GPO Politicas de grupo - Bloquear USB CDROM

editado noviembre 2010 en Servidores y Hardening
Por seguridad en windows (generalmente dentro de una empresa)se pueden bloquear los medios extraibles por GPO (politicas de grupo), creando en un block de notas un archivo por ej blousbcd.adm con el siguiente contenido
[HIDE]
	
	[FONT=&amp]CLASS MACHINE
	CATEGORY !!category
	CATEGORY !!categoryname
	POLICY !!policynameusb
	KEYNAME "SYSTEMCurrentControlSetServicesUSBSTOR"[/FONT][FONT=&amp]
	[/FONT][FONT=&amp]EXPLAIN !!explaintextusb
	PART !!labeltextusb DROPDOWNLIST REQUIRED
	
	VALUENAME "Start"
	ITEMLIST
	NAME !!Disabled VALUE NUMERIC 3 DEFAULT
	NAME !!Enabled VALUE NUMERIC 4
	END ITEMLIST
	END PART
	END POLICY[/FONT][FONT=&amp]
	[/FONT][FONT=&amp]POLICY !!policynamecd
	KEYNAME "SYSTEMCurrentControlSetServicesCdrom"
	EXPLAIN !!explaintextcd
	PART !!labeltextcd DROPDOWNLIST REQUIRED
	
	VALUENAME "Start"
	ITEMLIST
	NAME !!Disabled VALUE NUMERIC 1 DEFAULT
	NAME !!Enabled VALUE NUMERIC 4
	END ITEMLIST[/FONT][FONT=&amp]
	[/FONT][FONT=&amp]END PART
	END POLICY
	POLICY !!policynameflpy
	KEYNAME "SYSTEMCurrentControlSetServicesFlpydisk"
	EXPLAIN !!explaintextflpy
	PART !!labeltextflpy DROPDOWNLIST REQUIRED[/FONT][FONT=&amp]
	[/FONT][FONT=&amp]
	VALUENAME "Start"
	ITEMLIST
	NAME !!Disabled VALUE NUMERIC 3 DEFAULT[/FONT][FONT=&amp]
	[/FONT][FONT=&amp]NAME !!Enabled VALUE NUMERIC 4
	END ITEMLIST
	END PART
	END POLICY
	POLICY !!policynamels120
	KEYNAME "SYSTEMCurrentControlSetServicesSfloppy"
	EXPLAIN !!explaintextls120[/FONT][FONT=&amp]
	[/FONT][FONT=&amp]PART !!labeltextls120 DROPDOWNLIST REQUIRED
	
	VALUENAME "Start"[/FONT][FONT=&amp]
	[/FONT][FONT=&amp]ITEMLIST
	NAME !!Disabled VALUE NUMERIC 3 DEFAULT
	NAME !!Enabled VALUE NUMERIC 4
	END ITEMLIST
	END PART
	END POLICY[/FONT][FONT=&amp]
	[/FONT][FONT=&amp]END CATEGORY[/FONT][FONT=&amp]
	[/FONT][FONT=&amp]END CATEGORY
	
	[strings]
	category="Custom Policy Settings"[/FONT][FONT=&amp]
	[/FONT][FONT=&amp]categoryname="Restrict Drives"
	policynameusb="Disable USB"
	policynamecd="Disable CD-ROM"[/FONT][FONT=&amp]
	[/FONT][FONT=&amp]policynameflpy="Disable Floppy"
	policynamels120="Disable High Capacity Floppy"
	explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
	explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
	explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
	explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"[/FONT][FONT=&amp]
	[/FONT][FONT=&amp]labeltextusb="Disable USB Ports"
	labeltextcd="Disable CD-ROM Drive"
	labeltextflpy="Disable Floppy Drive"[/FONT][FONT=&amp]
	[/FONT][FONT=&amp]labeltextls120="Disable High Capacity Floppy Drive"
	Enabled="Enabled"
	Disabled="Disabled"
	 [/FONT]
[/HIDE]
Con esto tendremos creada una nueva plantilla de politicas

Estas politicas se pueden aplicar tambien en un servidor active directory para que las computadoras que uno quiera tengan los dispositivos bloqueados.

para realizarlo ahi dejo un doc con los pasos

Comentarios

  • editado 1:16
    Chakan, como veo que te gusta la parte de administrar windows, te propongo al igual que a Dragon y todos los que puedan cooperar que iniciemos un curso de administracion en Windows server. si no se ha iniciado aun.

    Acabo de venir de unos largos entrenamientos de MOC, 7 cursos en total, con 3mendos libros, que podria ir aportando a la comunidad si estan interesados.

    So, si te interesa enviame MP para que coordinemos, eso si. Tendria que ser para Enero, porque me tomare este mes para preparar la certificacion de Security+ y no quiero arrollarme.
  • dakdak
    editado 1:16
    Por aqui cuenten conmigo si lo van a hacer yo les puedo ayudar.
  • editado 1:16
    excelente aporte muchas gracias eso estaba buacando
  • editado 1:16
    Muchas gracis buena info a leer...
    Me sirve mucho para el trabajo de la Universidad se te agradece
  • editado 1:16
    Gracias por el aporte. Si funciona.
  • editado 1:16
    checando mañana lo aplicare. haber que pasa... y gracias por compartir sus conocimientos... saludos desde mexico
  • editado 1:16
    otra forma, en la cual se daran cuenta de mas opciones de bloqueo es escribiendo en el menu ejecutar gpedit.msc (Group Policies EDIT) y entraran a las directivas de grupo, en las cuales puede configurar directivas al equipo o al usuario actual.

    Esto se aplica mucho en los servidores de dominio para aplicar las politicas cuando las estaciones inician sesion en el servidor, si al ejecutarlas no funcionan, pueden escribir el comando gpupdate /force para forzar a que se actualicen.

    Por medio de estas directivas pueden restringir muchas cosas en el PC, como cambio del papel tapiz, cambio de direcciones IP, cambio de hora, configuración o eliminacion de impresoras, cambio del protector de pantalla, impedir que desinstalen un programa, etc...
  • editado 1:16
    No puedo descargar el archivo y se ve interesante el tema que tratas
  • editado 1:16
    No se puede descargar el archivo
  • editado 1:16
    En la empresa para la que laboro tienen restringidas muchas cosas con el Kaspersky EndPoint Security 10 para Windows y vaya que funciona !.

    Saludos,
  • editado 1:16
    si, funcionan bastante bien, sobre todo el bloqueo de medios extraibles, eso si, se debe tener mucho cuidado al momento de configurar el ksc porque te podes cargar todo! por cierto donde laboras?
  • editado 1:16
    Kaspersky EndPoint hay esa opción cuando trabaja lo hacia desde la consola. Pero ahora en la empresa que laboro trabajan con otro antivirus y me pidieron bloquear pendrive pero no quiero hacer lo por maquina quiero hacerlo por el GPO seria mas automatizado. por favor necesito ese archivo donde se indica los pasos no los puedo ver ni descargar. gracias de antemano
  • Que tal amigos de la comunidad, no he logrado descargar el archivo, alguno me puede colaborar o enviarlo a mi correo, [email protected] ...... necesito bloquear las usb de almacenamiento pero dejar que funcionen el mouse y el teclado, tengo el active directory con un win server 2012 R2..... Gracias a Todos!!!!!!!
  • editado 1:16
    gracias sirvio de mucho bye
  • editado 1:16
    Buenas Tardes,

    Como abtengo el número de cédula de una persona??

    Gracias
  • editado 1:16
    Descargando
  • editado 1:16
    Vamos a probar, aún problemas con el link?
  • editado 1:16
    nin32 escribió : »
    No puedo descargar el archivo y se ve interesante el tema que tratas

    El archivo no es descargable, el código fuente se ve desde el foro.
  • excelente aporte muchas gracias
  • excelente aporte muchas gracias eso estaba buacando
  • editado 1:16
    Muchas gracias por la informacion
Accede o Regístrate para comentar.