sábado, 18 de febrero de 2012

GPO Deshabilitar memorias USB

Hay equipos en los que nos puede interesar deshabilitar el uso de discos de almacenamiento extraíble ( USB’s). Hoy os cuento como solucione el asunto en Windows XP.

Entrar en esta web http://support.microsoft.com/kb/555324 y copiar el código que aparece:

EQUIPO DE CLASE
CATEGORÍA!! categoría
 CATEGORÍA!! categoryname
  DIRECTIVA!! policynameusb
   KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
   EXPLIQUE!! explaintextusb
     PARTE!! labeltextusb REQUIRE de DROPDOWNLIST

       VALUENAME "Start"
       ITEMLIST
        NOMBRE!! DEFAULT deshabilitado de VALOR 3 NUMÉRICOS
        NOMBRE!! VALOR habilitado 4 NUMÉRICOS
       END ITEMLIST
     PARTE FINAL
   DIRECTIVA FINAL
  DIRECTIVA!! policynamecd
   KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
   EXPLIQUE!! explaintextcd
     PARTE!! labeltextcd REQUIRE de DROPDOWNLIST

       VALUENAME "Start"
       ITEMLIST
        NOMBRE!! DEFAULT deshabilitado de VALOR 1 NUMÉRICO
        NOMBRE!! VALOR habilitado 4 NUMÉRICOS
       END ITEMLIST
     PARTE FINAL
   DIRECTIVA FINAL
  DIRECTIVA!! policynameflpy
   KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
   EXPLIQUE!! explaintextflpy
     PARTE!! labeltextflpy REQUIRE de DROPDOWNLIST

       VALUENAME "Start"
       ITEMLIST
        NOMBRE!! DEFAULT deshabilitado de VALOR 3 NUMÉRICOS
        NOMBRE!! VALOR habilitado 4 NUMÉRICOS
       END ITEMLIST
     PARTE FINAL
   DIRECTIVA FINAL
  DIRECTIVA!! policynamels120
   KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
   EXPLIQUE!! explaintextls120
     PARTE!! REQUIRE de DROPDOWNLIST labeltextls120

       VALUENAME "Start"
       ITEMLIST
        NOMBRE!! DEFAULT deshabilitado de VALOR 3 NUMÉRICOS
        NOMBRE!! VALOR habilitado 4 NUMÉRICOS
       END ITEMLIST
     PARTE FINAL
   DIRECTIVA FINAL
 CATEGORÍA FINAL
CATEGORÍA FINAL

[cadenas]
categoría = "Configuración de directivas de Personalizar"
categoryname = "Restringir Unidad"
policynameusb = "Deshabilitar USB"
policynamecd = "Deshabilitar CD-ROM"
policynameflpy = "Deshabilitar Disquete"
policynamels120 = "deshabilita disquete de capacidad alta"
explaintextusb = "deshabilita los equipos puerto USB si deshabilita el controlador usbstor.sys"
explaintextcd = "deshabilita los equipos unidad de CD-ROM si deshabilita el controlador cdrom.sys"
explaintextflpy = "deshabilita los equipos Unidad de disco si deshabilita el controlador flpydisk.sys"
explaintextls120 = "deshabilita los equipos Unidad Disquete de Capacidad Alto si deshabilita el controlador sfloppy.sys"
labeltextusb = "Puertos"
labeltextcd = "Deshabilitar unidad de CD-ROM"
labeltextflpy = "Deshabilitar Disquete Unidad"
labeltextls120 = "deshabilita Unidad de disco alta de capacidad"
Habilitado = "habilitó"
Deshabilitado = "deshabilitada"

Lo copiamos en un bloc de notas y lo llamamos archivo.adm. Guardamos este fichero en el servidor donde tenemos el active directory.

Accedemos al editor de políticas de Windows2008, nos dirigimos a herramientas administrativas y “administración de directivas de grupo”


Seleccionamos la unidad organizativa donde queremos que aplique la política y “ Crear un GPO en este dominio y vincularlo aquí”


Escribimos un nombre para la directiva y la editamos.


En configuración del equipo, directivas, plantillas administrativas, click derecho y “Agregar o quitar plantillas”. Seleccionamos el archivo.adm que hemos creado anteriormente.


Ahora veremos una carpeta llamada “Restrict Drives”. Seleccionamos Ver y desmarcamos las 3 opciones que aparecen “Filter by “, “Only show” y “Only show policy”. No puedo poner imágenes , no lo logro reproducir, disculpar.

El caso es que finalmente esta es la política:

En mi caso la uso para desactivar las memorias USB, debe estar en este estado:


Esto hace que si alquien conecta una memoria usb, un disco usb, una tarjeta de memoria etc en general cualquier dispositivo de almacenamiento usb, Windows no lo reconoce. En cambio periféricos usb como teclado, raton, impresora etc si que funcionan.

Para conseguir que el equipo cliente empiece a usar esa política, tenemos 2 formas:
  1.  Reiniciar la maquina, lo de siempre jeje
  2.  Usar el comando gpupdate /force
Otro asunto a tener en cuenta si aplicamos esta política y luego queremos que ese equipo si pueda usar usb’s. Sacar el cliente de la unidad organizativa, no hace que funcionen de nuevo los USB’s. Esta política modifica datos de sistema. Si queremos que vuelvan a funcionar los USB’s, tenemos que deshabilitar la GPO, reiniciar la maquina/”gpupdate /force” y sacar el equipo de la unidad organizativa donde se este aplicando la GPO.

Yo lo he probado con Windows XP. Por comentarios que he visto en la red, creo que con W7 esta política no funciona, es para equipos mas antiguos. La verdad no lo he podido probar. No obstante en los W2K8 he visto que existe la posibilidad de configurar el uso de los USB’s por GPO. Con XP no llegue a conseguir que funcionara sino era con el metodo que describo en el post , es posible que con W7 si. En cuanto lo pruebe lo posteare!!

11 comentarios:

  1. Hola Jonás,

    Enhorabuena por la entrada. No lo habrás llegado a probar en Win7, verdad? Yo llevo unos dias dandole vueltas, pero no veo por donde pillarlo... Al final deshabilitar el CD funciona OK, pero si quieres volverlo a habilitar a un usuario nanai...

    Saludos!

    ResponderEliminar
  2. Hola! Me alegro que te gustara el post, gracias. Yo con el CD no lo he probado. Con los USBS si, te digo lo que tengo que hacer cuando a un equipo le tengo que volver a habilitar el USB por nuevas necesidades.
    Deshabilito la politica en el controlador de dominio , voy al pc cliente y fuerzo con gpupdate /force que refresque la GPO. Tambien sirve reiniciar.
    Entonces saco ese equipo de la unidad organizativa donde se aplica la GPO. Ya tenemos el USB OK. Vuelvo a entrar al servidor y activo la GPO para que a los demas equipos les siga sin funcionar el USB.

    En W7 tambien funciona, pero esta plantilla no. Si tienes un W2008 como controlador de dominio, ya viene esa GPO preparada. Tengo un post que habla de ella:

    http://tutorialesit.blogspot.com.es/2012/05/gpo-deshabilitar-usb-en-windows7.html

    Ya me dirás que tal!!

    ResponderEliminar
  3. Hola Jonás!

    He visto el otro post, pero claro, yo lo estoy intentado aplicar en política de usuario (no de equipo). Parece que las modificaciones que se hace en registro son en HKCU en lugar de HKLM (política de equipo). Una vez se le desactiva el CD a un usuario, la unica forma de volverselo a habilitar que he encontrado es, dejarle de aplicar la politica y reinstalar el CD desde el administrador de dispositivos...

    Saludos!

    ResponderEliminar
  4. En principio se tendrian que aplicar en los equipos,yo al menos la defini asi. Con usuarios no lo mire. Estos dias lo reviso a ver. Si quieres que te diga la verdad, la mejor solución seria poner todos los clientes con Wvista o W7, que ya vienen preparados para aplicar correctamente la GPO de W2008. Como siempre, nos toca hacer lo que se pueda con lo que hay.

    ResponderEliminar
  5. hola amigo, excelente post, la verdad me perdi en la parte:

    Ahora veremos una carpeta llamada “Restrict Drives”. Seleccionamos Ver y desmarcamos las 3 opciones que aparecen “Filter by “, “Only show” y “Only show policy”. No puedo poner imágenes , no lo logro reproducir, disculpar.

    podrias indicarme como o donde escuentro esto????? si no es mucha molestia, puedes escribirme a mi mail samnin213@hotmail.com muchas gracias.

    ResponderEliminar
  6. Hola! Me alegro que te guste el post. Esa opcion la veras cuando hagas click derecho encima de plantillas administrativas y agregues la plantilla creada previamente.
    Con W7/Wvista es mas sencillo, tambien lo tengo publicado.

    ResponderEliminar
  7. Jonas buenos dias, fijate que yo estoy tratando de desactivar el uso de los usb como lo colocas en el post con la unica diferencia que tanto mi W2k8 como mi WXP estan montado en maquinas virtuales en Vmware, pero siempre me lo habilita tu podrias ayudarme en saber si estoy haciendo algo mal

    ResponderEliminar
  8. Hola Eduardo. Tienes montado un controlador de dominio con W2K8 y clientes XP verdad? A mi lo que me pasaba es que si aplico esta GPO, al introducir un USB la primera vez funciona. Lo saco y lo vuelvo a poner y ya no funciona. En cambio si pongo otro USB diferente, la primera vez funciona.
    Lo solucione aplicando esto :

    Deniega los permisos a estos dos ficheros en los XP

    %SystemRoot%\Inf\Usbstor.pnf
    %SystemRoot%\Inf\Usbstor.inf

    Son los que el sistema usa para instalar dispositivos de almacenamiento extraible.

    Todo esto con Windows Vista en adelante no hace falta. La misma GPO que lleva W2K8 contra los USB's funciona perfectamente. El problema son los XP's.

    ResponderEliminar
  9. Buenos días Jonas,

    Estoy intentando deshabilitar el usb a los usuarios del dominio mediante esta política, todo bien hasta que llego a la parte de "Ahora veremos una carpeta llamada “Restrict Drives”. Seleccionamos Ver y desmarcamos las 3 opciones que aparecen “Filter by “, “Only show” y “Only show policy”. No puedo poner imágenes , no lo logro reproducir, disculpar." veo la carpeta de Restrict Drives, pero cuando despliego la carpeta no tengo ninguna opción dentro. Es decir, no me aparecen los: disable USB, disable DVD, disable FLOPPY, etc. El servidor es W2003 y los equipos tienen W7 en su mayoría.

    Por que puede ser?

    Mil gracias

    Andoni

    ResponderEliminar
  10. Hola amigo, primero que nada felicidades por el post está buenisimo. Ya lo implemente y funciona, el problema que tengo es que a ciertos usuarios se le bloqueo el usb y los necesitan nuevamente. Tengo que ir a cada computadora y habilitarlo desde el administrador de dispositivos. Hay manera de volver a habilitarlos desde GPO? la política está habilitada, la parte de Deshabilitar Puertos USB: Enabled.¿Qué pasa si le cambio el valor a Disabled ó si le pongo NO CONFIGURADA? se vuelven a habilitar los puertos?

    ResponderEliminar
  11. Tienes que poner el valor a disabled. Haces un gpo /update o reinicias los pc's clientes y les volvera a funcionar el USB.
    La verdad es que lo mejor para no tener problemas con los USB es migrar a windows 2008 el server, y los clientes a minimo windows vista. Con este escenario el tema de las gpo's para usb da un salto de calidad muy importante. Si fuera este el caso, con que sacaras los pc's de la UO donde aplicas esta gpo, ya estaria solucionado.

    ResponderEliminar