Ver destacados

Cómo bloquear dispositivos USB en el dominio con GPO

Tutorial con vídeo para saber cómo bloquear USB por GPO en Windows Server 2019 o Server 2016.
Escrito por y 1 usuario más.
140.4K Visitas  |  Publicado may 24 2021 11:32
Favorito
Compartir
Comparte esta pagina a tus Amigos y Contactos usando las siguientes Redes Sociales


Desde que en la década de los años 90 se hizo el lanzamiento de la USB 1.0 hemos notado grandes cambios hasta hoy, no sólo en la versión de las USB, estamos en la 3.0, sino en las novedades de almacenamiento, tamaño, seguridad, velocidad, entre otras. Cuando estamos dentro de un dominio es importante gestionar los diferentes componentes de éste así como los elementos que puedan incorporarse externamente a él. Hay dispositivos como USB donde es importante hacer un control de dispositivos extraíbles y así poder bloquear USB GPO para evitar que puedan entrar en nuestra red. Para poder hacer este tipo de gestión, tendremos una unidad organizativa desde donde podemos crear una política de bloqueo de puertos USB para hacer esta tarea en Windows Server 2019, Server 2022 o Server 2016.

 

Hoy en día el 95 % de las personas poseen una memoria USB ya sea con fines personales, organizacionales, de apoyo, etc, y es muy importante ya que nosotros que estamos en el medio de sistemas podemos usar una memoria USBpara arrancar un sistema operativo desde allí (algo que no era probable en los 90), podemos almacenar gran cantidad de información, hasta de 256 GB mientras que la primera generación de las USB solo llegaba hasta las 16 MB. No sólo la copia de seguridad es importante para la buena gestión de nuestros servidores Windows Server y empresas. Las configuraciones de diversas políticas de seguridad son más que vitales.

 

Tutorial para poder cerrar sesión por inactividad con GPO Windows Server o Windows 10.

 

Motivos bloquear USB
¿Para qué bloquear en nuestros dominios con Windows Server el acceso a las USB?, las razones son múltiples:

 

  • Por seguridad, para evitar el robo de información.
  • Por políticas de la empresa, ya que existen datos o registros delicado que pueden ser almacenados en una memoria USB y de allí tener un mal destino.
  • Para evitar la propagación de virus, ya que muchas veces se conectan memorias USB en los equipos del dominio sin pasar por un análisis de antivirus y éstas contienen diversos tipos de virus que pueden propagarse en toda la red y afectar diversos equipos.
  • Para mejorar el rendimiento del equipo, ya que muchas personas instalan programas o aplicaciones directamente desde las memorias USB.

 

 

Como vemos existen muchas razones por las que es recomendable bloquear los puertos USB en nuestro dominio y también es importante recalcar que no todas las empresas boquean el acceso a los puertos USB de sus empleados. Al bloquear dispositivos USB en equipos del dominio por GPO en windows server nos aseguramos de inserciones indeseadas. En esta oportunidad vamos a analizar cómo podemos bloquear los puertos USB usando una política de grupo. Cómo ejemplo lo trabajaremos en Windows Server 2016 o Windows Server 2019.

 

Tutorial para saber cómo crear USB booteable Windows Server 2016 o Windows Server 2019 paso por paso.

 

 

En el siguiente videotutorial también podrás aprender cómo bloquear un dispositivo USB mediante políticas de grupo o GPO de tal forma que impidas que puedan acceder a los puertos USB los equipos que indiques. Es importante controlar esto para preservar la seguridad de la empresa.

 

 

 

 

 


1. Abrir Editor de directivas de dominio Windows Server 2016, 2019

 

Paso 1

Para abrir el editor y de esta manera configurar la respectiva GPO vamos a ir al menú Inicio y seleccionamos la opción "Todas las aplicaciones".

 

 

Paso 2

En la ventana de Todas las aplicaciones ubicaremos el campo Herramientas administrativas y allí seleccionamos la opción Administración de directivas de grupo.

 

 

 

Paso 3

Se desplegará la siguiente ventana:

 

 

 

 


2. Bloquear USB por GPO Windows Server 2016, 2019

 

Paso 1

Para este análisis hemos creado una unidad organizativa llamada Solvetic_USB. En el editor de políticas de grupo vamos a desplegar nuestro dominio para ver dicha unidad organizativa.

 

 

Paso 2

Allí daremos clic derecho sobre la unidad organizativa "Solvetic_USB" y seleccionamos la opción "Crear un GPO" en este dominio y vincularlo aquí.

 

 

 

Paso 3

Al pulsar la opción indicada se despliega la siguiente ventana donde debemos asignar un nombre, en este caso elegimos "Solvetic_Restriccion".

 

 

 

Paso 4

Pulsamos Aceptar y podemos ver nuestra política creada de manera correcta. Ahora daremos clic derecho sobre la política y seleccionamos la opción Editar.

 

 

Paso 5

Se abre la siguiente ventana:

 

 

Paso 6

Debemos ir a la siguiente ruta:

 

  • Directiva Solvetic_Restricción
  • Configuración del equipo
  • Directivas
  • Plantillas Administrativas
  • Sistema
  • Acceso de almacenamiento extraíble

 

 

 

 

 

 

Paso 7

En el costado derecho daremos podemos ver que contamos con diversas opciones de edición de políticas siendo las más importantes:

 

Denegar acceso de ejecución
Si habilitamos esta política impediremos el acceso a cualquier medio extraíble que se conecte en un equipo del dominio.

 

Denegar acceso de lectura
A través de esta opción podemos permitir que el usuario escribir o copiar información sobre la USB pero no leer el contenido de la misma.

 

Denegar acceso de escritura
Esta opción permite al usuario leer la información de la USB mas no realizar cambios en la misma.

 

Todas las clases de almacenamiento extraíble: denegar acceso a todo: Si habilitamos esta opción impediremos que el usuario use cualquier clase de medio extraíble como USB, DVD, celular, MP4, MP5, etc

 

De la misma manera podemos configurar restricciones para unidades de CD, Cintas, sesiones remotas, etc.

 

Paso 8

En este ejemplo vamos a restringir el acceso a las unidades USB únicamente por lo cual seleccionamos la opción "Discos extraíbles: denegar acceso de ejecución" y veremos la siguiente ventana.

 

Allí debemos seleccionar la opción Habilitada para aplicar esta política a la unidad organizativa seleccionada. Pulsamos Aplicar y luego Aceptar para validar la política.

 

 

Paso 9

Validamos que la política se encuentra habilitada en la OU Solvetic_Restriccion.

 

 

Paso 10

Una vez hayamos realizado el proceso anterior y hayamos definido a que tipo de unidades aplicaremos la restricción vamos a esperar que la política se aplique en los equipos del dominio o podemos usar el comando siguiente para forzar la política.
gpupdate /force
De esta manera aportamos seguridad en nuestros dominios evitando que se añadan dispositivos extraíbles USB en los equipos de la organización los cuales pueden contener ocasionar diferentes problemas para nosotros como encargados del área de IT. Al bloquear USB por GPO podemos evitar que dispositivos externos se conecten a nuestro dominio ya que podemos hacer un control de dispositivos extraíbles. Para finalizar atentos a estos tutoriales que será de vuestro interés, el poder controlar que usuarios inician sesión en Windows Server, además de aprender cómo configurar políticas avanzadas de auditoría GPO.

 

Tutorial con vídeo para poder deshabilitar los puertos USB configurando políticas en Windows 10.

¿Te ayudó este Tutorial?

Ayuda a mejorar este Tutorial!
¿Quieres ayudarnos a mejorar este tutorial más? Puedes enviar tu Revisión con los cambios que considere útiles. Ya hay 1 usuario que han contribuido en este tutorial al enviar sus Revisiones. ¡Puedes ser el próximo!