martes, 11 de diciembre de 2007

Deshabilitar el uso de memorias USB a través de una GPO

Hola nuevamente! En esta oportunidad podremos aprender a como deshabilitar o bloquear el uso de dispositivos de almacenamiento como memorias USB, floppy discs, lectoras y unidades LS-120.
Son muchas las formas para deshabilitar el uso de estos dispositivos, hoy veremos la restricción a través de una GPO a una OU, que contiene objetos computadoras.

Pasos a seguir:
  1. Ingresar a: http://support.microsoft.com/kb/555324 y copiar el código a un archivo de texto plano y guardarlo con la extensión .adm. (Esta es la plantilla obtenida de Microsoft). Se debe copiar todo el texto sin modificación alguna.

  2. Debemos ingresar al Domain Controller, que contiene el Active Directory, y acceder a la consola Group Policy Management Console. Podemos descargarla de: http://www.microsoft.com/downloads/details.aspx?FamilyID=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en. Les recomiendo que utilicen el GPMC porque les facilitará el modelado de GPOs o Directivas de grupos.

  3. Luego de descargarlo debemos instalarla.

  4. Accedemos a Inicio, Ejecutar y escribimos gpmc.msc.

  5. Expandemos los contenedores y creamos una GPO y la linkeamos o asociamos a una OU. Esta OU (Unidad Organizativa) debe contener las cuentas de computadoras donde se bloqueará el acceso a dispositivos de almacenamiento.

  6. Escribimos un nombre para la GPO.

  7. Seleccionamos la GPO creada y le damos clic derecho, Editar.

  8. Expandemos Computer Configuration, Administrative Templates, damos clic derecho y seleccionar Agregar/Eliminar Templates.

  9. Importamos el template, el cual es obtenido de: http://support.microsoft.com/kb/555324. Este código lo guardamos en un archivo de texto plano con extensión .adm.

  10. Luego aparecerá una carpeta llamada Restrict Drives. Sobre esta carpeta le damos clic derecho, y hacemos clic en View, luego en Filtering. Debemos deshabilitar los tres checks: Filter By requirement information, Only show configured policy settings y Only show policy settings that can be fully managed. Como lo muestra la imagen.

  11. Hacemos clic sobre Restricted Drives y hacemos click sobre Disable USB, ahora nos cargará una pantalla para asignar la política. Debemos habilitar la política, para ello será necesario seleccionar Enable o Habilitado a la política, y luego seleccionar la opción correcta para el siguiente texto: Disable USB Ports, Enable si queremos que esten deshabilitados y Disable si queremos que estén habilitados.

Nota: Cabe señalar que esta política no debe ser eliminada debido a que toma poseción de los archivos usbstor.inf y usbstor.sys. Sólo podemos seleccionar Enable o Disable para la política. Si la GPO es eliminada la configuración definida permanecerá. Ustedes pueden obtener más información de: http://support.microsoft.com/kb/555324.


Si existe alguna duda o inquietud no duden en contactarme.

Un abrazo.

56 comentarios:

Anónimo dijo...

Hice exactamente lo que comentas y al parecer lo hice de manera correcta, porque me salen exatamente las mismas opciones, los mismos menus, y demas. Pero no se aplica la politica a la computadora que quiero, ya lo hice por cuenta de usuario o por nombre de pc y ninguna me funciona. y cuando le hago un gpresult a la maquina donde se debe aplicar la politica me dice que el usuario no tiene datos de RSOP :S alguna idea?

Jorge Córdova dijo...

Hola, la GPO debería funcionarte correctamente si la aplicas a nivel de computadoras. Si tu le haces gpresult o rsop.msc Recuerda que para hacer las pruebas tienes que aplicar la GPO a una OU que contenga computadoras y sobre esa PC inicias sesión con un usuario del dominio. Si te aparece un problema que el usuario no tiene datos revisa la conexión con tus DC (y clientes)y verifica que estos esten trabajando correctamente. Puedes usar herramientas como dcdiag y netdiag.

Anónimo dijo...

Hice tambien todo tal como aparece, pero mi pregunta es si esto aplica en un entorno de windows plataforma 2000.
Te agradezco tus comentarios.
ludgonzalez@gmail.com

Bryan Vega Rondón dijo...
Este comentario ha sido eliminado por el autor.
Bryan Vega Rondón dijo...

me estuvo pasando el mismo problema que a ustedes, pero lo resolví metiendo tanto usuarios como maquinas en una OU, metiendo a los usuarios en un grupo y a las maquinas a otro y asignando ambos grupos a la politica. reinicie maquinas y listo politica activa. deben de saber que como la politica afecta a los archivos de la maquina, aunque se logueen de forma local, las unidades estaran deshabilitadas, solo para que lo tomen en cuenta.

Jorge Córdova dijo...

Esta GPO incluye estaciones con Windows 2000 SP4 o superior.
De todas maneras puedes revisar el siguiente KB. http://support.microsoft.com/kb/823732/en-us

Jorge Córdova dijo...

Así es Bryan, esta directiva de grupo afecta a las PCs, en un entorno de AD, puedes agrupar PCs en una OU y aplicar la GPO sobre la OU.
Saludos.

Unknown dijo...

ey muchas gracias me funcionó de maravilla, estaba teniendo problemas con la reiniciada de los equipos, no lo estaba haciendo :S solo estaba dando gpupdate /force, y también al momento de meter los equipos a la OU. Creí que solo se iba a deshabilitar la escritura en la unidada pero aún mejor, no aparecen en "MiPC". muy buena consola.
SI FUNCIONA

Jorge Córdova dijo...

Hola Roberto. Me alegro que te haya funcionado correctamente. Saludos.

Anónimo dijo...

Hola a todos...
Hice lo recomendado y me funciono muy bien y a la primera, ahora me surge una duda, como puedo volver a habilitar los USB en las PC`s que ya afecte?
Saludos y de antemano Gracias

Antonio.
Mexico

Jorge Córdova dijo...

Hola, puedes modificar la configuración en la mismo GPO. Enable or Disable.

Anónimo dijo...

Hola Jorge, te pregunto:
El aplicar esta politica no incluye los dispositivos usb como teclado y mouse, limitandose solo a medios de almacenamiento masivo como flash drives. Ya que así debería ser correcto que los usuarios puedan trabajar con sus demas dispositivos usb.

Y la segunda pregunta, en caso de necesityar reversar la politica no es necesario reiniciar el equipo del usuario, simplemente uso el gpupdate /force ?

Gracias por tu ayuda.

Daniel.

Unknown dijo...

No hay forma de manejar 2 Políticas de Grupos para habilitar y deshabilitar? La pregunta va orientada a sí tengo un grupo de equipos y usuarios restringidos y quiero sacar solo a uno, si modifico la GPO se aplicará al resto.

Jorge Córdova dijo...

Hola, con respecto a la pregunta de que la GPO no afectará los dispositivos USB como mouse y teclado es verdad, no pasará nada. Como lo mencionas si quieres habilitar o deshabilitar el uso de USBs, tiene que realizarlo desde la misma GPO y como la GPO va a nivel de equipos te recomiendo que reinicies ya que hace uso del driver usbstore.sys.
Saludos.

Jorge Córdova dijo...

Hola Abdiel, disculpa por la demora en la respuesta, si deseas respuestas en el mismo día escríbeme a mi correo personal. Sobre tu duda, te recomiendo que distribuyas las PCs en OUs de tal manera tu defines el nivel de la GPO de USB.
Saludos.

Anónimo dijo...

Y si quisieramos que un usuario "admin" ingrese en una maquina afectada por la plantilla administrativa de bloqueo de USB, pero él no no se vea afectado por esa política, como se te ocurre que se podría hacer..

Muchas gracias y felicidades por el magnifico post.

Jorge Córdova dijo...

Hola, no se puede ya que la GPO es a nivel de computadora no de usuario. Te recomiendo que lo deshabilites temporalmente según corresponda la OU.
Saludos.

Anónimo dijo...

Hola que tal aplique tal cual esta en tu pequeño tutorial pero cuando aguego el archivo .adm de la politica me sale un mensaje de error que dice lo siguiente:

USB.adm on line 1 error51 Unexpected keyword

Found: EQUIPO
Expected: CLASS, CATEGORY, [strings]


The file can not be loaded.

y no me permite crearlo en lo mas minimo mi server es version en ingles y es la standar R2 con el SP2

espero puedas ayudarme.

gracias

Jorge Córdova dijo...

Hola, has modificado el archivo .adm, si tienes problemas importalo nuevamente. El estado de salud de tu Active Directory es el adecuado?
Saludos.

Milko Casabona dijo...

A mi me daba el mismo error. Esto se debe a que se esta usando la plantilla traducida al español. Se debe usar la plantilla sin traducir que esta en la siguiente ruta http://support.microsoft.com/kb/555324/en-us/

Ademas debes reiniciar las maquinas "clientes" para que agarren la nueva configuracion

Anónimo dijo...

hola a todos,

Segui paso a paso este procedimiento para desabilitar el USB, sin embargo no lo aplica a la computadora, solo se lo aplique a un equipo para probar, sin embargo revisando me fijo que cuando me voy de nuevo a la directiva de grupo y me voy plantilla->custom policy->restrct dirves, nome parecen, tengo que darle view filtrado y quitarle el check a la opcion de "Only show policy settings that can be fully managed", siemrpe que cierro y vuelvo abrirlo, al parecer vuelve a ponerle el check. el problema no se si deba esto pero no me lo aplica en el equipo, necesito sus sugerencias.

Anónimo dijo...

Nuevamente aqui con la duda porque sigue sin funcionar biene pues ya agregue el codigo pero ahora en Ingles y y con eso ya no me sale ningun error y si me crea el grupo de politica pero cuando qentro en el para poder seleccionar las opciones me aparece en blanco solo crea las carpetas y de ahi no pasa ¿que podra ser alguien sabra? para que pueda ver las opciones

Anónimo dijo...

Hola, la GPO me funciono correctamente, pero ahora nesecito poner las USB en modo solamente lectura, quisiera saber como implementar esto a trvez de GPOs.

Jorge Córdova dijo...

Hola, revisen bien el paso a paso y asegurense que este habilitada la vista completa de las GPO. Lo de la lectura de USB es posible en un AD Windows 2003, sin embargo esta ya aparece por defecto en Windows Server 2008 y Windows Vista (AD). Revisa lo siguiente:
http://tfl09.blogspot.com/2004/09/configuring-usb-devices-to-be-readonly.html

Anónimo dijo...

al tratar de cargar el archivo con extencion .adm me sale el sigiente error:
error en \\server.local\sysbol\server.local\policies\{BOBB85ED5-8685-47B2-DE411421CA45\ADM\usb.ADM EN LA LINEA 1:
error 51 Teclado Inesperado
se haencontrador:Equipo
se esperaba class category, strings
el archivo no se puede cargar

Me puedes decir que pasa
Gracias

Hernán Vásquez dijo...

Excelente el tutorial, me salavaste amigo, me salio con el segundo codigo que esta en ingles, pq con el primero que esta en español, me salia error de teclado 15 etc etc etc. Te pasaste amigo.

Jorge Córdova dijo...

Hola Hernán, gracias por los comentarios. Me gustaría seguir actualizando este blog, pero lamentablemente no tengo suficiente tiempo. Con respecto a los usuarios que tienen problemas, sigan paso a paso este tutorial y el resultado será el esperado.
Gracias.

Unknown dijo...

Hola, me sirvió la política pero ocurre algo extraño. Funciona con el pendrive que estoy usando en ese momento, pero cuando ingreso otro modelo de pendrive, lo reconoce y lo puedo usar. Cuando forzó la política y reinicio vuelve a funcionar. Esto ocurre cada vez que ingreso un dispositivo de almacenamiento nuevo……. Esto tendrá solución?.... Gracias por la ayuda….

Anónimo dijo...

Hola buenas, no recuerdo si fue aqui o directamente en la web de microsoft donde vi esta solucion, que funciona perfectamente, pero ahora agarrense... ¿como se vuelven a habilitar? porque yo no he encontrado la forma, variando los valores de la politca incluso borrandola del dominio, no hay manera, una vez que se deshabilitan no se pueden volver a habilitar, he comprobado los valores del registro que modifica la politica y estan en su valor correcto, pero siguen sin funcionar ¿lo habeis probado? ¿alguna solucion?

Jorge Córdova dijo...

Si es posible, en la misma política se debe cambiar de habilitado a no(dentro de la misma política).
Saludos

Anónimo dijo...

Hola como estan?
Seguí el tutorial paso a paso, asigné equipos y usuarios a la OU, las politicas asignadas a nivel usuario funcionan correctamente, ahora las politicas a nivel computadora (como bloqueo de USB) no me funcionan. ¿Puede ser que existiera alguna incompatibilidad con el idioma? y por eso no se aplique. Gracias por la ayuda porque me estoy volviendo loco, Saludos a Todos!

Anónimo dijo...

Hola mi nombre es Chrsitian y he realizado pruebas y funciona solo que por casualidad he eliminado el scrip de deshabilitar los puertos usb y las 2 pc a las que le aplique la restricción ya no s epude habilitar ni los puertos ni la lectora pro favor como puedo revertir los cambios , agradesco su ayuda.

Jorge Córdova dijo...

Hola, si la política ha sido eliminada trata de crear una nueva aplicando la configuración de bloquear los dispositivos usb. Luego intenta permitir los dispositivos desde la misma políticas. OJO: No tienes que deshabilitar ni eliminar la política, sólo tienes que modificar si permites o no las usb dentro de la política habilitada.
Saludos

Anónimo dijo...

bien para bloqueo de usb.
Alguien sabe de un aplantilla administrativa para restingir acceso a paginas web, he creado una gpo, pero cuando las maquinas cliente instalan IE7 o superior ya no aplica, con ie 6 funciona bien, sera cuestion tambien de una plantila .adm??

Gracias

Unknown dijo...

Hola,

Lo primero comentar que me parece estupendo el trabajo realizado!!!

Respcto al tema de los USBs: he seguido paso por paso el tutorial y todo correcto. Pero creo que no comprendi un aspecto de esta politica. Se la he aplicado a varios usuarios "invitado", que pertenecen a una UO, (no puedo aplicarla a equipos ya que puede darse el caso de que traigan su propio equipo) para que cuando ingresen en el dominio no puedan usar los UBS, pero no me funcionado. Los USBs siguen funcionando.
Como ya he dicho: he aplicado esta politica a usuarios y no a equipos. ¿Esta politica es solo para maquinas?

Rogaria su colaboracion
GRACIAS a todos!!

Jorge Córdova dijo...

@Pablo, la plantilla sólo es para PCs.
@Anónimo, te recomiendo que uses un proxy, ya que las funciones de las GPO no incluyen bloquear ciertas páginas.

Saludos!!

Anónimo dijo...

Tienen que tener cuidado ya que cuando entran a la pagina de microsoft tiene que ver que no tradusca la pagina y la deje en su idioma original (ingles) para que la politica al cargarla no les de error. Otra cosa es que si desabilitan los USB las impresoras que requieran este puerto dejaran de funcionar!
Saludos
maxit0

Anónimo dijo...

Una pregunta, que sucede si lo que quiero es correr un script cuando se detecte un usb, el problemas es que Mcafee Enterprise no trae opcion para chequear usb al detectarlo, y el script correria el antivirus para chequearlo

Jorge Córdova dijo...

Señores, tengan cuidado porque este script sólo bloquea el driver de almacenamiento masivo de la USB, no de impresoras.
No me queda claro el mensaje del antivirus.
Gracias.

Anónimo dijo...

de Anonimo para anonimo.

Si no respondieron sobre tu error, debes cargar el script en "inglés" para q no te de el error.

http://support.microsoft.com/kb/555324

Anónimo dijo...

Si quisiéramos aplicar la GPO a solo ciertos usuarios bastaría con subirla a nivel de Usuario y no de Computadora como se muestra en el ejemplo?

oneforall dijo...

Buenas, he hecho todo lo que has comentado y ha ido perfecto, salvo que luego y tras deshabilitar la gpo no me vuelve a recuperar ni los pendrive ni los dvd, es decir parece que nos es reversible, tengo un 2008 server y las estaciones son xp. ¿sabes como solucionarlo?

Anónimo dijo...

Hola. Tengo un problema.
Adjunte la plantilla, elegí las opciones a deshabilitar, ejecute GPUPDATE, reinicie el equipo de usuario y nada, quise modificar las opciones de "des-habilitar" y cuando voy a ver, ya no estaba la lista de politicas. Quite la plantilla y la volvi a agregar y nada, no me lista las opciones. Reinicie el server y nada. Es una copia de Server 2003 Enterprise. Por favor, me podrian ayudar en este caso, al parecer es buena la configuracion es este post, pero talvez yo no segui los pasos correctos. Los espero. Saludos

Anónimo dijo...

Vi que a otra persona le pasa el mismo problema para mi, pero no obtuvo respuesta. la politica deshabilita un USB que está conectado pero cuando inserto un nuevo dispositivo USB, lo reconoce normalmente. Me apoyan con ese problema por favor?

Anónimo dijo...

Vale, me ha ido todo perfecto, pero.. y si quisiera usar un usb específico??, es decir, que no funcione ninguno salvo el que yo quiera. se podría hacer?

Anónimo dijo...

Buenas tardes.
Creo que todos estamos preocupados por este tema, y que bueno que Microsoft tiene herramientas para hacerlo.
Acabo de iniciar en este tema y espero implementarlo la proxima semana, pero me pregunto si en el caso de una pc o portatil que se encienda cuando esta desconectada de la red, los cambios van a tener efecto siempre o se habillitarian los puestos USB?
Como afecta los dispositivos Blackberry por ejemplo?
Ya alguien tuvo esta experiencia?

Debian Drake dijo...

yo tengo un problema que cuando hago todo y cierro la politica y l vuelvo abrir para quietar no esta tengo que hacer lo del principio quitar la opcion que dicen y darle aceptar para que me aperzcan las opciones eso es normal ??

Anónimo dijo...

Buenos dias, me podrian ayudar sigo las indicaciones y la plantilla aun no la puedo cargar me marca el error USB.adm on line 1 error51 Unexpected keyword

Found: EQUIPO
Expected: CLASS, CATEGORY, [strings]


The file can not be loaded.
y no estoy usando la traducida

Anónimo dijo...

Hola a todos, excelente tutorial, al cometario anterior solo decirle que la solucion a tu problema está mas arriba, descargate la configuracion en ingles.
Aunque yo tengo otro problema tengo equipos con w7 pro y en estos no se aplica a ¿alguien la ha pasado?

Anónimo dijo...

Lo mismo me pasa a mi, AYUDA:
Vi que a otra persona le pasa el mismo problema para mi, pero no obtuvo respuesta. la politica deshabilita un USB que está conectado pero cuando inserto un nuevo dispositivo USB, lo reconoce normalmente. Me apoyan con ese problema por favor?

roni dijo...

hola a todos ya hice todos los pasos no me sale ningún error pero cuando conecto una memoria usb me sigue reconociendo, la maquina esta conectada al dominio

Gerardo Jacinto dijo...

Buen dia, ¿y esto no me afecta a las impresoras usb instaladas?

Saludos desde acapulco

Gerardo Jacinto dijo...

Buen dia ¿esto no me afecta a las impresoras USB instaladas?

Anónimo dijo...

Tal cual, funciona a la perfeccion, mis equipos son W7 Pro y mi DC es W2003.
Un saludo y gracias por la info.

Anónimo dijo...

estoy ocupando la version en ingles
y no puedo bloquear los usb's de todas las maquinas de internet excepto el mio
¿ como puedo hacer eso?
otra pregunta
¿que es AD y OU??
¿y puedo aplicar estos pasos para bloquear las pc's a nivel de grupo?

Anónimo dijo...

Hola mi nombres es Bulmaro Barragan:


Super bueno tu aporte, sabras de algo para bloquear la unidad de CD en el trabajo tengo que hacerlos y son mas de 200 equipos me dice mi jefa que lo haga manualmente one by one (Como ella no lo hara ) pero antes de arrancarme quiero investigar si hay algo para hacerlo desde GPO.

gracias por cualquier ayuda,

saludos

Saludos