Restringindo a capacidade de gravação para dispositivos de armazenamento removíveis USB via GPO

Por Ademir Yuri

Visão geral

Neste tutorial iremos mostrar como restringir a capacidade de gravação para dispositivos de armazenamento removíeis USB (USB block storage devices) utilizando Group Policies.

Por padrão usuários podem ler e gravar em dispositivos de armazenamento removíveis USB em computadores executando o Microsoft Windows XP.

Com o Service Pack2 do Windows XP, a Microsoft adicionou a habilidade de adminsitradores restringirem a capacidade de gravação para estes dispositivos mitigando a vulnerabilidade de roubo de informação.

Pré-Requisitos

  • Estações de trabalho com o Sistema Operacional Microsoft Windows XP Professional SP2;

  • Estações ingressadas no domínio;

  • Group Policy Management (GPMC) instalado no controlador de domínio.

Solução

No Domain Controller:

  1. Ir em Start / Run digite c:\windows\inf e clique em OK.

  2. Na tela Inf clique em Tools e depois em Folder Options...
    Cc716496.usb-1(pt-br,TechNet.10).jpg

  3. Na tela Folder Options clique na guia View. Clique para desmarcar a opção Hide extensions for Known file types e depois clique em OK.
    Cc716496.usb-2(pt-br,TechNet.10).jpg

  4. Na tela Inf clique em File e depois em New e escolha Text Document.
    Cc716496.usb-3(pt-br,TechNet.10).jpg

  5. No nome do arquivo New Text Document.txt digite Usb.adm e pressione Enter. Na tela Rename cliquem em Yes.
    Cc716496.usb-4(pt-br,TechNet.10).jpg
    Cc716496.usb-5(pt-br,TechNet.10).jpg

  6. 6. Abra o arquivo Usb.adm. Copie e cole o código abaixo. Salve as alterações no arquivo Usb.adm.

    CLASS MACHINE
    CATEGORY !!category
    CATEGORY !!categoryname
    POLICY !!policynameusb
    KEYNAME "SYSTEM\CurrentControlSet\Control\StorageDevicePolicies"
    EXPLAIN !!explaintextusb
    VALUENAME "WriteProtect"
    VALUEON NUMERIC 1
    VALUEOFF NUMERIC 0
    
    END POLICY
    END CATEGORY
    END CATEGORY
    
    [strings]
    category="Custom Policy Settings for XP SP2"
    categoryname="Restrict USB"
    policynameusb="Disable USB Write"
    explaintextusb="Windows XP with SP2 will block writes to USB block storage devices"
    labeltextusb="Disable USB Write"
    	
    Cc716496.usb-6(pt-br,TechNet.10).jpg
  7. Ir em Start / Run digite gpmc.msc e clique em OK.

  8. Na tela Group Policy Management expanda Forest/Domains/SeuDomínio. Clique com o botão direito do mouse em Default Domain Policy e escolha Edit...
    Cc716496.usb-7(pt-br,TechNet.10).jpg

  9. 9. Na tela Group Policy Objetct Editor expanda Computer Configuration. Clique como o botão direito do mouse em Administrative Templates e depois em Add/Remove Templates...
    Cc716496.usb-8(pt-br,TechNet.10).jpg

  10. Na tela Add/Remove Templates clique em Add.
    Cc716496.usb-9(pt-br,TechNet.10).jpg

  11. Na tela Policy Templates selecione o arquivo Usb.adm e clique em Open.
    Cc716496.usb-10(pt-br,TechNet.10).jpg
    Novamente na tela Add/Remove Templates clique em Close.
    Cc716496.usb-11(pt-br,TechNet.10).jpg

  12. Na tela Group Policy Object Editor clique em View e depois em Filtering...
    Cc716496.usb-12(pt-br,TechNet.10).jpg

  13. Na tela Filtering clique para desmarcar a opção Only show policy settings that can be fully managed depois clique em OK.
    Cc716496.usb-13(pt-br,TechNet.10).jpg

  14. Na tela Group Policy Object Editor expanda Computer Configuration\Administrative Templates\Custom Policy Settings for XP SP2 e clique em Restrict USB.
    Cc716496.usb-14(pt-br,TechNet.10).jpg

  15. No painel direito da tela Group Policy Object Editor dê um duplo clique em Disable USB Write. Na tela Disable USB Write Properties clique na opção Enable e depois em OK.
    Cc716496.usb-15(pt-br,TechNet.10).jpg

  16. Feche a tela Group Policy Object Editor. Feche a tela Group Policy Management.

Conclusão

Neste tutorial mostramos como restringir a capacidade de gravação para dispositivos de armazenamento removíeis USB (USB block storage devices) utilizando Group Policies.

Ademir Yuri

Mostrar: