umas viajada e acabo no resolvendo a situao. A minha duvida para onde eu importo o script? Quem poder me ajudar eu agradeo.

Eu testei configurar uma GPO para bloquear as portas USB e CD-Rom, para compartilhar minha experincia montei um passo a passo disponvel no meu blog: http://jenfigueiredo.blogspot.com/search/label/DESABILITANDO%20DRIVERS%20VIA%20GPO

Estou tentando implementar esta mesma GPO no meu domnio, porm no consigo, acredito que deva ser pelo fato do meu Windows Server ser o 2000. Algum teria como me ajudar a aplicar esta GPO no Windows 2000 Server? Estava fazendo tudo corretamente, mas no havia tentado criar uma GPO somente para essa regra de bloqueio. Valeu a dica. Gostaria de acrescentar que ao criar a GPO da regra de bloqueio USB desativei a implantao das configuraes de usurio, fazendo essa GPO valer somente para as configuraes do computador. Mesmo depois de tanto tempo lendo agora fiz o mesmo procedimento e como tantos post indicando o meu tambem no funcionou. Se fizer um GPresult atraves do GPMC mostra que nem a GPO criada para a determinada OU com o computador de TESTE no recebe a policy. Alfredo, na minha Estrutura tb tive alguns problemas em implementar o bloqueio, Primeiro criei como h post a GPO para eventuais novas mquinas. No RIS as imagens j vo com a porta bloqueada com o seguinte script: strComputer = "." Set WshShell = WScript.CreateObject("WScript.Shell") WshShell.RegWrite "HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Start",4,"REG_DWORD" WshShell.Run "cacls c:\windows\inf\Usbstor.inf /E /D Users", 0 , True WshShell.Run "cacls c:\windows\inf\Usbstor.pnf /E /D Users", 0 , True WshShell.Run "cacls c:\windows\inf\Usbstor.inf /E /D Utilizadores", 0 , True WshShell.Run "cacls c:\windows\inf\Usbstor.pnf /E /D Utilizadores", 0 , True WshShell.Run "cacls c:\windows\inf\Usbstor.inf /E /D SYSTEM", 0 , True WshShell.Run "cacls c:\windows\inf\Usbstor.pnf /E /D SYSTEM", 0 , True e corri tb com psexec existente para download no SYSInternals este script nas mquinas da minha estrutura. Este script faz duas coisas muito importante uma que no permitir a montagem da unidade removvel e altera as Acls nos ficheiros que permitem a instalao do dispositivo. As alteraes s so relativos a dispositivos de storage e no de outro tipo de perifricos (ratos, printers, scanners) Apenas atente-se as questes dos dispositivos como Teclado e Mouse, pois com o bloqueio das portas USB eles no podero ser utilizados.