Páginas

terça-feira, 11 de janeiro de 2011

Bloquear USB


Problema: Bloquear dispositivos USB

É possivel sim bloquear dispositivos USB. Para isso componho esse artigo idealizando que o leitor possui um domínio de Rede Active Directory que permitirá a propagação da solução via GPO.

A solução é simples, são dois Scripts.

-       - O primeiro é .bat. Ele bloqueia a permissão do usuário no arquivo. USBTOR.inf e USBTOR.pnf que são drivers USB que precisam ser acessados pelo usuário da maquina no momento em que este pluga um dispositivo USB.

-       - O Segundo Script é .vbs. Ele altera o valor de uma chave de registro que é responsável por marcar o dispositivo USB como ativo ou inativo.


É preciso executar os dois Scrips e estes podem ser inseridos em GPO de Computador no seu controlador de domínio. (não explico nesse artigo como faz essa insersão)



Scripts:

.BAT

@echo off

cacls "c:\windows\inf\usbstor.inf" /T /E /D Todos

cacls "c:\windows\inf\usbstor.pnf" /T /E /D Todos



(Edite no bloco de notas e salve como BlockUSB.bat)


O D é o parámetro que define a permissão NEGAR e Todos é o grupo a qual a permissão NEGAR foi atribuído. Nesse caso, qualquer usuário que logar na maquina sofrerá o efeito.

-----

.VBS


Dim WSHShell

Set WSHShell = WScript.CreateObject("WScript.Shell")

WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Start",4 ,"REG_DWORD"

Set WSHShell = nothing

(Edite no bloco de notas e salve como BlockUSBReg.vbs)


Esse script é VBS e define o valor 4 para a chave Start onde como resultado inativa o dispositivo USB.

EXECUTE OS DOIS ARQUIVOS, REINICIE A MAQUINA E TESTE.


Se esses dois Scripts forem executados via Script de Logon para todas as maquinas da rede você obterá o resultado esperado. Bloqueio de USB.

Porém na hora em que desejar revogar a solução para uma ou todas as maquinas é preciso reverter o script. Não funciona apenas remover a GPO. É preciso mudar os parametros do Script para que estes possam fazer a operação inversa.

Ou seja, no script .bat é preciso alterar o parametro para que a permissão NEGAR se torne CONCEDER e no Script .vbs é preciso mudar o valor da chave de 4 para 3. Isso torna o Driver USB ativo novamente.

Espero ter ajudado. Em caso de dúvidas postem comentários.


----------
Marco Biazon
Postado por às

10 comentários:

  1. Unknown21 de janeiro de 2011 às 06:05

    Boa tarde Marco,
    Meu nome é Sandro e sou administrador de redes. Legal o seu post, vou testar assim que possível.
    Eu uso apenas o segundo script que você postou, entretanto, estou enfrentando um problema muito estranho: Quando as máquinas iniciam, o valor START da reg esta como 4 (Assim como deveria), porém, quando espetamos o pendrive ele funciona e a reg muda para 3. O bloqueio só funciona depois que reiniciamos a máquina. Você já enfrentou isso?

    ResponderExcluir
    Respostas
    1. GV Soluções TI30 de janeiro de 2020 às 05:35

      Olá. Verifique as permissões. Se você criou uma GPO para bloquear dispositivos UBS (pen drive), e a regra foi criada para computadores, você precisa dar permissão na GPO para os computadores do domínio lerem a GPO. Assim funciona. Em geral quando uma GPO bem configurada não funciona é permissão do usuário ou maquina.

      Excluir
  2. MARCO BIAZON3 de abril de 2011 às 19:27

    Sandro, obrigado pelo comentário e desculpe a demora em responder. Nunca passei por esse problema. Como já fazem meses, desde o seu comentário, você já conseguiu a solução? Se sim me mande que posto aqui como sua autoria. se quiser pode mandar em marco@marcobiazon.com.

    Abraços,

    ResponderExcluir
  3. Marlon Heimlich8 de abril de 2011 às 07:55

    Olá Marcio,

    tenho o mesmo problema que o amigo Sandro. O valor retorna para 3. Reparei isso em algumas estações com o windows XP. Vou testar com o seu código e volto com comentários.
    Muito bom seu post.
    Grande abraço!

    ResponderExcluir
  4. MARCO BIAZON9 de abril de 2011 às 22:29

    Obrigado Marlon e Sandro. Vou aplicar essa solução mais vezes e testar, se eu descobrir alguma coisa a mais informo aqui. Essa história de mudar ao reiniciar a maquina não aconteceu comigo.

    Abraços,

    ResponderExcluir
  5. japa29 de julho de 2011 às 06:05

    muito cuidado com esse script, alem do problema ja citado pelos amigos acima, ele ta meio manjado ja e o usuario mesmo manualmente ou atraves de executaveis que pegam na internet podem mudar de 4 para 3 e inutilizar o bloqueio.
    Softwares como Usblock e Makrolock são mais seguros

    ResponderExcluir
  6. Marcus Lessa19 de janeiro de 2012 às 18:37

    Eu uso o Makrolock também, baixei nesse site www.makrolock.com.br, já usei outros e por script, mas oq realmente funcionou para minha empresa foi esse software.

    ResponderExcluir
  7. Oliveira2 de agosto de 2019 às 11:41

    O problema é que esta solução só afeta a PenDrives "conhecidos" pelo Windows. Se você espetar um pendrive ou dispositivo USB que nunca tenha usado em sua máquina, o Windows vai, automaticamente, configurar o Start para 3 e instalar os drivers do dispositivo USB, fazendo com que ele funcione (Explicação da própria Microsoft).

    ResponderExcluir
  8. Michelly Melo20 de janeiro de 2021 às 11:48

    Olá!
    Deu super certo aqui! Agora se eu for liberar novamente, o \D eu troco pelo o que?

    ResponderExcluir
  9. gardyncaffery3 de março de 2022 às 11:04

    898 Casino Way, Atlantic City, NJ, USA - MapYRO
    › mapyro › 의정부 출장마사지 mapyro 898 Casino Way, Atlantic City, NJ, 세종특별자치 출장샵 USA 전주 출장샵 - Find 898 과천 출장마사지 Casino Way, Atlantic City, NJ, USA MapYRO has 논산 출장샵 a directory of all Casinos in the United States with their

    ResponderExcluir

Assinar: Postar comentários (Atom)