Desde que en la década de los años 90 se hizo el lanzamiento de la USB 1.0 hemos notado grandes cambios hasta hoy, no sólo en la versión de las USB, estamos en la 3.0, sino en las novedades de almacenamiento, tamaño, seguridad, velocidad, entre otras. Cuando estamos dentro de un dominio es importante gestionar los diferentes componentes de éste así como los elementos que puedan incorporarse externamente a él. Hay dispositivos como USB donde es importante hacer un control de dispositivos extraíbles y así poder bloquear USB GPO para evitar que puedan entrar en nuestra red. Para poder hacer este tipo de gestión, tendremos una unidad organizativa desde donde podemos crear una política de bloqueo de puertos USB para hacer esta tarea en Windows Server 2019, Server 2022 o Server 2016.
Hoy en día el 95 % de las personas poseen una memoria USB ya sea con fines personales, organizacionales, de apoyo, etc, y es muy importante ya que nosotros que estamos en el medio de sistemas podemos usar una memoria USBpara arrancar un sistema operativo desde allí (algo que no era probable en los 90), podemos almacenar gran cantidad de información, hasta de 256 GB mientras que la primera generación de las USB solo llegaba hasta las 16 MB. No sólo la copia de seguridad es importante para la buena gestión de nuestros servidores Windows Server y empresas. Las configuraciones de diversas políticas de seguridad son más que vitales.
- Por seguridad, para evitar el robo de información.
- Por políticas de la empresa, ya que existen datos o registros delicado que pueden ser almacenados en una memoria USB y de allí tener un mal destino.
- Para evitar la propagación de virus, ya que muchas veces se conectan memorias USB en los equipos del dominio sin pasar por un análisis de antivirus y éstas contienen diversos tipos de virus que pueden propagarse en toda la red y afectar diversos equipos.
- Para mejorar el rendimiento del equipo, ya que muchas personas instalan programas o aplicaciones directamente desde las memorias USB.
Como vemos existen muchas razones por las que es recomendable bloquear los puertos USB en nuestro dominio y también es importante recalcar que no todas las empresas boquean el acceso a los puertos USB de sus empleados. Al bloquear dispositivos USB en equipos del dominio por GPO en windows server nos aseguramos de inserciones indeseadas. En esta oportunidad vamos a analizar cómo podemos bloquear los puertos USB usando una política de grupo. Cómo ejemplo lo trabajaremos en Windows Server 2016 o Windows Server 2019.
En el siguiente videotutorial también podrás aprender cómo bloquear un dispositivo USB mediante políticas de grupo o GPO de tal forma que impidas que puedan acceder a los puertos USB los equipos que indiques. Es importante controlar esto para preservar la seguridad de la empresa.
1. Abrir Editor de directivas de dominio Windows Server 2016, 2019
Para abrir el editor y de esta manera configurar la respectiva GPO vamos a ir al menú Inicio y seleccionamos la opción "Todas las aplicaciones".
En la ventana de Todas las aplicaciones ubicaremos el campo Herramientas administrativas y allí seleccionamos la opción Administración de directivas de grupo.
Se desplegará la siguiente ventana:
2. Bloquear USB por GPO Windows Server 2016, 2019
Para este análisis hemos creado una unidad organizativa llamada Solvetic_USB. En el editor de políticas de grupo vamos a desplegar nuestro dominio para ver dicha unidad organizativa.
Allí daremos clic derecho sobre la unidad organizativa "Solvetic_USB" y seleccionamos la opción "Crear un GPO" en este dominio y vincularlo aquí.
Al pulsar la opción indicada se despliega la siguiente ventana donde debemos asignar un nombre, en este caso elegimos "Solvetic_Restriccion".
Pulsamos Aceptar y podemos ver nuestra política creada de manera correcta. Ahora daremos clic derecho sobre la política y seleccionamos la opción Editar.
Se abre la siguiente ventana:
Debemos ir a la siguiente ruta:
- Directiva Solvetic_Restricción
- Configuración del equipo
- Directivas
- Plantillas Administrativas
- Sistema
- Acceso de almacenamiento extraíble
En el costado derecho daremos podemos ver que contamos con diversas opciones de edición de políticas siendo las más importantes:
Todas las clases de almacenamiento extraíble: denegar acceso a todo: Si habilitamos esta opción impediremos que el usuario use cualquier clase de medio extraíble como USB, DVD, celular, MP4, MP5, etc
De la misma manera podemos configurar restricciones para unidades de CD, Cintas, sesiones remotas, etc.
En este ejemplo vamos a restringir el acceso a las unidades USB únicamente por lo cual seleccionamos la opción "Discos extraíbles: denegar acceso de ejecución" y veremos la siguiente ventana.
Allí debemos seleccionar la opción Habilitada para aplicar esta política a la unidad organizativa seleccionada. Pulsamos Aplicar y luego Aceptar para validar la política.
Validamos que la política se encuentra habilitada en la OU Solvetic_Restriccion.
Una vez hayamos realizado el proceso anterior y hayamos definido a que tipo de unidades aplicaremos la restricción vamos a esperar que la política se aplique en los equipos del dominio o podemos usar el comando siguiente para forzar la política.
gpupdate /forceDe esta manera aportamos seguridad en nuestros dominios evitando que se añadan dispositivos extraíbles USB en los equipos de la organización los cuales pueden contener ocasionar diferentes problemas para nosotros como encargados del área de IT. Al bloquear USB por GPO podemos evitar que dispositivos externos se conecten a nuestro dominio ya que podemos hacer un control de dispositivos extraíbles. Para finalizar atentos a estos tutoriales que será de vuestro interés, el poder controlar que usuarios inician sesión en Windows Server, además de aprender cómo configurar políticas avanzadas de auditoría GPO.