Restringindo a capacidade de gravação para dispositivos de armazenamento removíveis USB via GPO
Por Ademir Yuri
Visão geral
Neste tutorial iremos mostrar como restringir a capacidade de gravação para dispositivos de armazenamento removíeis USB (USB block storage devices) utilizando Group Policies.
Por padrão usuários podem ler e gravar em dispositivos de armazenamento removíveis USB em computadores executando o Microsoft Windows XP.
Com o Service Pack2 do Windows XP, a Microsoft adicionou a habilidade de adminsitradores restringirem a capacidade de gravação para estes dispositivos mitigando a vulnerabilidade de roubo de informação.
Pré-Requisitos
Estações de trabalho com o Sistema Operacional Microsoft Windows XP Professional SP2;
Estações ingressadas no domínio;
Group Policy Management (GPMC) instalado no controlador de domínio.
Solução
No Domain Controller:
Ir em Start / Run digite c:\windows\inf e clique em OK.
Na tela Inf clique em Tools e depois em Folder Options...
.jpg "Cc716496.usb-1(pt-br,TechNet.10).jpg")
Na tela Folder Options clique na guia View. Clique para desmarcar a opção Hide extensions for Known file types e depois clique em OK.
.jpg "Cc716496.usb-2(pt-br,TechNet.10).jpg")
Na tela Inf clique em File e depois em New e escolha Text Document.
.jpg "Cc716496.usb-3(pt-br,TechNet.10).jpg")
No nome do arquivo New Text Document.txt digite Usb.adm e pressione Enter. Na tela Rename cliquem em Yes.
.jpg "Cc716496.usb-4(pt-br,TechNet.10).jpg")
.jpg "Cc716496.usb-5(pt-br,TechNet.10).jpg")
6. Abra o arquivo Usb.adm. Copie e cole o código abaixo. Salve as alterações no arquivo Usb.adm.
CLASS MACHINE CATEGORY !!category CATEGORY !!categoryname POLICY !!policynameusb KEYNAME "SYSTEM\CurrentControlSet\Control\StorageDevicePolicies" EXPLAIN !!explaintextusb VALUENAME "WriteProtect" VALUEON NUMERIC 1 VALUEOFF NUMERIC 0
END POLICY END CATEGORY END CATEGORY
[strings]
category="Custom Policy Settings for XP SP2"
categoryname="Restrict USB"
policynameusb="Disable USB Write"
explaintextusb="Windows XP with SP2 will block writes to USB block storage devices"
labeltextusb="Disable USB Write"
.jpg "Cc716496.usb-6(pt-br,TechNet.10).jpg")
Ir em Start / Run digite gpmc.msc e clique em OK.
Na tela Group Policy Management expanda Forest/Domains/SeuDomínio. Clique com o botão direito do mouse em Default Domain Policy e escolha Edit...
.jpg "Cc716496.usb-7(pt-br,TechNet.10).jpg")
9. Na tela Group Policy Objetct Editor expanda Computer Configuration. Clique como o botão direito do mouse em Administrative Templates e depois em Add/Remove Templates...
.jpg "Cc716496.usb-8(pt-br,TechNet.10).jpg")
Na tela Add/Remove Templates clique em Add.
.jpg "Cc716496.usb-9(pt-br,TechNet.10).jpg")
Na tela Policy Templates selecione o arquivo Usb.adm e clique em Open.
.jpg "Cc716496.usb-10(pt-br,TechNet.10).jpg")
Novamente na tela Add/Remove Templates clique em Close.
.jpg "Cc716496.usb-11(pt-br,TechNet.10).jpg")
Na tela Group Policy Object Editor clique em View e depois em Filtering...
.jpg "Cc716496.usb-12(pt-br,TechNet.10).jpg")
Na tela Filtering clique para desmarcar a opção Only show policy settings that can be fully managed depois clique em OK.
.jpg "Cc716496.usb-13(pt-br,TechNet.10).jpg")
Na tela Group Policy Object Editor expanda Computer Configuration\Administrative Templates\Custom Policy Settings for XP SP2 e clique em Restrict USB.
.jpg "Cc716496.usb-14(pt-br,TechNet.10).jpg")
No painel direito da tela Group Policy Object Editor dê um duplo clique em Disable USB Write. Na tela Disable USB Write Properties clique na opção Enable e depois em OK.
.jpg "Cc716496.usb-15(pt-br,TechNet.10).jpg")
Feche a tela Group Policy Object Editor. Feche a tela Group Policy Management.
Conclusão
Neste tutorial mostramos como restringir a capacidade de gravação para dispositivos de armazenamento removíeis USB (USB block storage devices) utilizando Group Policies.
Ademir Yuri