Cargando

Ir a contenido


 


Cómo bloquear dispositivos USB en el dominio con GPO

Cómo evitar y bloquear que se puedan usar USB en los ordenadores a través de una GPO en dominios Windows Server. Incluye vídeo.


Escrito por el sep 22 2017 12:26 wserver wserver2016 seguridad



Desde que en la década de los años 90 se hizo el lanzamiento de la USB 1.0 hemos notado grandes cambios hasta hoy, no sólo en la versión de las USB, estamos en la 3.0, sino en las novedades de almacenamiento, tamaño, seguridad, velocidad, entre otras.

 

Hoy en día el 95 % de las personas poseen una memoria USB ya sea con fines personales, organizacionales, de apoyo, etc, y es muy importante ya que nosotros que estamos en el medio de sistemas podemos usar una memoria USBpara arrancar un sistema operativo desde allí (algo que no era probable en los 90), podemos almacenar gran cantidad de información, hasta de 256 GB mientras que la primera generación de las USB solo llegaba hasta las 16 MB.

 

No sólo la copia de seguridad es importante para la buena gestión de nuestros servidores Windows Server y empresas. Las configuraciones de diversas políticas de seguridad son más que vitales.
¿Porque quisiéramos bloquear en nuestros dominios con Windows Server el acceso a las USB?, las razones son múltiples:

  • Por seguridad, para evitar el robo de información.
  • Por políticas de la empresa, ya que existen datos o registros delicado que pueden ser almacenados en una memoria

 

USB y de allí tener un mal destino:

  • Para evitar la propagación de virus, ya que muchas veces se conectan memorias USB en los equipos del dominio sin pasar por un análisis de antivirus y éstas contienen diversos tipos de virus que pueden propagarse en toda la red y afectar diversos equipos.
  • Para mejorar el rendimiento del equipo, ya que muchas personas instalan programas o aplicaciones directamente desde las memorias USB.

 

Como vemos existen muchas razones por las que es recomendable bloquear los puertos USB en nuestro dominio y también es importante recalcar que no todas las empresas boquean el acceso a los puertos USB de sus empleados.

 

En esta oportunidad vamos a analizar cómo podemos bloquear los puertos USB usando una política de grupo. Cómo ejemplo lo trabajaremos en Windows Server 2016.

 

En el siguiente videotutorial también podrás aprender cómo bloquear un dispositivo USB mediante políticas de grupo o GPO de tal forma que impidas que puedan acceder a los puertos USB los equipos que indiques. Es importante controlar esto para preservar la seguridad de la empresa.

 

 

 

 


1. Abriendo el editor de directivas de dominio en Windows Server 2016

 

Paso 1

Para abrir el editor y de esta manera configurar la respectiva GPO vamos a ir al menú Inicio y seleccionamos la opción "Todas las aplicaciones".

 

 

 

Paso 2

En la ventana de Todas las aplicaciones ubicaremos el campo Herramientas administrativas y allí seleccionamos la opción Administración de directivas de grupo.

 

 

 

Paso 3

Se desplegará la siguiente ventana:

 

 

 

 


2. Crear y aplicar la política de restricción en Windows Server 2016

 

Paso 1

Para este análisis hemos creado una unidad organizativa llamada Solvetic_USB. En el editor de políticas de grupo vamos a desplegar nuestro dominio para ver dicha unidad organizativa.

 

 

Paso 2

Allí daremos clic derecho sobre la unidad organizativa "Solvetic_USB" y seleccionamos la opción "Crear un GPO" en este dominio y vincularlo aquí.

 

 

 

Paso 3

Al pulsar la opción indicada se despliega la siguiente ventana donde debemos asignar un nombre, en este caso elegimos "Solvetic_Restriccion".

 

 

 

Paso 4

Pulsamos Aceptar y podemos ver nuestra política creada de manera correcta. Ahora daremos clic derecho sobre la política y seleccionamos la opción Editar.

 

 

Paso 5

Se abre la siguiente ventana:

 

 

Paso 6

Debemos ir a la siguiente ruta:
  • Directiva Solvetic_Restricción
  • Configuración del equipo
  • Directivas
  • Plantillas Administrativas
  • Sistema
  • Acceso de almacenamiento extraíble

 

 

 

Paso 7

En el costado derecho daremos podemos ver que contamos con diversas opciones de edición de políticas siendo las más importantes:

 

Denegar acceso de ejecución
Si habilitamos esta política impediremos el acceso a cualquier medio extraíble que se conecte en un equipo del dominio.

 

Denegar acceso de lectura
A través de esta opción podemos permitir que el usuario escribir o copiar información sobre la USB pero no leer el contenido de la misma.

 

Denegar acceso de escritura
Esta opción permite al usuario leer la información de la USB mas no realizar cambios en la misma.

 

Todas las clases de almacenamiento extraíble: denegar acceso a todo: Si habilitamos esta opción impediremos que el usuario use cualquier clase de medio extraíble como USB, DVD, celular, MP4, MP5, etc

 

De la misma manera podemos configurar restricciones para unidades de CD, Cintas, sesiones remotas, etc.

 

Paso 8

En este ejemplo vamos a restringir el acceso a las unidades USB únicamente por lo cual seleccionamos la opción "Discos extraíbles: denegar acceso de ejecución" y veremos la siguiente ventana:

 

 

Paso 9

Allí debemos seleccionar la opción Habilitada para aplicar esta política a la unidad organizativa seleccionada. Pulsamos Aplicar y luego Aceptar para validar la política.

 

Validamos que la política se encuentra habilitada en la OU Solvetic_Restriccion.

 

 

 


3. Comprobar y aplicar política GPO en Windows Server 2016

 

Paso 1

Una vez hayamos realizado el proceso anterior y hayamos definido a que tipo de unidades aplicaremos la restricción vamos a esperar que la política se aplique en los equipos del dominio o podemos usar el comando:
gpupdate /force
Para forzar la política.

 

 

De esta manera aportamos seguridad en nuestros dominios evitando que se añadan dispositivos extraíbles USB en los equipos de la organización los cuales pueden contener ocasionar diferentes problemas para nosotros como encargados del área de IT.

 

Para finalizar atentos a estos tutoriales que será de vuestro interés, el poder controlar que usuarios inician sesión en Windows Server, además de aprender cómo configurar políticas avanzadas de auditoría GPO:

 

En esta guía aprenderás a implementar, auditar, crear políticas de grupo GPOs y todo lo necesario para tu entorno empresarial en Windows Server 2012.

¿Te ha gustado y ayudado este Tutorial?
Puedes premiar al autor pulsando este botón para darle un punto positivo
  • -
  • 0
10
VOTA
5
100%
4
0%
3
0%
2
0%
1
0%

  Información

  •   Publicado sep 22 2017 12:26
  •   Actualizado sep 22 2017 12:33
  •   Visitas 37K
  •   Nivel
    Profesional



Tutoriales Relacionados


2 Comentarios


Manuel Garcia
ago 08 2016 08:29

Está genial este tutorial para deshabilitar los USB. gracias.

Gran tutorial para los admins de dominio. Gracias Solvetic.

No esperes más y entra en Solvetic
Deja tus comentarios y aprovecha las ventajas de la cuenta de usuario ¡Únete!
Demuestra que eres experto!
  ESCRIBIR TUTORIAL
Suscribirse