Microsoft - Securizarea dispozitivelor USB Disk folosind numai ACTIVE DIRECTORY si GPO

De multe ori avem nevoie sa protejam compania in care lucram de furtul informatiilor confidentiale
prin folosirea neautorizata a dispozitivelor USB si nu numai. Aceste dispozitive au devenit foarte
incapatoare si pot reprezenta un pericol major pentru orice companie.

Daca folosim o structura Active Directory Windows 2008 si statii Windows Vista printr-o simpla
politica de grup GPO avem posibilitatea de a restrictiona utilizarea oricarui dispozitiv de acest gen.

In Windows Server 2008 si Windows Vista exista setari specifice in GPO (in rubrica Removable
Storage Access) pentru securizarea dispozitivelor USB disk dar si a altor dispozitive gen CD/DVD,
floppy ,tape, telefoane mobile sau de tip Smartphone.

http://technet.microsoft.com/en-us/magazine/cc138012.aspx

Cei care au structuri Active Directory Windows 2003 sau Windows 2000 pot realiza si ei foarte
usor securizarea dispozitivelor USB disk tot printr-o simpla politica GPO.

De data aceasta nu mai avem setari specifice in GPO ci trebuie sa folosim un STARTUP SCRIPT
pe Computer Configuration, script care este aplicat automatizat la pornirea fiecarei statii de lucru.

Se procedeaza conform articolului din Microsoft KB823732

http://support.microsoft.com/kb/823732

Trebuie setata valoarea 4 (Hexa) in cheia Start din locatia:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

Dupa ce setam aceasta cheie pe o statie martor – cu ajutorul utilitarului REGEDIT putem exporta
aceasta cheie intr-un fisier cu extensia .REG (de ex. CHEIE.REG)

Cum vom crea scriptul? Cu ajutorul utilitarului NOTEPAD intr-un fisier batch de ex.
ScriptUSB.BAT

Fisierul BAT are urmatoarea structura: %windir%\regedit.exe /s CHEIE.REG unde CHEIE.REG

este fisierul cu cheia de registry exportata pe care l-am obtinut la pasul anterior.
 Se va aplica cheia respectiva de registry in mod transparent pentru utilizator (silent) pe fiecare
statie de lucru.

Acest fisier ScriptUSB.BAT se poate adauga intr-un GPO aplicat pe intreg domeniul sau OU-ul
unde doriti sa dezactivati aceste dispozitive.

Dupa aplicarea acestei politici GPO – dispozitivele USB disk vor fi dezactivate pe toate statiile de
lucru cu sisteme de operare Windows XP/2003 sau Windows 2000.

Aceste setari pot fi aplicate si cu un “Administrative Template” direct intr-un GPO si se

procedeaza conform articolului de mai jos din Microsoft KB5553242 – practic trebuie adaugat acel
“Administrative Template” din articol – ca fisier ADM pe serverul domain controller de unde se aplica
respectiva politica GPO de restrictionare a dispozitivelor USB.

Detalii suplimentare sunt in articolele de mai jos:

http://support.microsoft.com/kb/555324
http://www.petri.co.il/disable_usb_disks_with_gpo.htm

Pentru statiile de lucru cu Windows XP se poate configura in plus ca dispozitivele USB disk sa fie
READ-ONLY si sa interzicem doar scrierea pe acestea.

Practic trebuie creata in registry o cheie (DWORD) cu numele WriteProtect cu valoarea 1 in

locatia HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies

Setarea automatizata a acestei chei de registry se poate face in mod similar folosind metoda de
mai sus si o politica GPO cu STARTUP SCRIPT sau Administrative Template.

Detalii suplimentare sunt in articolele de mai jos:

http://www.microsoft.com/technet/security/guidance/serversecurity/tcg/tcgch10n.mspx
http://www.petri.co.il/configure_usb_disks_to_be_read_only_in_xp_sp2.htm