Recuerde dejar su comentario y/o like, gracias por el apoyo…
Y recuerde que nos especializamos en:
SOPORTE TECNICO Equipos de Cómputo para Empresas
Prestamos servicios de soporte técnico integral para empresas,.donde por una tarifa fija mensual, cubrimos toda su infraestructura de computadores, servidores, redes y periféricos… Trabajamos en 3 niveles: Telefónico, Remoto y Presencial. Además hay un director – líder de proyectos quien realiza auditorias, presenta informes de servicio, soporte predictivo para evitar fallos futuros, etc Asesorías en adquisición de tecnología, hardware y licenciamiento Control y administración de copias de seguridad, backups y nube para garantizar la integridad de los datos de la compañía.
Contáctenos por Whatsapp: 3023730863 y reciba respuesta inmediata!.
Mostramos los pasos sobre cómo evitar y bloquear que se puedan usar USB en los ordenadores a través de una GPO en dominios Windows Server.
Desde que en la década de los años 90 se hizo el lanzamiento de la USB 1.0 hemos notado grandes cambios hasta hoy, no sólo en la versión de las USB, estamos en la 3.0, sino en las novedades de almacenamiento, tamaño, seguridad, velocidad, entre otras.
Hoy en día el 95 % de las personas poseen una memoria USB ya sea con fines personales, organizacionales, de apoyo, etc, y es muy importante ya que nosotros que estamos en el medio de sistemas podemos usar una memoria USB para arrancar un sistema operativo desde allí (algo que no era probable en los 90), podemos almacenar gran cantidad de información, hasta de 256 GB mientras que la primera generación de las USB solo llegaba hasta las 16 MB.
No sólo la copia de seguridad es importante para la buena gestión de nuestros servidores Windows Server y empresas. Las configuraciones de diversas políticas de seguridad son más que vitales.
¿Porque quisiéramos bloquear en nuestros dominios con Windows Server el acceso a las USB?, las razones son múltiples:
- Por seguridad, para evitar el robo de información.
- Por políticas de la empresa, ya que existen datos o registros delicado que pueden ser almacenados en una memoria
USB y de allí tener un mal destino:
- Para evitar la propagación de virus, ya que muchas veces se conectan memorias USB en los equipos del dominio sin pasar por un análisis de antivirus y éstas contienen diversos tipos de virus que pueden propagarse en toda la red y afectar diversos equipos.
- Para mejorar el rendimiento del equipo, ya que muchas personas instalan programas o aplicaciones directamente desde las memorias USB.
Como vemos existen muchas razones por las que es recomendable bloquear los puertos USB en nuestro dominio y también es importante recalcar que no todas las empresas boquean el acceso a los puertos USB de sus empleados.
En esta oportunidad vamos a analizar cómo podemos bloquear los puertos USB usando una política de grupo. Cómo ejemplo lo trabajaremos en Windows Server 2016.
1. Abriendo el editor de directivas de dominio
Para abrir el editor y de esta manera configurar la respectiva GPO vamos a ir al menú Inicio y seleccionamos la opción Todas las aplicaciones.
En la ventana de Todas las aplicaciones ubicaremos el campo Herramientas administrativas y allí seleccionamos la opción Administración de directivas de grupo.
Se desplegará la siguiente ventana:
2. Crear y aplicar la política de restricción
Para este análisis hemos creado una unidad organizativa llamada Solvetic_USB. En el editor de políticas de grupo vamos a desplegar nuestro dominio para ver dicha unidad organizativa.
Allí daremos clic derecho sobre la unidad organizativa Solvetic_USB y seleccionamos la opción Crear un GPO en este dominio y vincularlo aquí.
Al pulsar la opción indicada se despliega la siguiente ventana donde debemos asignar un nombre, en este caso elegimos Solvetic_Restriccion.
Pulsamos Aceptar y podemos ver nuestra política creada de manera correcta. Ahora daremos clic derecho sobre la política y seleccionamos la opción Editar.
Se abre la siguiente ventana:
Debemos ir a la siguiente ruta:
- Directiva Solvetic_Restricción
- Configuración del equipo
- Directivas
- Plantillas Administrativas
- Sistema
- Acceso de almacenamiento extraíble
En el costado derecho daremos podemos ver que contamos con diversas opciones de edición de políticas siendo las más importantes:
Todas las clases de almacenamiento extraíble: denegar acceso a todo: Si habilitamos esta opción impediremos que el usuario use cualquier clase de medio extraíble como USB, DVD, celular, MP4, MP5, etc
De la misma manera podemos configurar restricciones para unidades de CD, Cintas, sesiones remotas, etc.
En este ejemplo vamos a restringir el acceso a las unidades USB únicamente por lo cual seleccionamos la opción Discos extraíbles: denegar acceso de ejecución y veremos la siguiente ventana:
Allí debemos seleccionar la opción Habilitada para aplicar esta política a la unidad organizativa seleccionada. Pulsamos Aplicar y luego Aceptar para validar la política.
Validamos que la política se encuentra habilitada en la OU Solvetic_Restriccion.
3. Comprobar y aplicar política
Una vez hayamos realizado el proceso anterior y hayamos definido a que tipo de unidades aplicaremos la restricción vamos a esperar que la política se aplique en los equipos del dominio o podemos usar el comando:
- gpupdate /force
Para forzar la política.
De esta manera brindamos seguridad en nuestros dominios evitando que se añadan dispositivos extraíbles USB en los equipos de la organización los cuales pueden contener ocasionar diferentes problemas para nosotros como encargados del área de IT.
Para finalizar atentos a estos tutoriales que será de vuestro interés, el poder controlar que usuarios inician sesión en Windows Server, además de aprender cómo configurar políticas avanzadas de auditoría GPO: