Tabla de contenido
Esta guía contiene instrucciones paso a paso sobre cómo bloquear los dispositivos de almacenamiento USB en todo el dominio o en usuarios específicos del dominio mediante el uso de la directiva de grupo en un dominio de AD 2016 o 2012. Más específicamente, después de leer las instrucciones de esta guía aprenderá a impedir el acceso a cualquier dispositivo de almacenamiento USB (unidades flash, discos duros externos, teléfonos inteligentes, tabletas, etc.), que puede conectarse a cualquierordenador en el dominio, o denegar el acceso al almacenamiento USB sólo a usuarios específicos del dominio.
Hoy en día, muchos de nosotros utilizamos un dispositivo de almacenamiento USB para transferir datos. Sin embargo, para una organización, la posibilidad de que sus empleados utilicen dispositivos de almacenamiento externos puede contener riesgos de seguridad, como la propagación de malware o la interceptación de datos sensibles. Para evitar estos riesgos, puede leer las siguientes instrucciones para bloquear el acceso a los dispositivos de almacenamiento USB a todos los usuarios y ordenadores de su dominio o a determinadossólo a los usuarios del dominio, mediante el uso de la Política de Grupo. *
Notas:
1. En este post, para bloquear las unidades USB a través de la política de grupo, hemos utilizado un controlador de dominio de Active Directory 2016 para crear la nueva política de grupo y estaciones de trabajo Windows 10 Pro y Windows 7 Pro para aplicarla.
2. La política de "Bloqueo de acceso a USB" no afectará a los administradores de dominio ni a ningún otro dispositivo USB conectado, como teclados USB, ratones, impresoras, etc.
3. Después de aplicar la política de grupo, los usuarios no tendrán acceso a ningún tipo de dispositivo de almacenamiento USB y recibirán uno de los siguientes mensajes de error cuando intenten acceder a un dispositivo de almacenamiento USB en su PC.
Cómo utilizar la directiva de grupo para impedir el acceso a los dispositivos de almacenamiento USB (Server 2012/2012R2/2016)
- Parte 1. Bloquear el acceso de lectura/escritura de USB en todos los usuarios del dominio. Parte 2. Bloquear el acceso de lectura/escritura de USB para ciertos usuarios del dominio.
Parte 1. Cómo bloquear el acceso a dispositivos de almacenamiento USB en todo el dominio 2016.
Para desactivar el acceso a cualquier dispositivo de almacenamiento USB conectado a cualquier ordenador(usuario) en el dominio:
1. En el controlador de dominio AD de Server 2016, abra el Administrador de servidores y luego de Herramientas abrir el menú Gestión de políticas de grupo. *
Además, navegue hasta Panel de control -> Herramientas administrativas -> Gestión de políticas de grupo.
2. En Dominios seleccione su dominio y luego clic derecho en Política de dominio por defecto y elija Editar .
3. En el "Editor de gestión de directivas de grupo", vaya a
- Configuración de Usuario > Políticas > Plantillas Administrativas > Sistema > Acceso al almacenamiento extraíble
4. En el panel derecho, haga doble clic en: Discos extraíbles: Denegar el acceso de lectura. *
* Notas:
1. Muchos tutoriales en este punto sugieren Activar el ' Todas las clases de almacenamiento extraíble: Denegar todo el acceso". pero durante nuestras pruebas descubrimos que esta política no se aplica (funciona) para los teléfonos inteligentes o las tabletas.
2. Si desea bloquear el acceso de escritura USB, seleccione la opción Discos extraíbles: Denegar el acceso de escritura.
5. Consulte Activado y haga clic en DE ACUERDO.
6. Cerrar el Editor de Políticas de Grupo.
7. Reiniciar el servidor y las máquinas cliente, o ejecutar el gpupdate /force para aplicar la nueva configuración de la política de grupo (sin reiniciar) tanto al servidor como a los clientes.
Parte 2. Cómo impedir el acceso a los dispositivos de almacenamiento USB en usuarios específicos del dominio.
Para deshabilitar el acceso a los dispositivos de almacenamiento USB a usuarios específicos sólo mediante una política de grupo, debe crear un grupo con usuarios que no quieran acceder a los dispositivos de almacenamiento USB y, a continuación, aplicar la nueva política a este grupo. Para ello:
Paso 1. Crear un grupo con los usuarios USB deshabilitados. *
Nota: Si ya ha creado un grupo con los usuarios USB deshabilitados, continúe con el paso 2.
1. Abrir Usuarios y equipos de Active Directory.
2. Haga clic con el botón derecho del ratón en el punto " Usuarios "en el panel izquierdo, y seleccione Nuevo > Grupo
3. Escriba un nombre para el nuevo grupo (por ejemplo, "Usuarios con discapacidad USB") y haga clic en OK . *
Nota: Deje marcadas las opciones "Global" y "Seguridad".
4. Abra el grupo recién creado, seleccione el Miembros y haga clic en Añadir
5. Ahora seleccione en qué usuario(s) del dominio desea bloquear los dispositivos de almacenamiento USB y luego haga clic en DE ACUERDO.
6. Haga clic en OK para cerrar las propiedades del grupo.
Paso 2. Crear un nuevo objeto de directiva de grupo para desactivar los dispositivos de almacenamiento USB.
1. Abrir el Gestión de políticas de grupo.
2. En el objeto "Dominios", haga clic con el botón derecho en su dominio y seleccione Cree un GPO en este dominio y vincúlelo aquí.
3. Escriba un nombre para el nuevo GPO (por ejemplo, "USB deshabilitado") y haga clic en DE ACUERDO.
4. Haga clic con el botón derecho del ratón en el nuevo GPO y haga clic en Editar.
5. En el "Editor de gestión de directivas de grupo", vaya a
- Configuración de Usuario > Políticas > Plantillas Administrativas > Sistema > Acceso al almacenamiento extraíble
4. En el panel derecho, haga doble clic en: Discos extraíbles: Denegar el acceso de lectura. *
* Nota:
1. Muchos tutoriales en este punto sugieren Activar el ' Todas las clases de almacenamiento extraíble: Denegar todo el acceso". pero durante nuestras pruebas descubrimos que esta política no se aplica (funciona) para los teléfonos inteligentes o las tabletas.
2. Si desea bloquear el acceso de escritura USB, seleccione la opción Discos extraíbles: Denegar el acceso de escritura.
5. Consulte Activado y haga clic en BIEN.
6. Cerrar el Editor de gestión de políticas de grupo ventana.
7. Vuelve a 'Administración de Políticas de Grupo', selecciona el GPO "USB Desactivado" y en la pestaña 'Alcance' haz clic en el botón Añadir (en la configuración de "Filtrado de seguridad").
8. Escriba el nombre del grupo de "usuarios discapacitados por USB" (por ejemplo, "Usuarios discapacitados por USB" en este post), y haga clic en OK .
9. Cuando haya terminado, seleccione el Delegación ficha.
10. En la pestaña "Delegación", seleccione el Usuarios autentificados y haga clic en Avanzado.
11 En las opciones de seguridad, seleccione el Usuarios autentificados y desmarque el Aplicar la política de grupo Cuando haya terminado, haga clic en DE ACUERDO.
6. Cerrar el Editor de Políticas de Grupo.
7. Reiniciar el servidor y las máquinas cliente, o ejecute el programa " gpupdate /force "(como administrador), para aplicar la nueva configuración de la política de grupo (sin reiniciar) tanto al servidor como a los clientes.
Si esta guía te ha servido de ayuda, déjame un comentario sobre tu experiencia y comparte esta guía para ayudar a los demás.
andy dawis
El blog de un administrador de sistemas sobre Windows
