En este tutorial, explicaré cómo bloquear el acceso a un dispositivo de almacenamiento USB con Política de grupo (GPO) en un entorno de Active Directory.
Por dispositivo de almacenamiento USB nos referimos a:
- Llave USB
- disco duro USB
- Teléfono
Hoy en día con el riesgo de amenazas cibernéticas, es importante proteger su sistema de información y bloquear los dispositivos de almacenamiento USB es parte de esto.
Para convencerte, diviértete dejando una llave USB en el aparcamiento de tu trabajo y verás que la recogerán y la enchufarán a un ordenador.
Implementar dicho bloqueo también implica la comunicación con los usuarios, porque es una apuesta segura que los empleados intercambien documentos con llaves USB.
Como solución alternativa para el intercambio de archivos, puede resultar interesante configurar una solución en la nube, como un Nextcloud autohospedado, para que los usuarios puedan seguir intercambiando.
Si no ofreces una alternativa interna, los usuarios recurrirán a soluciones gratuitas como Onedrive, Googledrive o Wetransfert, que también pueden plantear problemas de seguridad y confidencialidad de la información.
Volviendo al tema principal, el bloqueo de dispositivos de almacenamiento USB, se puede realizar en dos niveles con políticas de grupo:
- Nivel de computadora: lo que implica que todos los usuarios serán bloqueados
- Nivel de usuario: dependiendo del usuario conectado, será posible utilizar un dispositivo USB si no se aplica la política de grupo.
Abra la consola de administración de políticas de grupo, desde la consola, haga clic en Objetos de política de grupo y haga clic en Nuevo 1.
Asigne un nombre a la Política de grupo 1 y haga clic en Aceptar 2 para crear el objeto.
Haga clic derecho en el objeto de política de grupo que acaba de crear y haga clic en Modificar 1.
En el tutorial, aplicaré la configuración en el nivel de configuración de Usuario, para acceder a la configuración aquí están las ubicaciones:
- Configuración del Equipo: Políticas / Plantillas Administrativas / Sistema / Acceso a almacenamiento extraíble
- Configuración de usuario: Políticas / Plantillas administrativas / Sistema / Acceso a almacenamiento extraíble
Vaya a la ubicación según cómo desee aplicar la Política de grupo (GPO).
Haga doble clic en la configuración: Todas las clases de almacenamiento extraíbles: denegar todo acceso 1.
Active 1 la configuración y luego haga clic en Aplicar 2 y Aceptar 3.
La política de grupo está configurada, cierre el Editor de administración de políticas de grupo.
Para aplicar nuestro GPO, ahora vincularemos el objeto para que se aplique.
En el ejemplo, aplicaré a los Departamentos de OU/Contabilidad/Usuarios para que los usuarios ubicados allí no puedan usar almacenamiento extraíble.
Haga clic derecho en la ubicación deseada y haga clic en Vincular un GPO existente 1.
Seleccione el objeto 1 y haga clic en Aceptar 2.
El GPO para bloquear el acceso a memorias USB está vinculado a la unidad organizativa.
Ahora vamos a probar la estrategia, para ello me voy a conectar a un ordenador con el usuario Pierre KiRoule, que se encuentra en OU Departamentos / Compta / Usuarios.
Como puede ver en la captura de pantalla a continuación, abrí la sesión de Pierre KiRoule en una computadora con Windows 10.
Para asegurarme de que se tenga en cuenta la política de grupo, lo verifico con el comando gpresult /r.
Como podemos ver en la captura, la estrategia está bien aplicada.
Conecto una memoria USB a mi máquina.
Ahora abrimos el explorador y podremos ver la memoria USB.
Si intentamos abrirlo, se muestra un mensaje de error que dice: Acceso denegado, la política de grupo está funcionando.
Ahora sabes cómo bloquear el acceso a unidades USB mediante la política de grupo.