Bloqueio de dispositivos removíveis (USB)

Fazendo uma rápida busca na internet sobre este assunto é possível ver que não existem grandes saídas para efetuar o bloqueio de dispositivos removíveis. No Windows Vista, é possível verificar que já existe de forma nativa, uma GPO de restrição a discos removíveis. No Win2003 Server, existe uma GPO para bloquear unidades A, B, C e D, porém, não funcionariam no caso de um pen-drive inserido numa máquina. Se fizessemos o bloqueio total destas unidades, dispositivos como teclados e mouses USB poderiam não funcionariam, o que é inviável ultimamente.

Efetuando testes, foi possível alterar o código-fonte destas GPO´s, afim de, certa forma “expandir” o número de unidades a serem bloqueadas. É necessário acessar o arquivo “system.adm“, que fica na pasta C:\Windows\inf do AD. Procure o seguinte trecho do código.

Abaixo, o código-fonte modificado:

NoDrives
#if version >= 4
SUPPORTED !!SUPPORTED_Win2k
#endif

EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME “NoDrives”
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 67108851
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY

POLICY !!NoViewOnDrive
#if version >= 4
SUPPORTED !!SUPPORTED_Win2k
#endif

EXPLAIN !!NoViewOnDrive_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME “NoViewOnDrive”
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 67108851
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY

Pegando como exemplo a linha NAME !!ABCDOnly VALUE NUMERIC 67108851 .
67108851″ significa o bloqueio de todas as unidades necessárias . É possível ir alterando este número. Cada unidade equivale a um número. Por exemplo, a unidade “A:\” equivale ao número 1, a unidade “B:\” equivale ao número 2, a unidade “C:\” equivale ao número 4, e assim por diante, sempre dobrando o número da unidade anterior. O número 67108851 significa a soma de todas as unidades de discos de A a Z, menos “12” (C:\=4 + D:\8).

É possível tambem alterar a string das duas GPO´s utilizadas, para melhor visualização na seguinte linha:
[strings]
ABCDOnly=”Restringir todas as unidades, menos C:\ e D:\”

Depois da edição, salve o arquivo.

Lembrando que é necessário depois ativar as GPO´s:

“Hide these specified drives im My Computer”;
“Prevent access to drives from My Computer”.

Esta publicação está na categoria Segurança em Ambiente de Rede.

Os comentários estão encerrados.