Cómo bloquear dispositivos USB en el dominio con GPO

Mostramos los pasos sobre cómo evitar y bloquear que se puedan usar USB en los ordenadores a través de una GPO en dominios Windows Server.

Desde que en la década de los años 90 se hizo el lanzamiento de la USB 1.0 hemos notado grandes cambios hasta hoy, no sólo en la versión de las USB, estamos en la 3.0, sino en las novedades de almacenamiento, tamaño, seguridad, velocidad, entre otras.

 

Hoy en día el 95 % de las personas poseen una memoria USB ya sea con fines personales, organizacionales, de apoyo, etc, y es muy importante ya que nosotros que estamos en el medio de sistemas podemos usar una memoria USB para arrancar un sistema operativo desde allí (algo que no era probable en los 90), podemos almacenar gran cantidad de información, hasta de 256 GB mientras que la primera generación de las USB solo llegaba hasta las 16 MB.

 

No sólo la copia de seguridad es importante para la buena gestión de nuestros servidores Windows Server y empresas. Las configuraciones de diversas políticas de seguridad son más que vitales.
¿Porque quisiéramos bloquear en nuestros dominios con Windows Server el acceso a las USB?, las razones son múltiples:

  • Por seguridad, para evitar el robo de información.
  • Por políticas de la empresa, ya que existen datos o registros delicado que pueden ser almacenados en una memoria

 

USB y de allí tener un mal destino:

  • Para evitar la propagación de virus, ya que muchas veces se conectan memorias USB en los equipos del dominio sin pasar por un análisis de antivirus y éstas contienen diversos tipos de virus que pueden propagarse en toda la red y afectar diversos equipos.
  • Para mejorar el rendimiento del equipo, ya que muchas personas instalan programas o aplicaciones directamente desde las memorias USB.

 

Como vemos existen muchas razones por las que es recomendable bloquear los puertos USB en nuestro dominio y también es importante recalcar que no todas las empresas boquean el acceso a los puertos USB de sus empleados.

 

En esta oportunidad vamos a analizar cómo podemos bloquear los puertos USB usando una política de grupo. Cómo ejemplo lo trabajaremos en Windows Server 2016.

 

 

1. Abriendo el editor de directivas de dominio

Para abrir el editor y de esta manera configurar la respectiva GPO vamos a ir al menú Inicio y seleccionamos la opción Todas las aplicaciones.

 

Menu-de-inicio-todas-las-aplicaciones.jpg

 

En la ventana de Todas las aplicaciones ubicaremos el campo Herramientas administrativas y allí seleccionamos la opción Administración de directivas de grupo.

 

administracion-directivas-de-grupo-wserver-2.jpg

 

Se desplegará la siguiente ventana:

 

editor-politicas-de-grupo-3.jpg

 

 

2. Crear y aplicar la política de restricción

Para este análisis hemos creado una unidad organizativa llamada Solvetic_USB. En el editor de políticas de grupo vamos a desplegar nuestro dominio para ver dicha unidad organizativa.

 

editor-politicas-de-grupo-4.jpg

 

Allí daremos clic derecho sobre la unidad organizativa Solvetic_USB y seleccionamos la opción Crear un GPO en este dominio y vincularlo aquí.

 

crear-un-GPO-vinculado-dominio-5.jpg

 

Al pulsar la opción indicada se despliega la siguiente ventana donde debemos asignar un nombre, en este caso elegimos Solvetic_Restriccion.

 

Nueva-GPO-6.jpg

 

Pulsamos Aceptar y podemos ver nuestra política creada de manera correcta. Ahora daremos clic derecho sobre la política y seleccionamos la opción Editar.

 

directiva-de-grupos-vinculados-GPO-8.jpg

AMPLIAR

 

Se abre la siguiente ventana:

 

administrador-directivas-de-grupo-9.jpg

 

Debemos ir a la siguiente ruta:

  • Directiva Solvetic_Restricción
  • Configuración del equipo
  • Directivas
  • Plantillas Administrativas
  • Sistema
  • Acceso de almacenamiento extraíble

 

Directiva-GPO-deshabilitar-dispositivos-extraibles-10.jpg

AMPLIAR

 

En el costado derecho daremos podemos ver que contamos con diversas opciones de edición de políticas siendo las más importantes:

 

Discos extraíbles
Denegar acceso de ejecución: Si habilitamos esta política impediremos el acceso a cualquier medio extraíble que se conecte en un equipo del dominio.

 

Discos extraíbles
Denegar acceso de lectura: A través de esta opción podemos permitir que el usuario escribir o copiar información sobre la USB pero no leer el contenido de la misma.

 

Discos extraíbles
Denegar acceso de escritura: Esta opción permite al usuario leer la información de la USB mas no realizar cambios en la misma.

 

Todas las clases de almacenamiento extraíble: denegar acceso a todo: Si habilitamos esta opción impediremos que el usuario use cualquier clase de medio extraíble como USB, DVD, celular, MP4, MP5, etc

 

De la misma manera podemos configurar restricciones para unidades de CD, Cintas, sesiones remotas, etc.

 

En este ejemplo vamos a restringir el acceso a las unidades USB únicamente por lo cual seleccionamos la opción Discos extraíbles: denegar acceso de ejecución y veremos la siguiente ventana:

 

denegar-ejecucion-USB-GPO-11.jpg

 

Allí debemos seleccionar la opción Habilitada para aplicar esta política a la unidad organizativa seleccionada. Pulsamos Aplicar y luego Aceptar para validar la política.

 

Validamos que la política se encuentra habilitada en la OU Solvetic_Restriccion.

 

directiva-de-grupo-GPO-denegar-USB-13.jpg

AMPLIAR

 

 

 

3. Comprobar y aplicar política

Una vez hayamos realizado el proceso anterior y hayamos definido a que tipo de unidades aplicaremos la restricción vamos a esperar que la política se aplique en los equipos del dominio o podemos usar el comando:

  1. gpupdate /force

Para forzar la política.

 

De esta manera brindamos seguridad en nuestros dominios evitando que se añadan dispositivos extraíbles USB en los equipos de la organización los cuales pueden contener ocasionar diferentes problemas para nosotros como encargados del área de IT.

 

Para finalizar atentos a estos tutoriales que será de vuestro interés, el poder controlar que usuarios inician sesión en Windows Server, además de aprender cómo configurar políticas avanzadas de auditoría GPO:

 

 

Políticas avanzadas GPO

 

 

Dejar un comentario