Desde que en la década de los años 90 se hizo el lanzamiento de la USB 1.0 hemos notado grandes cambios hasta hoy, no sólo en la versión de las USB, estamos en la 3.0, sino en las novedades de almacenamiento, tamaño, seguridad, velocidad , entre outras. Quando estamos dentro de um domínio, é importante gerenciar os diferentes componentes dele, bem como os elementos que podem ser incorporados externamente a ele. Existem dispositivos como o USB, onde é importante controlar os dispositivos removíveis e, assim, ser capaz de bloquear os GPOs USB para impedir que eles entrem em nossa rede. Para poder fazer este tipo de gestão, teremos uma unidade organizacional a partir da qual podemos criar uma política de bloqueio de porta USB para fazer esta tarefa no Windows Server 2021-2022, Server 2022 ou Server 2016.
Hoje 95% das pessoas têm uma memória USB para fins pessoais, organizacionais, de suporte, etc., e isso é muito importante já que nós que estamos no meio de sistemas podemos usar uma memória USB para inicializar um sistema operacional de lá (algo que não era provável nos anos 90), podemos armazenar uma grande quantidade de informações, até 256 GB, enquanto a primeira geração de USB só foi até 16 MB. Não só o backup é importante para o bom gerenciamento de nossos servidores Windows Server e empresas. Várias configurações de política de segurança são mais do que vitais.
Razões para bloquear USBPor que bloquear o acesso ao USB em nossos domínios com o Windows Server? Os motivos são múltiplos:
- Por segurança, para evitar roubo de informações.
- Devido às políticas da empresa, já que existem dados ou registros delicados que podem ser armazenados em uma memória USB e a partir daí ter um destino incorreto.
- Para evitar a propagação de vírus, já que muitas vezes os pendrives são conectados a computadores de domínio sem passar por uma verificação antivírus e eles contêm vários tipos de vírus que podem se espalhar pela rede e afetar vários computadores.
- Para melhorar o desempenho do computador, já que muitas pessoas instalam programas ou aplicativos diretamente de pen drives USB.
Como podemos ver, existem muitos motivos pelos quais é aconselhável bloquear as portas USB em nosso domínio e também é importante enfatizar que nem todas as empresas bloqueiam o acesso às portas USB de seus funcionários. Ao bloquear dispositivos USB em computadores de domínio por GPO no servidor Windows, garantimos inserções indesejadas. Desta vez, vamos analisar como podemos bloquear as portas USB usando uma política de grupo. Como exemplo, trabalharemos no Windows Server 2016 ou Windows Server2021-2022.
No tutorial de vídeo a seguir, você também pode aprender como bloquear um dispositivo USB por meio de políticas de grupo ou GPOs de forma a impedir que os computadores especificados acessem as portas USB. É importante controlar isso para preservar a segurança da empresa.
1. Abra o Editor de Política de Domínio do Windows Server 2016,2021-2022
Passo 1
Para abrir o editor e assim configurar o respectivo GPO, iremos ao menu Iniciar e selecionaremos a opção "Todos os aplicativos".
Passo 2
Na janela Todos os aplicativos, localizaremos o campo Ferramentas Administrativas e lá selecionaremos a opção Gerenciamento de Política de Grupo.
etapa 3
A seguinte janela será exibida:
2. Bloquear USB por GPO Windows Server 2016,2021-2022
Passo 1
Para esta análise, criamos uma unidade organizacional chamada Solvetic_USB. No editor de política de grupo, exibiremos nosso domínio para ver a referida unidade organizacional.
Passo 2
Lá iremos clicar com o botão direito na unidade organizacional "Solvetic_USB" e selecionar a opção "Criar um GPO" neste domínio e vinculá-lo aqui.
etapa 3
Ao pressionar a opção indicada, aparece a seguinte janela onde devemos atribuir um nome, neste caso escolhemos "Solvetic_Restriccion".
Passo 4
Clicamos em OK e podemos ver nossa política criada corretamente. Agora iremos clicar com o botão direito na política e selecionar a opção Editar.
PROLONGAR
Etapa 5
A seguinte janela é aberta:
Etapa 6
Devemos seguir o seguinte caminho:
- Diretiva Solvetic_Restriction
- Configuração de equipamento
- Diretivas
- Modelos Administrativos
- Sistema
- Acesso de armazenamento removível
PROLONGAR
Etapa 7
No lado direito, podemos ver que temos várias opções de edição de política, sendo a mais importante:
Negar acesso de execuçãoSe ativarmos esta política, impediremos o acesso a qualquer mídia removível que se conecte a um computador no domínio.
Negar acesso de leituraAtravés desta opção, podemos permitir que o usuário escreva ou copie informações no USB, mas não leia seu conteúdo.
Negar acesso de gravaçãoEsta opção permite que o usuário leia as informações do USB, mas não faça alterações nele.
Todos os tipos de armazenamento removível: negar acesso a tudo: Se ativarmos esta opção, evitaremos que o usuário use qualquer tipo de mídia removível como USB, DVD, telefone celular, MP4, MP5, etc.
Da mesma forma, podemos configurar restrições para unidades de CD, fitas, sessões remotas, etc.
Etapa 8
Neste exemplo, vamos restringir o acesso a drives USB apenas para os quais selecionamos a opção "Discos removíveis: negar acesso de execução" e veremos a seguinte janela.
Lá, devemos selecionar a opção Ativado para aplicar esta política à unidade organizacional selecionada. Clique em Aplicar e em OK para validar a política.
Etapa 9
Validamos se a política está habilitada na OU Solvetic_Restriccion.
PROLONGAR
Etapa 10
Depois de realizar o processo anterior e definir a que tipo de unidades aplicaremos a restrição, esperaremos que a política seja aplicada aos computadores do domínio ou podemos usar o seguinte comando para forçar a política.
gpupdate / forceDesta forma, proporcionamos segurança em nossos domínios, evitando que dispositivos USB removíveis sejam adicionados aos computadores da organização, o que pode causar diversos problemas para nós como gestores da área de TI. Ao bloquear o USB por GPO, podemos impedir que dispositivos externos se conectem ao nosso domínio, pois podemos controlar os dispositivos removíveis. Para terminar prestando atenção a estes tutoriais que serão do seu interesse, podendo controlar quais usuários se logam no Windows Server, além de aprender a configurar políticas avançadas de auditoria de GPO.
