Precisamos de uma maneira de evitar que os usuários copiem qualquer coisa para e de unidades USB, a menos que sejam um administrador do sistema. O que pode ser feito para remover esse acesso por motivos de segurança.
A Microsoft tem um artigo da base de conhecimento sobre este mesmo problema (KB555324). Você precisa criar um ADM de Política de Grupo personalizado. O'Reilly tem mais facilidade para gravar em:
Desativando armazenamento USB com diretiva de grupo | WindowsDevCenter .
Espero que isso ajude.
Outra opção seria usar USBSecure . É um pequeno script implantável que lê uma lista branca de dispositivos usb de um compartilhamento de arquivos. Assim, você pode permitir explícitos dispositivos de armazenamento USB para alguns usuários ou permitir dispositivos específicos de fornecedores (por exemplo, todos os teclados e mouses usb da logitech). Ah, e é freeware.
Se você estiver trabalhando com o Windows Vista e superior, existem opções de Diretiva de Grupo que oferecem controle preciso sobre quais dispositivos USB são permitidos ou não. (Se você tiver que suportar o WinXP, veja as outras respostas listadas aqui.)
No Windows Vista ou superior, acesse o editor de políticas de grupo e faça uma pesquisa detalhada: Configuração do Computador \ Modelos Administrativos \ Sistema \ Instalação do Dispositivo \ Restrições de Instalação do Dispositivo
Lá você encontrará opções para lista branca de dispositivos de lista negra por IDs de dispositivos específicos ou pela classe de dispositivo. Há também uma política muito importante na parte inferior que permite bloquear tudo o que não é coberto pelas outras políticas.
Tudo o que você precisa saber é o ID de hardware do dispositivo ou o GUID da classe de dispositivo. Essas duas coisas podem ser encontradas no Gerenciador de dispositivos se você conectar um dispositivo à máquina.
Usando as políticas que existem, você pode, por exemplo, permitir que todos os mouses e teclados, permitir um modelo específico de um scanner USB e bloquear todo o resto.
No Windows, você pode desativar o driver de armazenamento USB configurando um Chave do registro. Isso pode ser configurado em um GPO e aplicado a um conjunto limitado de máquinas. Se você quiser permitir um subconjunto de dispositivos de armazenamento USB, provavelmente terá que recorrer a um produto de terceiros que execute algum tipo de agente.
Epóxi funciona muito bem
Uma solução rápida e inadequada será usar uma política de grupo para desativar o acesso a dispositivos USB, consulte o artigo a seguir . Há também produtos comerciais que podem realizar a mesma coisa, com segurança melhorada.
O GPO desativará os drivers:
Todas as soluções são legais, mas você também precisa pensar em um processo para poder carregar dados do USB.
Estou em um banco no momento e, por padrão, todas as portas USB são bloqueadas com um GPO que não carrega disco.
O problema é que eles não têm um processo quando um consultor externo vem para carregar alguns dados, é uma dor real para transferir arquivo iso, ou quaisquer documentos, porque se você não pode ligar a chave USB, também não pode ligar laptop na rede.Se você bloquear todo o seu USB, não esqueça que ainda precisa de algum tempo para carregar dados do USB, e 5 GB de dados pela web / e-mail nem sempre são uma resposta.
A segurança sempre vem com um preço.
Acho que a melhor solução é o software DeviseLock: link É realmente útil e tem enorme funcionalidade.
MyUSBonly da AC Element Company e StopUSB da EverStrike também funcionarão.
Ambos pedem uma senha se você quiser montar um novo dispositivo USB desconhecido.
Para ser honesto, ambos poderiam ser mais bem elaborados, mas pelo menos eles fazem o trabalho.