Tutorial Completo – Como bloquear dispositivos de armazenamento USB via Group Police Object (GPO)
Publicado por Davies Nassaro em 24 de outubro de 2012
Conforme mencionei alguns dias atrás, criei um tutorial demonstrando como efetuar o bloqueio de dispositivos de armazenamento removíveis, como os Pendrives, nas estações de trabalho controladas por um PDC (Primary Domain Controler) Windows Server 2008.
O primeiro ponto a saber sobre esse quesito é qual "mecanismo" dentro do Windows é responsável por habilitar ou desabilitar a montagem de dispositivos de armazenamento.
Esse "mecanismo" é uma chave de registro, contida no editor de registro (regedit) em:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
E a chave a ser aletrada é a "START" – quando o valor é "3″ a opção é habilitado para a montagem de dispositivos, mudando a opção para "4" a montagem fica bloqueada.
Agora, como fazemos para configurar essas opções no controlador de domínio e repassá-las as estações de trabalho clientes?
Devemos fazer o seguinte:
No Windows 2008 Server, acessar o console do Group Police Management.
Iniciar -> Executar -> Administrative Tools – > Group Police Management
Dentro do Gerenciamento de GPOs, escolher a GPO que se pretende incluir a restrição, clicar com o botão direito do mouse sobre ela e escolher a opção "edit".
Valer lembrar que os usuários e grupos que serão controlados por essa GPO devem ser inseridos em "Security Filtering", clicando no botão "add" e depois escolhendo os grupos ou usuários propriamente ditos, como demonstrado abaixo:
Inserindo usuários na GPO
Dentro da edição da política escolhida, navegue até a aba "User Configuration", depois "Preferences", "Windows Settings" e clique com o botão direto do mouse em cima da opção "Registry" e escolha New > "Registry Item", como na imagem a seguir.
Surgirá então uma janela para configuração do item do registro a ser alterado.
Em "action" escolhemos a opção "Update", pois a chave do registro já existe nas estações clientes e portanto necessita somente ser alterada.
Em "Hive", escolhemos a chave" HKEY_LOCAL_MACHINE". Em "Key Patch" escolhemos o caminho: "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR", e clicamos na chave "Start", cujo valor padrão é {3}, como demonstrado na imagem:
Agora é só inserir o valor "4″ no campo "Value Data" e dar um "OK" quando necessário.
Pronto, a configuração do lado do Servidor já está pronta.
Execute o comando "gpupdate /force" para que as atualizações da GPO sejam repassadas às estações clientes.
Ja testei esse esquema em um ambiente de domínio com estações de tyrabalho rodando os sistemas operacionais Windows Vista e 7 e funcionou perfeitamente, porém com clientes Windows XP ele tem um pequeno entrave. pois estes clientes não conseguem receber esse controle. Mas existe uma forma simples de driblar esse contratempo.
A solução consiste em instalar dois patches de atualização nas estações de trabalho com o Windows XP. Esses arquivos na verdade são dois KB que fazem o Windows XP reconhecer esse controle repassado via GPO pelo Windows 2008.
Segue link para download dos arquivos:
A instalação desses dois executáveis podem ser repassados para as estações através de scripts de inicialização criados no Servidor. Se alguém não souber como criar esses scripts é só postar a dúvida que ajudarei com o maior prazer.
Bom, é isso ai pessoal.
Espero que tenham aprendido como implementar essa importante ferramenta de segurança disponibilizado pelo Windows Server 2008.
Nenhum comentário:
Postar um comentário