Início > GPO, Microsoft, Windows Server 2008 > Tutorial Completo – Como bloquear dispositivos de armazenamento USB via Group Police Object (GPO)

Tutorial Completo – Como bloquear dispositivos de armazenamento USB via Group Police Object (GPO)

 

Conforme mencionei alguns dias atrás, criei um tutorial demonstrando como efetuar o bloqueio de dispositivos de armazenamento removíveis, como os Pendrives, nas estações de trabalho controladas por um PDC (Primary Domain Controler) Windows Server 2008.

O primeiro ponto a saber sobre esse quesito é qual “mecanismo” dentro do Windows é responsável por habilitar ou desabilitar a montagem de dispositivos de armazenamento.

Esse “mecanismo” é uma chave de registro, contida no editor de registro (regedit) em:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR

E a chave a ser aletrada é a “START” – quando o valor é “3″ a opção é habilitado para a montagem de dispositivos, mudando a opção para “4” a montagem fica bloqueada.

Agora, como fazemos para configurar essas opções no controlador de domínio e repassá-las as estações de trabalho clientes?

Devemos fazer o seguinte:

No Windows 2008 Server, acessar o console do Group Police Management.

Iniciar -> Executar -> Administrative Tools – > Group Police Management

Acesso ao console de gerenciamento GPO

Dentro do Gerenciamento de GPOs, escolher a GPO que se pretende incluir a restrição, clicar com o botão direito do mouse sobre ela e escolher a opção “edit”.

Valer lembrar que os usuários e grupos que serão controlados por essa GPO devem ser inseridos em “Security Filtering”, clicando no botão “add” e depois escolhendo os grupos ou usuários propriamente ditos, como demonstrado abaixo:

Inserindo usuários na GPO

Dentro da edição da política escolhida, navegue até a aba ”User Configuration”, depois “Preferences”, “Windows Settings” e clique com o botão direto do mouse em cima da opção “Registry” e escolha Nem > registry Item, como na imagem a seguir.

Adicionando alterações no Registro – 1

Surgirá então uma janela para configuração do item do registro a ser alterado.

Em “action” escolhemos a opção “Update”, pois a chave do registro já existe nas estações clientes e portanto necessita somente ser alterada.

Em “Hive”, escolhemos a chave” HKEY_LOCAL_MACHINE”. Em “Key Patch” escolhemos o caminho: “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR”, e clicamos na chave “Start”, cujo valor padrão é {3}, como demonstrado na imagem:

Adicionando alterações no Registro – 2

Agora é só inserir o valor “4″ no campo “Value Data” e dar um “OK” quando necessário.

Pronto, a configuração do lado do Servidor já está pronta.

Execute o comando “gpupdate /force” para que as atualizações da GPO sejam repassadas às estações clientes.

Ja testei esse em um ambiente de domínio com estações rodando os sistemas operacionais Windows Vista e 7 e funcionou perfeitamente, porém com clientes Windows XP ele tem um pequeno entrave. pois estes clientes  não conseguem receber esse controle. Mas existe uma forma simples de driblar esse contratempo.

A solução consiste em instalar dois patches de atualização nas estações de trabalho com o Windows XP. Esses arquivos na verdade são dois KB que fazem o Windows XP reconhecer esse controle repassado via GPO pelo Windows 2008.

Segue link para download dos arquivos:

http://www.microsoft.com/pt-br/download/details.aspx?id=3628

http://www.microsoft.com/pt-br/download/details.aspx?id=13978

A instalação desses dois executáveis podem ser repassados para as estações através de scripts de inicialização criados no Servidor. Se alguém não souber como criar esses scripts é só postar a dúvida que ajudarei com o maior prazer.

  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: