GPO -> Bloquear escrita em pendrive
3 03 2008Hoje em dia todo mundo tem pendrive, e tem sido comum nas empresas a preocupação de bloquear acesso, ou não permitir escrita nesses dispositivos, para evitar roubo de informações.
Segue procedimento descrevendo processo de gpo no ad para desabilitar gravação nesses dispositivos:
http://www.microsoft.com/brasil/technet/Colunas/AdemirYuri/usbviagpo.mspx
Lembrando que para essa gpo funcionar, tem que estar aplicado o sp2 no windows xp.
Detalhe importante:
Após essa gpo ser aplicada, mesmo removendo ela do gpmc a alteração continua nos computadores onde foram aplicados. Para reverter a alteração é preciso mudar o valor na chave de registro abaixo.
HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies de 1 para 0 (zero)
Segue procedimento para desabilitar totalmente acesso aos dispositivos de storage usb (pendrives):
http://support.microsoft.com/kb/823732/
Na kb acima informa o procedimento para ser feito em máquina local. A forma de aplicar isso no ad através de gpo é usando a gpo de filesystem, que já está descrita aqui mesmo no site no post “Policy – Bloquear arquivos”
Oi Vinícius, tudo jóia?
Gostaria de tirar uma dúvida contigo.
Estou fazendo testes num Win2K3 Server SP2 e cliente XP Pro SP3.
Fiz o procedimento http://support.microsoft.com/kb/823732/ para bloquear instalação de pendrive por GPO e consegui com que nenhum pendrive conseguisse ser instalado na máquina cliente. O problema é que desfiz o procedimento no server, dei permissão para todos para poder acessar os drivers novamente, e o resultado é como se eu tivesse ainda com a GPO bloqueando a instalação de drivers no Server.
Já setei todos os drivers possíveis com permissôes locais no cliente (c:\Windows\inf\*), já entrei como adm no cliente logando com domínio, logando na máquina local, e nada. Sempre que tento instalar um pendrive, ele inicia o processo, mostra os arquivos dos drivers sendo copiados/transferidos, e na tela final, ao invés de dar sucesso, diz que não pode ser instalado por causa de acesso negado.
Para a instalação eu sempre escolho:
1. Conectar no Windows Update para procurar software? R:
2. Instalar o software automaticamente (recomendável)
Resultado: “Erro durante a instalação do dispositivo. Acesso negado”
Você teria alguma dica?
Muito obrigado e parabéns pelo blog !!!
Abraços,
Eric Fer
Daí Eric,
Obrigado pela visita ao blog.
Tente fazer o procedimento abaixo que deverá resolver:
Click Start, and then click Run.
In the Open box, type regedit, and then click OK.
Locate and then click the following registry key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
In the details pane, double-click Start.
In the Value data box, type 4, click Hexadecimal (if it is not already selected), and then click OK.
Exit Registry Editor.
att,
Vinícius
Boa Tarde!
Oi amigo estou com mesmo problema, fiz o que você falou mais não deu certo, poderia me ajudar? meu SO xp Pro, server AD 2008.
Desde já agradeço pela atenção.
Emanoel,
Eu nunca fiz esse procedimento em server w2k8, apenas w2k3. Fazendo no w2k3 é garantido que seguindo os passos descritos irá funcionar, agora, no 2008 como comentei, não cheguei a testar.
Abraço
Vinicius,
Esse passo a passo para troca do valor do registro, vc executa no server ou nos clientes?
Grato, pela força.
Att, Emanoel
Emanoel,
Supondo que vc esteja se referindo ao procedimento em registro para desfazer o procedimento (já que vc não dá maiores detalhes na sua pergunta)
Depende de onde vc vinculou a policy. Se vc vinculou em uma unidade organizacional onde tem computadores clientes, em clientes. Caso tenha sido vinculada em OU com computadores servers, em servers.
Me parece pelas suas perguntas que está te faltando um pouco de conhecimentos de pré-requisitos ou vc está sendo mto economico nas suas perguntas. Assim fica difícil eu conseguir te ajudar por aqui.
Vinicius,
Desculpe pela falta de informação postadas, realmente tentei economizar um pouco nas palavras seguindo as perguntas que outras pessoas já tinham feito a você, vamos lá: a um tempo atras criei um Arquivo TXT em (c:\Windows\inf\)do meu controlador de dominio c/SO Server 2008 e habilitei a politica de bloqueio a USB em todo o meu parque de maquinas(XP Pro), funcionou blz. só que agora eu quero desabilitar esse bloqueio e não consigo, você citou que para reverter essa politica precisamos mudar o valor na chave de registro,(HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies de 1 para 0 (zero).
A pergunta que fiz foi a seguinte, essa mudança de valor do registro eu mudo nos clientes ou no meu Servidor AD?
Sabe me dizer se essa mudança de valor se aplica para SO server 2008?
Segue abaixo as inf contidas no TXT criado.
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME “SYSTEM\CurrentControlSet\Control\StorageDevicePolicies”
EXPLAIN !!explaintextusb
VALUENAME “WriteProtect”
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY
END CATEGORY
END CATEGORY
[strings]
category=”Custom Policy Settings for XP SP2″
categoryname=”Restrict USB”
policynameusb=”Disable USB Write”
explaintextusb=”Windows XP with SP2 will block writes to USB block storage devices”
labeltextusb=”Disable USB Write”
Desde já agradeço pela sua atenção.
Até mais
Emanoe Junior
Daí Emanoel,
Então vc precisa fazer o procedimento descrito no post, alterando a chave em cada um dos clientes ou fazer um script que faça esse procedimento por vc.
Vinicius,
Fiz o procedimento e mesmo assim não deu certo, sabe me diz porque?
continuo sem conseguir salvar nada no pendrive, diz: ” o disco removivel esta protegido”.
Att,
Emanoel