Gpo Bloqueio Usbstor 6b236u
This document was ed by and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this report form. Report 2z6p3t
Overview 5o1f4z
& View Gpo Bloqueio Usbstor as PDF for free.
More details 6z3438
- Words: 1,987
- Pages: 7
Desabilitar USB via GPO ou Script de Logon Estou tentando implementar o bloqueio de drivers USB na minha rede, já consultei vários posts e artigos sobre o assunto. Criei um template conforme diversos artigos publicados que eu consultei,ex: http://www.microsoft.com/brasil/technet/Colunas/AdemirYuri/usbviagpo.mspx , tem outro no site do andersonpatricio.org.br, basicamente fazem a mesma coisa. Distribui via GPO, mas os drivers USB continuam funcionando, lendo algumas paginas em foruns sobre esse assunto, muitos deles afirmam que para dispositivos já instalados não mudaria em nada, que o efeito seria para "novos" dispositivos, após constatar essa dificuldade parti para editar o registro utilizando script de logon, exportei a chave com a alteração no valor desejado [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Type"=dword:00000001 "Start"=dword:00000004 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\ 00,52,00,2e,00,53,00,59,00,53,00,00,00 "DisplayName"="USB Mass Storage Driver" depois criei um vb, Dim WSHShell Set WSHShell = WScript.CreateObject("WScript.Shell") WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Start",4 ," REG_DWORD" Set WSHShell = nothing Bom, só funciona quando o é local da maquina, ai esta o problema, preciso implementar esse bloqueio de alguma forma, sem ter que logar nas estações como , alguem pode ajudar? Em minha opnião, não funcionou porque esta política é para ser aplicada apenas em Máquinas e não para usuários, creio que não exista forma alguma de bloquear dispositivos apenas com script de usuário e sim de máquina. Aqui na Empresa eu implementei via GPO e funciona perfeitamente da seguinte forma:
- Crie uma GPO somente para esta regra; - Crie um "." com este script abaixo e importe-o; - Existe a possibilidade de você habilitar a política de "apenas leitura" de dispositivos USB e não permitir escrita; - Ou você pode bloquear de vez dispositivos USB, o que é ruim, pois hoje em dia muitas máquinas utilizam Mouse e teclado via USB;
A Política ficará configurada dentro de: Computer Configuration\istrative Templates\Nome se sua Empresa\Drives USB, CD e Floppy - Neste momento você não estará vendo nada no da direita, clique com o botão direito do mouse em "Drives USB, CD e Floppy" e escolha a opção "Filtering", desmarque a opção "Only show policy settings that can be fully managed", aí então você ará a ver as opções ao lado. Segue o script ".": CLASS MACHINE CATEGORY "Nome de sua Empresa" CATEGORY "Drives USB,CD e Floppy" POLICY "USB Storage - Read Only" KEYNAME "SYSTEM\CurrentControlSet\Control\StorageDevicePolicies" VALUENAME "WriteProtect" VALUEON NUMERIC 1 VALUEOFF NUMERIC 0 END POLICY POLICY "USB Storage - Enable/Disable" KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR" EXPLAIN "Disables the computers USB ports by disabling the usbstor.sys driver" PART "Disable USB Ports" DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME "Disabled" VALUE NUMERIC 3 DEFAULT NAME "Enabled" VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY "CD-ROM - Enable/Disable" KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN "Disables the computers CD-ROM Drive by disabling the cdrom.sys driver" PART "Disable CD-ROM Drive" DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME "Disabled" VALUE NUMERIC 1 DEFAULT NAME "Enabled" VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY "Floppy - Enable/Disable" KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk" EXPLAIN "Disables the computers Floppy Drive by disabling the flpydisk.sys driver" PART "Disable Floppy Drive" DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME "Disabled" VALUE NUMERIC 3 DEFAULT NAME "Enabled" VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY "High Capacity Floppy - Enable/Disable" KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy" EXPLAIN "Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver" PART "Disable High Capacity Floppy Drive" DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME "Disabled" VALUE NUMERIC 3 DEFAULT NAME "Enabled" VALUE NUMERIC 4 END ITEMLIST END PART END POLICY END CATEGORY END CATEGORY Eu já tinha feito o procedimento acima, para isso criei uma OU de Teste, adicionei usuários de teste a essa OU mas como disse anteriormente não funcionou. Efetuo com esses s de teste em alguns desktops e os dispositivos continuam a serem detectados, aceitando leitura e escrita. Por isso parti para a tecnica de scipt de logonm, o que esta impedindo o bloqueio é justamente que para alterar a chave: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
Em minha opnião, não funcionou porque esta política é para ser aplicada apenas em Máquinas e não para usuários, creio que não exista forma alguma de bloquear dispositivos apenas com script de usuário e sim de máquina.
Vc tem toda razão, nunca iria funcionar, não tam nada haver com e sim com computer,, movi as maquinas de teste para minha UO de teste linkei a GPO para desabilitar os drivers USB, funcionou sem problemas, grato pela "luz" , Caro amigo rafael, vc sabe dizer, conforme o script ado só funciona com windows versão em Ingles. Rapaz eu nunca trabalhei com Windows Server em versão português, mas pelo que entendo o registro é todo em inglês. Você chegou a testar ? Testei sim , bloquemos a copia para USB mas só funciona se ativo na OU do Dominio inteiro, se colocar somente na dos s não funciona. Temos que Bloquear somente para alguns s. Conforme dialogo acima, vc precisa adicionar as maquinas na OU de teste, funciona na raiz do dominio, pq ela acaba abrangendo tudo, s e Computers. Eu estava cometendo esse erro, aplicando na OU de teste, mas apenas com os s de teste nessa OU, para funcionar tem que adicionar as maquinas nessa OU. Concordo com o Alfredo Manuel, muito provavelmente você deve estar com TODAS as suas máquinas do domínio no Container "Computers", você deve mover as contas de Máquinas para uma OU e aí sim aplicar a política que ei acima nesta OU, pois esta política se aplica à máquinas. Utilizando esse ., os teclados e mouses USB também são desabilitados? Não existe nenhuma forma de bloqueio apenas ao pen-drive e outros dispositivos de gravação?
- Existe a possibilidade de você habilitar a política de "apenas leitura" de dispositivos USB e não permitir escrita; - Ou você pode bloquear de vez dispositivos USB, o que é ruim, pois hoje em dia muitas máquinas utilizam Mouse e teclado via USB; Sobre este assunto, tenho dúvidas. Entendi que o bloqueio é por máquina.
Que posso aplicar numa OU, desde que nela tenha os computadores que eu quero aplicar, assim, não é necessário aplicar para todo o domínio ou na Default Policy. Que pode ser habilitada a politica de apenas leitura do dispositivo USB. Neste caso, tenho uma dúvida: Por exemplo, alguém traz um vírus gravado no seu pen-drive, ele consegue copíá-lo para seu micro ? Ou abre um doc no pen-drive, e clica em salvar como, e o salva no disco rígido. Enfim, ele poderá ler o arquivo no pen-drive e gravá-lo em seu disco rígido, porém, não poderá gravar arquivos no pen-drive. Pelo que entendi, somente a gravação no pen-drive (roubo de informações) é que estará sendo evitado. Alguém poderá me explicar melhor esta questão ? Outra dúvida/situação: teclado USB não é dispositivo de armazenamento/storage. Há alguma política ou regra para bloquear "dispositivos de armazenamentos USB", como pendrive, câmeras, mp3, celulares, sem contudo atrapalhar os outros dispositivos USB que não são de armazenamento, como teclados, câmeras, impressoras ? Alguem sabe de algum script para bloquear o Drive CDROM? Pessoal onde faço isso no windows 2003 sem ser o R2? Pessoal, ninguem me ajudou ainda mas já consegui fazer, porem como falei o meu win2003 não é o R2, mas fiz, o problema é quando entro com esse que eu criei para teste ele nao bloqueia. Criei um OU - no grupo police coloquei o template carregou bonito e la habilitei para bloqueiar a USB e coloque Enable na opção, falta mais o que? Você criou a GPO para usuários ou computadores? Pois, a política de bloqueio tem que ser aplicada para computadores. Aqui na empresa eu criei uma O.U. com os computadores que eu queria o bloqueio e apliquei a GPO sobre essa O.U. funciounou perfeitamente. Eu não uso o R2. Criei sim, é a seguinte estrutura: Tenho um OU Principal e dentro dela criei diversas OUs de acordo com os departamentos, dai criei outra OU dentra da principal com o nome TESTE e coloquei o meu usuário dela para ver se bloqueia. Minha duvida é: Dentro dessa OU teste tenho que colocar os s do pessoal que nao vai ter o ou a máquina a qual sera bloqueado?
Vou mais além se tem como eu bloquear apenas os Pendriver e similares pq senão minhas impressoras param. Você coloca o(s) computador(es) que você deseja bloquear. O bloqueio é feito por computador. Eu apliquei a Policy da forma que foi descrita no forúm, apenas os pen-drivers foram bloqueados, impressoras, mouses e teclados funcionaram perfeitamente. Tive uma redução de 80% no indice de virus após o bloqueio dos pen-drivers. Caro colega, vc vai dizer que é mentira minha mas nao deu certo nao OU TESTE onde tem esse bloqueio e nada.
coloquei meu PC
Tente movimentar outro computador do seu dominio nessa OU para testar, execute o comando gpupdate /force. Se vc habilitou somente a opção de bloqueio de USB ele irá bloquear apenas os pendrives(USB MASS STORAGE). Implementei essa policy em meu ambiente e esta funcionando. Meu 2003 é em Portugues algum problema e não é o R2 algum problema? Não tem problema ser em português. Se a opção da GPO foi habilitada caso não esteja sendo aplicada via GPO no seu AD pode ser outro problema. Tente colocar essa policy diretamente na Maquina para fazer um teste e veja se funciona.
Muito obrigado pela sua dica, mas não consegui colocar pra funcionar, aparente está tudo certo. Estou fazendo exatamente como vc indicou, não mudei nenhuma vírgula do procedimento ado. Se puder me ajudar a resolver este problema, agradeço. Estou querendo na verdade proibir o uso de usb aqui na empresa. qual a versão do seu SO ? Qual o idioma ? O que está acontecendo ? Gera algum erro ? Estou implementando essa politica na empresa, mais as vezes dou umas viajada e acabo não resolvendo a situação. A minha duvida é para onde eu importo o script? Quem poder me ajudar eu agradeço.
Eu testei configurar uma GPO para bloquear as portas USB e CD-Rom, para compartilhar minha experiência montei um o a o disponível no meu blog: http://jenfigueiredo.blogspot.com/search/label/DESABILITANDO%20DRIVERS%20VIA%20GPO
Estou tentando implementar esta mesma GPO no meu domínio, porém não consigo, acredito que deva ser pelo fato do meu Windows Server ser o 2000. Alguém teria como me ajudar a aplicar esta GPO no Windows 2000 Server? Estava fazendo tudo corretamente, mas não havia tentado criar uma GPO somente para essa regra de bloqueio. Valeu a dica. Gostaria de acrescentar que ao criar a GPO da regra de bloqueio USB desativei a implantação das configurações de usuário, fazendo essa GPO valer somente para as configurações do computador. Mesmo depois de tanto tempo lendo agora fiz o mesmo procedimento e como tantos post indicando o meu tambem não funcionou. Se fizer um GPresult atraves do GPMC mostra que nem a GPO criada para a determinada OU com o computador de TESTE não recebe a policy. Alfredo, na minha Estrutura tb tive alguns problemas em implementar o bloqueio, Primeiro criei como há post a GPO para eventuais novas máquinas. No RIS as imagens já vão com a porta bloqueada com o seguinte script: strComputer = "." Set WshShell = WScript.CreateObject("WScript.Shell") WshShell.RegWrite "HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Start",4,"REG_DWORD" WshShell.Run "cacls c:\windows\inf\Usbstor.inf /E /D s", 0 , True WshShell.Run "cacls c:\windows\inf\Usbstor.pnf /E /D s", 0 , True WshShell.Run "cacls c:\windows\inf\Usbstor.inf /E /D Utilizadores", 0 , True WshShell.Run "cacls c:\windows\inf\Usbstor.pnf /E /D Utilizadores", 0 , True WshShell.Run "cacls c:\windows\inf\Usbstor.inf /E /D SYSTEM", 0 , True WshShell.Run "cacls c:\windows\inf\Usbstor.pnf /E /D SYSTEM", 0 , True e corri tb com psexec existente para no SYSInternals este script nas máquinas da minha estrutura. Este script faz duas coisas muito importante uma que é não permitir a montagem da unidade removível e altera as Acls nos ficheiros que permitem a instalação do dispositivo. As alterações só são relativos a dispositivos de storage e não de outro tipo de periféricos (ratos, printers, scanners) Apenas atente-se as questões dos dispositivos como Teclado e Mouse, pois com o bloqueio das portas USB eles não poderão ser utilizados.
- Crie uma GPO somente para esta regra; - Crie um "." com este script abaixo e importe-o; - Existe a possibilidade de você habilitar a política de "apenas leitura" de dispositivos USB e não permitir escrita; - Ou você pode bloquear de vez dispositivos USB, o que é ruim, pois hoje em dia muitas máquinas utilizam Mouse e teclado via USB;
A Política ficará configurada dentro de: Computer Configuration\istrative Templates\Nome se sua Empresa\Drives USB, CD e Floppy - Neste momento você não estará vendo nada no da direita, clique com o botão direito do mouse em "Drives USB, CD e Floppy" e escolha a opção "Filtering", desmarque a opção "Only show policy settings that can be fully managed", aí então você ará a ver as opções ao lado. Segue o script ".": CLASS MACHINE CATEGORY "Nome de sua Empresa" CATEGORY "Drives USB,CD e Floppy" POLICY "USB Storage - Read Only" KEYNAME "SYSTEM\CurrentControlSet\Control\StorageDevicePolicies" VALUENAME "WriteProtect" VALUEON NUMERIC 1 VALUEOFF NUMERIC 0 END POLICY POLICY "USB Storage - Enable/Disable" KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR" EXPLAIN "Disables the computers USB ports by disabling the usbstor.sys driver" PART "Disable USB Ports" DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME "Disabled" VALUE NUMERIC 3 DEFAULT NAME "Enabled" VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY "CD-ROM - Enable/Disable" KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN "Disables the computers CD-ROM Drive by disabling the cdrom.sys driver" PART "Disable CD-ROM Drive" DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME "Disabled" VALUE NUMERIC 1 DEFAULT NAME "Enabled" VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY "Floppy - Enable/Disable" KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk" EXPLAIN "Disables the computers Floppy Drive by disabling the flpydisk.sys driver" PART "Disable Floppy Drive" DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME "Disabled" VALUE NUMERIC 3 DEFAULT NAME "Enabled" VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY "High Capacity Floppy - Enable/Disable" KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy" EXPLAIN "Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver" PART "Disable High Capacity Floppy Drive" DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME "Disabled" VALUE NUMERIC 3 DEFAULT NAME "Enabled" VALUE NUMERIC 4 END ITEMLIST END PART END POLICY END CATEGORY END CATEGORY Eu já tinha feito o procedimento acima, para isso criei uma OU de Teste, adicionei usuários de teste a essa OU mas como disse anteriormente não funcionou. Efetuo com esses s de teste em alguns desktops e os dispositivos continuam a serem detectados, aceitando leitura e escrita. Por isso parti para a tecnica de scipt de logonm, o que esta impedindo o bloqueio é justamente que para alterar a chave: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
Em minha opnião, não funcionou porque esta política é para ser aplicada apenas em Máquinas e não para usuários, creio que não exista forma alguma de bloquear dispositivos apenas com script de usuário e sim de máquina.
Vc tem toda razão, nunca iria funcionar, não tam nada haver com e sim com computer,, movi as maquinas de teste para minha UO de teste linkei a GPO para desabilitar os drivers USB, funcionou sem problemas, grato pela "luz" , Caro amigo rafael, vc sabe dizer, conforme o script ado só funciona com windows versão em Ingles. Rapaz eu nunca trabalhei com Windows Server em versão português, mas pelo que entendo o registro é todo em inglês. Você chegou a testar ? Testei sim , bloquemos a copia para USB mas só funciona se ativo na OU do Dominio inteiro, se colocar somente na dos s não funciona. Temos que Bloquear somente para alguns s. Conforme dialogo acima, vc precisa adicionar as maquinas na OU de teste, funciona na raiz do dominio, pq ela acaba abrangendo tudo, s e Computers. Eu estava cometendo esse erro, aplicando na OU de teste, mas apenas com os s de teste nessa OU, para funcionar tem que adicionar as maquinas nessa OU. Concordo com o Alfredo Manuel, muito provavelmente você deve estar com TODAS as suas máquinas do domínio no Container "Computers", você deve mover as contas de Máquinas para uma OU e aí sim aplicar a política que ei acima nesta OU, pois esta política se aplica à máquinas. Utilizando esse ., os teclados e mouses USB também são desabilitados? Não existe nenhuma forma de bloqueio apenas ao pen-drive e outros dispositivos de gravação?
- Existe a possibilidade de você habilitar a política de "apenas leitura" de dispositivos USB e não permitir escrita; - Ou você pode bloquear de vez dispositivos USB, o que é ruim, pois hoje em dia muitas máquinas utilizam Mouse e teclado via USB; Sobre este assunto, tenho dúvidas. Entendi que o bloqueio é por máquina.
Que posso aplicar numa OU, desde que nela tenha os computadores que eu quero aplicar, assim, não é necessário aplicar para todo o domínio ou na Default Policy. Que pode ser habilitada a politica de apenas leitura do dispositivo USB. Neste caso, tenho uma dúvida: Por exemplo, alguém traz um vírus gravado no seu pen-drive, ele consegue copíá-lo para seu micro ? Ou abre um doc no pen-drive, e clica em salvar como, e o salva no disco rígido. Enfim, ele poderá ler o arquivo no pen-drive e gravá-lo em seu disco rígido, porém, não poderá gravar arquivos no pen-drive. Pelo que entendi, somente a gravação no pen-drive (roubo de informações) é que estará sendo evitado. Alguém poderá me explicar melhor esta questão ? Outra dúvida/situação: teclado USB não é dispositivo de armazenamento/storage. Há alguma política ou regra para bloquear "dispositivos de armazenamentos USB", como pendrive, câmeras, mp3, celulares, sem contudo atrapalhar os outros dispositivos USB que não são de armazenamento, como teclados, câmeras, impressoras ? Alguem sabe de algum script para bloquear o Drive CDROM? Pessoal onde faço isso no windows 2003 sem ser o R2? Pessoal, ninguem me ajudou ainda mas já consegui fazer, porem como falei o meu win2003 não é o R2, mas fiz, o problema é quando entro com esse que eu criei para teste ele nao bloqueia. Criei um OU - no grupo police coloquei o template carregou bonito e la habilitei para bloqueiar a USB e coloque Enable na opção, falta mais o que? Você criou a GPO para usuários ou computadores? Pois, a política de bloqueio tem que ser aplicada para computadores. Aqui na empresa eu criei uma O.U. com os computadores que eu queria o bloqueio e apliquei a GPO sobre essa O.U. funciounou perfeitamente. Eu não uso o R2. Criei sim, é a seguinte estrutura: Tenho um OU Principal e dentro dela criei diversas OUs de acordo com os departamentos, dai criei outra OU dentra da principal com o nome TESTE e coloquei o meu usuário dela para ver se bloqueia. Minha duvida é: Dentro dessa OU teste tenho que colocar os s do pessoal que nao vai ter o ou a máquina a qual sera bloqueado?
Vou mais além se tem como eu bloquear apenas os Pendriver e similares pq senão minhas impressoras param. Você coloca o(s) computador(es) que você deseja bloquear. O bloqueio é feito por computador. Eu apliquei a Policy da forma que foi descrita no forúm, apenas os pen-drivers foram bloqueados, impressoras, mouses e teclados funcionaram perfeitamente. Tive uma redução de 80% no indice de virus após o bloqueio dos pen-drivers. Caro colega, vc vai dizer que é mentira minha mas nao deu certo nao OU TESTE onde tem esse bloqueio e nada.
coloquei meu PC
Tente movimentar outro computador do seu dominio nessa OU para testar, execute o comando gpupdate /force. Se vc habilitou somente a opção de bloqueio de USB ele irá bloquear apenas os pendrives(USB MASS STORAGE). Implementei essa policy em meu ambiente e esta funcionando. Meu 2003 é em Portugues algum problema e não é o R2 algum problema? Não tem problema ser em português. Se a opção da GPO foi habilitada caso não esteja sendo aplicada via GPO no seu AD pode ser outro problema. Tente colocar essa policy diretamente na Maquina para fazer um teste e veja se funciona.
Muito obrigado pela sua dica, mas não consegui colocar pra funcionar, aparente está tudo certo. Estou fazendo exatamente como vc indicou, não mudei nenhuma vírgula do procedimento ado. Se puder me ajudar a resolver este problema, agradeço. Estou querendo na verdade proibir o uso de usb aqui na empresa. qual a versão do seu SO ? Qual o idioma ? O que está acontecendo ? Gera algum erro ? Estou implementando essa politica na empresa, mais as vezes dou umas viajada e acabo não resolvendo a situação. A minha duvida é para onde eu importo o script? Quem poder me ajudar eu agradeço.
Eu testei configurar uma GPO para bloquear as portas USB e CD-Rom, para compartilhar minha experiência montei um o a o disponível no meu blog: http://jenfigueiredo.blogspot.com/search/label/DESABILITANDO%20DRIVERS%20VIA%20GPO
Estou tentando implementar esta mesma GPO no meu domínio, porém não consigo, acredito que deva ser pelo fato do meu Windows Server ser o 2000. Alguém teria como me ajudar a aplicar esta GPO no Windows 2000 Server? Estava fazendo tudo corretamente, mas não havia tentado criar uma GPO somente para essa regra de bloqueio. Valeu a dica. Gostaria de acrescentar que ao criar a GPO da regra de bloqueio USB desativei a implantação das configurações de usuário, fazendo essa GPO valer somente para as configurações do computador. Mesmo depois de tanto tempo lendo agora fiz o mesmo procedimento e como tantos post indicando o meu tambem não funcionou. Se fizer um GPresult atraves do GPMC mostra que nem a GPO criada para a determinada OU com o computador de TESTE não recebe a policy. Alfredo, na minha Estrutura tb tive alguns problemas em implementar o bloqueio, Primeiro criei como há post a GPO para eventuais novas máquinas. No RIS as imagens já vão com a porta bloqueada com o seguinte script: strComputer = "." Set WshShell = WScript.CreateObject("WScript.Shell") WshShell.RegWrite "HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Start",4,"REG_DWORD" WshShell.Run "cacls c:\windows\inf\Usbstor.inf /E /D s", 0 , True WshShell.Run "cacls c:\windows\inf\Usbstor.pnf /E /D s", 0 , True WshShell.Run "cacls c:\windows\inf\Usbstor.inf /E /D Utilizadores", 0 , True WshShell.Run "cacls c:\windows\inf\Usbstor.pnf /E /D Utilizadores", 0 , True WshShell.Run "cacls c:\windows\inf\Usbstor.inf /E /D SYSTEM", 0 , True WshShell.Run "cacls c:\windows\inf\Usbstor.pnf /E /D SYSTEM", 0 , True e corri tb com psexec existente para no SYSInternals este script nas máquinas da minha estrutura. Este script faz duas coisas muito importante uma que é não permitir a montagem da unidade removível e altera as Acls nos ficheiros que permitem a instalação do dispositivo. As alterações só são relativos a dispositivos de storage e não de outro tipo de periféricos (ratos, printers, scanners) Apenas atente-se as questões dos dispositivos como Teclado e Mouse, pois com o bloqueio das portas USB eles não poderão ser utilizados.
Related Documents c2h70
Gpo Bloqueio Usbstor 6b236u
August 2022 0
Bloqueio Auto r6v6b
December 2020 0
Bloqueio Anestesico 3n6h5a
February 2021 0
Sim Gpo 3u244a
October 2021 0
Bloqueio Duplo 2w61a
September 2021 0