Páginas

terça-feira, 11 de janeiro de 2011

Bloquear USB


Problema: Bloquear dispositivos USB

É possivel sim bloquear dispositivos USB. Para isso componho esse artigo idealizando que o leitor possui um domínio de Rede Active Directory que permitirá a propagação da solução via GPO.

A solução é simples, são dois Scripts.

-       - O primeiro é .bat. Ele bloqueia a permissão do usuário no arquivo. USBTOR.inf e USBTOR.pnf que são drivers USB que precisam ser acessados pelo usuário da maquina no momento em que este pluga um dispositivo USB.

-       - O Segundo Script é .vbs. Ele altera o valor de uma chave de registro que é responsável por marcar o dispositivo USB como ativo ou inativo.


É preciso executar os dois Scrips e estes podem ser inseridos em GPO de Computador no seu controlador de domínio. (não explico nesse artigo como faz essa insersão)



Scripts:

.BAT

@echo off

cacls "c:\windows\inf\usbstor.inf" /T /E /D Todos

cacls "c:\windows\inf\usbstor.pnf" /T /E /D Todos



(Edite no bloco de notas e salve como BlockUSB.bat)


O D é o parámetro que define a permissão NEGAR e Todos é o grupo a qual a permissão NEGAR foi atribuído. Nesse caso, qualquer usuário que logar na maquina sofrerá o efeito.

-----

.VBS


Dim WSHShell

Set WSHShell = WScript.CreateObject("WScript.Shell")

WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Start",4 ,"REG_DWORD"

Set WSHShell = nothing

(Edite no bloco de notas e salve como BlockUSBReg.vbs)


Esse script é VBS e define o valor 4 para a chave Start onde como resultado inativa o dispositivo USB.

EXECUTE OS DOIS ARQUIVOS, REINICIE A MAQUINA E TESTE.


Se esses dois Scripts forem executados via Script de Logon para todas as maquinas da rede você obterá o resultado esperado. Bloqueio de USB.

Porém na hora em que desejar revogar a solução para uma ou todas as maquinas é preciso reverter o script. Não funciona apenas remover a GPO. É preciso mudar os parametros do Script para que estes possam fazer a operação inversa.

Ou seja, no script .bat é preciso alterar o parametro para que a permissão NEGAR se torne CONCEDER e no Script .vbs é preciso mudar o valor da chave de 4 para 3. Isso torna o Driver USB ativo novamente.

Espero ter ajudado. Em caso de dúvidas postem comentários.


----------
Marco Biazon
Postado por às 10 comentários:
Assinar: Postagens (Atom)