Bloqueia o acesso USB, mas permite apenas os específicos (em particular, um dispositivo de armazenamento em massa USB)

1

No Windows 10 Pro, existe uma maneira de bloquear todos os dispositivos USB, mas permitir os específicos?

Em particular, desejo permitir apenas um dispositivo de armazenamento em massa USB específico, ou seja, um modelo de fornecedor específico, com um número de série exclusivo.

Este artigo alega que é possível: link . No entanto, foi escrito em 2010 e as instruções parecem não funcionar no Windows 10: não consegui alterar as permissões do arquivo usbstor.inf e a máquina ainda monta modelos de sticks USB nunca antes vistos.

    
por Kal 06.07.2017 / 12:15

1 resposta

0

Seguindo a sugestão do @ Ramhound, consegui que funcionasse usando a política de grupo.

A direção geral está documentada aqui: link

Em particular, a regra "Impedir a instalação de dispositivos removíveis" é o que eu preciso.

Então aqui está um resumo do que acabei fazendo:

  1. No Gerenciador de dispositivos, desinstale todos os dispositivos USB que eu não quero, incluindo os que não estão conectados no momento - há uma variável de ambiente chamada DEVMGR_SHOW_NONPRESENT_DEVICES que permite a exibição de dispositivos instalados, mas atualmente desconectados; basta pesquisar na web por "DEVMGR_SHOW_NONPRESENT_DEVICES";
  2. Instale o dispositivo USB que eu quero; neste caso, um dispositivo de armazenamento em massa USB;
  3. Ative a regra "Impedir a instalação de dispositivos removíveis" na Política de Grupo.

Emptor de advertência:

  1. A política de grupo provavelmente não pode bloquear com eficiência alguns dispositivos que não exponham um ID serial exclusivo. Por exemplo, se um determinado modelo de fornecedor de dispositivo de armazenamento em massa USB não expor uma ID serial exclusiva e você tiver instalado uma, a política de grupo poderá permitir que outras instâncias do mesmo modelo de fornecedor sejam montadas. Eu não tenho esse modelo de dispositivo de armazenamento em massa USB comigo, por isso não posso realmente verificar.
  2. Até onde eu sei, os IDs dos dispositivos USB não são assinados e, portanto, não podem ser verificados - por exemplo, se um dispositivo USB for um determinado dispositivo, com um ID serial específico, não há como o computador saber se verdade. Um bandido pode construir um dispositivo USB com ID de dispositivo USB forjado e ID serial forjado, para que seja aceito pelo seu computador, mesmo assim.

Com tudo isso dito, essa solução funciona se você pressupõe que todos os seus dispositivos exponham identificações seriais exclusivas e que ninguém tente forjar um dispositivo USB para que seja aceito pelo seu computador.

    
por 07.07.2017 / 17:07