Windows LiveWindows Live
 
 
Lucas's profileLucas MendonçaPhotosBlogListsMore Tools Help

Blog
    September 01

    Restringindo a capacidade de gravação para dispositivos de armazenamento removíveis USB via GPO

    Por Ademir Yuri

    Visão geral

    Neste tutorial iremos mostrar como restringir a capacidade de gravação para dispositivos de armazenamento removíeis USB (USB block storage devices) utilizando Group Policies.

    Por padrão usuários podem ler e gravar em dispositivos de armazenamento removíveis USB em computadores executando o Microsoft Windows XP.

    Com o Service Pack2 do Windows XP, a Microsoft adicionou a habilidade de adminsitradores restringirem a capacidade de gravação para estes dispositivos mitigando a vulnerabilidade de roubo de informação.

    Pré-Requisitos

    • Estações de trabalho com o Sistema Operacional Microsoft Windows XP Professional SP2;

    • Estações ingressadas no domínio;

    • Group Policy Management (GPMC) instalado no controlador de domínio.

    Solução

    No Domain Controller:

    1. Ir em Start / Run digite c:\windows\inf e clique em OK.

    2. Na tela Inf clique em Tools e depois em Folder Options...

    3. Na tela Folder Options clique na guia View. Clique para desmarcar a opção Hide extensions for Known file types e depois clique em OK.

    4. Na tela Inf clique em File e depois em New e escolha Text Document.

    5. No nome do arquivo New Text Document.txt digite Usb.adm e pressione Enter. Na tela Rename cliquem em Yes.

    6. 6. Abra o arquivo Usb.adm. Copie e cole o código abaixo. Salve as alterações no arquivo Usb.adm.

      CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Control\StorageDevicePolicies"
EXPLAIN !!explaintextusb
VALUENAME "WriteProtect"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0

END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings for XP SP2"
categoryname="Restrict USB"
policynameusb="Disable USB Write"
explaintextusb="Windows XP with SP2 will block writes to USB block storage devices"
labeltextusb="Disable USB Write"

    7. Ir em Start / Run digite gpmc.msc e clique em OK.

    8. Na tela Group Policy Management expanda Forest/Domains/SeuDomínio. Clique com o botão direito do mouse em Default Domain Policy e escolha Edit...

    9. 9. Na tela Group Policy Objetct Editor expanda Computer Configuration. Clique como o botão direito do mouse em Administrative Templates e depois em Add/Remove Templates...

    10. Na tela Add/Remove Templates clique em Add.

    11. Na tela Policy Templates selecione o arquivo Usb.adm e clique em Open.

      Novamente na tela Add/Remove Templates clique em Close.

    12. Na tela Group Policy Object Editor clique em View e depois em Filtering...

    13. Na tela Filtering clique para desmarcar a opção Only show policy settings that can be fully managed depois clique em OK.

    14. Na tela Group Policy Object Editor expanda Computer Configuration\Administrative Templates\Custom Policy Settings for XP SP2 e clique em Restrict USB.

    15. No painel direito da tela Group Policy Object Editor dê um duplo clique em Disable USB Write. Na tela Disable USB Write Properties clique na opção Enable e depois em OK.

    16. Feche a tela Group Policy Object Editor. Feche a tela Group Policy Management.

    Conclusão

    Neste tutorial mostramos como restringir a capacidade de gravação para dispositivos de armazenamento removíeis USB (USB block storage devices) utilizando Group Policies.

    http://technet.microsoft.com/pt-br/library/cc716496.aspx

    Grande abraço
    Lucas Mendonça

    5:12 PM | Blog it

    Comments

    Please wait...
    Sorry, the comment you entered is too long. Please shorten it.
    You didn't enter anything. Please try again.
    Sorry, we can't add your comment right now. Please try again later.
    To add a comment, you need permission from your parent. Ask for permission
    Your parent has turned off comments.
    Sorry, we can't delete your comment right now. Please try again later.
    You've exceeded the maximum number of comments that can be left in one day. Please try again in 24 hours.
    Your account has had the ability to leave comments disabled because our systems indicate that you may be spamming other users. If you believe that your account has been disabled in error please contact Windows Live support.
    Complete the security check below to finish leaving your comment.
    The characters you type in the security check must match the characters in the picture or audio.

    To add a comment, sign in with your Windows Live ID (if you use Hotmail, Messenger, or Xbox LIVE, you have a Windows Live ID). Sign in


    Don't have a Windows Live ID? Sign up

    Trackbacks

    The trackback URL for this entry is:
    http://lucasmend.spaces.live.com/blog/cns!9ADB229002A9EA27!390.trak
    Weblogs that reference this entry
    • None