Deve haver um objeto de política de grupo para isso, você pode enviá-lo pelo Active Directory. Veja em gpedit.msc no WinXP Pro.
Como você bloqueia as portas USB nos PCs de mesa para que possamos evitar o uso de unidades USB nos desktops?
Devo esclarecer que esses são desktops do Windows XP.
Também devemos supor que, como a maioria dos novos desktops, muitos estão usando USB para teclados e / ou mouses.
Se eles são áreas de trabalho do Windows, você pode usar a política local (ou política de grupo, se for o Active Directory). Não existe uma configuração padrão, mas o modelo fornecido pela MS pode ser encontrado em MSKB 555324 .
Você deve conseguir desativar as portas USB do BIOS do computador. Você também pode, desconecte os cabos deles para a placa-mãe.
Eu não acho que desabilitar as portas realmente vai fazer o que você parece querer. Não, a menos que esses computadores usem mouses e teclados PS2. Contanto que você tenha portas USB disponíveis para o teclado e o mouse, alguém pode simplesmente conectar um hub e conectar sua unidade USB nele. O que você realmente quer fazer é impedir que o computador reconheça dispositivos de armazenamento USB (mas não outros dispositivos USB) conectados via USB.
Se os usuários tiverem direitos administrativos em seus PCs, eles poderão substituir tudo o que você fizer para evitar isso. No entanto, você pode seguir o link abaixo para a solução recomendada da Microsoft:
Você também pode impedir a inicialização de um pendrive na BIOS, como já foi mencionado.
Se você estiver preocupado em usar uma solução de software, poderá comprar alguns bloqueios de hardware.
Isso pressupõe que você tenha o orçamento para obtê-los para cada máquina. Talvez você também precise impedir que as pessoas desconectem o teclado e o mouse se eles também forem USB.
Duas soluções que vi em sites de clientes:
No BIOS, defina o dispositivo de inicialização para inicializar somente a partir do disco rígido e proteger com senha o BIOS. No BIOS, desabilite todos os dispositivos USB que você pode usar. Para impedir que bastões USB sejam montados, você precisará tomar outras medidas. Você pode colocar o computador em uma caixa com apenas os cabos do teclado e do mouse saindo? Então não há porta USB disponível para eles mexerem.
O resultado é que, desde que você não confie em pessoas que tenham acesso físico à máquina, você só poderá melhorar a segurança, mas não conseguirá segurança absoluta.
Eu tive que fazer isso em máquinas autônomas, bem como em várias máquinas de domínio. O GPO seria o melhor caminho a percorrer, mas eu não tive o luxo de fazer isso dessa maneira. Obviamente, se alguém tivesse direitos de administrador sobre a máquina e um pouco de conhecimento, ela poderia desfazer isso.
Na época em que eu usava isso, tínhamos todas as máquinas XP. Nenhum usuário possuía direitos de administrador. Nenhum usuário é [suposto ser] Usuários Avançados. Para ajudar a impedir que os usuários usem dispositivos de armazenamento em massa USB, alguns outros administradores excluíram o USBSTOR.SYS. Então, se eu precisar reativar os dispositivos de armazenamento em massa USB, também preciso restaurar o arquivo do driver. (Então eu mantive uma cópia atual acessível junto com os arquivos abaixo). Minha cópia do "Enable.bat" tem uma linha - eu comentei aqui - para restaurar o arquivo conforme necessário.
Disable.bat:
(Pode ser necessário adicionar "BUILTIN \ Administrators" aos comandos CACLS. Eu não precisava no meu ambiente)
@echo off
REM *********************************************************************
REM Disabling USB Mass Storage Driver
REM *********************************************************************
echo Disabling USB Mass Storage Driver
CACLS %SYSTEMROOT%\system32\Drivers\USBSTOR.SYS /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
REG.EXE IMPORT "Disable.reg"
Disable.reg:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004
Enable.bat
(Pode ter que adicionar outro conjunto de comandos CACLS para "BUILTIN \ Administrators". Eu não precisava no meu ambiente)
@echo off
REM *********************************************************************
REM Enabling USB Mass Storage Driver
REM *********************************************************************
echo Enabling USB Mass Storage Driver
REM XCOPY /E /Y /I USBSTOR.SYS %SYSTEMROOT%\system32\Drivers
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Power Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Power Users":R
REG.EXE IMPORT "Enable.reg"
Enable.reg:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000003
Algo semelhante pode funcionar para o Vista - MAS NÃO TENHO TENTADO.
Eu prefiro treinar os usuários quanto ao que é aceitável e o que não é aceitável. Se você não pode confiar em seus usuários tão longe, tire seus PCs e configure um sistema thin client conectando-se a algo como um servidor Citrix executando todos os seus aplicativos. A única outra solução que posso pensar é colocar o PC real em um gabinete trancado com apenas os cabos para o teclado, mouse e monitor saindo. Em todos os casos, acho que você acabará criando mais trabalho para você mesmo.
Se você está procurando efetivamente 'remover' essas portas do computador (e você precisa de USB em tudo), E se você estiver disposto a modificar o computador, posso sugerir 2 partes de epóxi? Cubra o conector com epóxi e ninguém nunca vai ligar nada lá novamente. A cola Hot Melt é um pouco menos permanente, mas ainda assim bastante eficaz.
Supondo que você ainda precise de portas USB para teclado / mouse, terá que deixar uma ou duas portas descobertas.
Drivelock . Também espelha arquivos de pendrives, se desejado, e permite listas de permissões e listas negras de dispositivos, tipos de arquivos e usuários.
Você pode desativar o armazenamento de USB via:
Também é possível tornar o armazenamento USB somente leitura . Isso geralmente é um bom compromisso, pois permite que os usuários leiam dados de um dispositivo USB - como fotos de uma câmera, mas impede que eles copiem o banco de dados corporativo para o cartão de memória.
Provavelmente não é aconselhável tentar desativar o USB por completo, já que coisas como teclados e mouses geralmente exigem USB nos dias de hoje. Ambas as opções acima podem ser definidas por meio de uma entrada de registro ou de um arquivo de política. A força dessas configurações será tão strong quanto a política do Windows e as configurações de grupo.
Tags windows usb security windows-xp desktop