Restringindo a capacidade de gravao para dispositivos de armazenamento removveis USB via GPO

Neste tutorial iremos mostrar como restringir a capacidade de gravao para dispositivos de armazenamento removeis USB (USB block storage devices) utilizando Group Policies. Por padro usurios podem ler e gravar em dispositivos de armazenamento removveis USB em computadores executando o Microsoft Windows XP. Com o Service Pack2 do Windows XP, a Microsoft adicionou a habilidade de adminsitradores restringirem a capacidade de gravao para estes dispositivos mitigando a vulnerabilidade de roubo de informao. Pr-Requisitos Estaes de trabalho com o Sistema Operacional Microsoft Windows XP Professional SP2; Estaes ingressadas no domnio; Group Policy Management (GPMC) instalado no controlador de domnio. Soluo No Domain Controller: 1.Ir em Start / Run digite c:\windows\inf e clique em OK. 2.Na tela Inf clique em Tools e depois em Folder Options...

3.Na tela Folder Options clique na guia View. Clique para desmarcar a opo Hide extensions for Known file types e depois clique em OK.

4.Na tela Inf clique em File e depois em New e escolha Text Document.

5.No nome do arquivo New Text Document.txt digite Usb.adm e pressione Enter. Na tela Rename cliquem em Yes.

6. Abra o arquivo Usb.adm. Copie e cole o cdigo abaixo. Salve as alteraes no arquivo Usb.adm.
CLASS MACHINE CATEGORY !!category CATEGORY !!categoryname POLICY !!policynameusb KEYNAME "SYSTEM\CurrentControlSet\Control\StorageDevicePolicies" EXPLAIN !!explaintextusb VALUENAME "WriteProtect" VALUEON NUMERIC 1 VALUEOFF NUMERIC 0 END POLICY END CATEGORY END CATEGORY [strings] category="Custom Policy Settings for XP SP2" categoryname="Restrict USB" policynameusb="Disable USB Write" explaintextusb="Windows XP with SP2 will block writes to USB block storage devices" labeltextusb="Disable USB Write"

7.Ir em Start / Run digite gpmc.msc e clique em OK. 8.Na tela Group Policy Management expanda Forest/Domains/SeuDomnio. Clique com o boto direito do mouse em Default Domain Policy e escolha Edit...

9. Na tela Group Policy Objetct Editor expanda Computer Configuration. Clique como o boto direito do mouse em Administrative Templates e depois em Add/Remove Templates...

10.Na tela Add/Remove Templates clique em Add.

11.Na tela Policy Templates selecione o arquivo Usb.adm e clique em Open.

12. Novamente na tela Add/Remove Templates clique em Close.

13.Na tela Group Policy Object Editor clique em View e depois em Filtering...

14.Na tela Filtering clique para desmarcar a opo Only show policy settings that can be fully managed depois clique em OK.

15.Na tela Group Policy Object Editor expanda Computer Configuration\Administrative Templates\Custom Policy Settings for XP SP2 e clique em Restrict USB.

16.No painel direito da tela Group Policy Object Editor d um duplo clique em Disable USB Write. Na tela Disable USB Write Properties clique na opo Enable e depois em OK.

17.Feche a tela Group Policy Object Editor. Feche a tela Group Policy Management. Concluso Neste tutorial mostramos como restringir a capacidade de gravao para dispositivos de armazenamento removeis USB (USB block storage devices) utilizando Group Policies.

Bloquear/Desbloquear Disquete ( floppy.adm ) CLASS MACHINE CATEGORY !!categoryname POLICY !!policyname KEYNAME SYSTEM\CurrentControlSet\Services\Flpydisk EXPLAIN !!explaintext PART !!labeltext DROPDOWNLIST REQUIRED VALUENAME Start ITEMLIST NAME !!Disabled VALUE NUMERIC 3 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY END CATEGORY [strings] categoryname=Restrict Drivers policyname=Disable the Floppy Drive explaintext=Disables the computers Floppy Drive completely labeltext=Disable Floppy Drive Enabled=Enabled Disabled=Disabled

enable_floppy.reg REGEDIT4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Flpydisk] Start=dword:00000003

Bloquear/Desbloquear CD-ROM ( cdrom.adm ) CLASS MACHINE CATEGORY !!categoryname POLICY !!policyname KEYNAME SYSTEM\CurrentControlSet\Services\Cdrom EXPLAIN !!explaintext PART !!labeltext DROPDOWNLIST REQUIRED VALUENAME Start ITEMLIST NAME !!Disabled VALUE NUMERIC 1 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY END CATEGORY [strings] categoryname=Restrict Drivers policyname=Disable the CDROM Drive explaintext=Disables the computers CDROM Drive completely labeltext=Disable CDROM Drive Enabled=Enabled Disabled=Disabled

enable_cdrom.reg REGEDIT4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] Start=dword:00000001

Bloquear/Desbloquear USB ( usb.adm ) CLASS MACHINE CATEGORY !!categoryname POLICY !!policyname KEYNAME SYSTEM\CurrentControlSet\Services\USBSTOR EXPLAIN !!explaintext PART !!labeltext DROPDOWNLIST REQUIRED VALUENAME Start ITEMLIST NAME !!Disabled VALUE NUMERIC 3 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY END CATEGORY [strings] categoryname=Restrict Drivers policyname=Disable the USB Drive explaintext=Disables the computers USB Drive completely labeltext=Disable USB Drive Enabled=Enabled Disabled=Disabled

enable_usb.reg REGEDIT4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] Start=dword:00000003

Para habilitar completamente a unidade USB, as chaves do registro devem estar iguais ao cdigo abaixo: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies Valor da chave : WriteProtect = 0 e a chave

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR Valor da chave : Start = 3