¿Cómo deshabilitar los dispositivos USB mediante la política de grupo?

En este post veremos los pasos para deshabilitar los dispositivos USB mediante la política de grupo.

En el mundo actual casi todo el mundo posee uno o más dispositivos USB, las conexiones USB (bus serie universal) suelen utilizarse para conectar dispositivos como ratones, teclados, escáneres, impresoras, cámaras web, cámaras digitales, teléfonos móviles y discos duros externos al ordenador.

Una de las razones de la popularidad de los dispositivos USB es que son los dispositivos más fáciles de conectar al ordenador.

La primera vez que se conecta un dispositivo que se conecta a un puerto USB, Windows identifica automáticamente el dispositivo e instala un controlador para ese dispositivo. Dado que los dispositivos USB son portátiles y se pueden conectar fácilmente a los equipos, estos dispositivos suponen amenazas de seguridad muy reales. Algunas organizaciones no permiten que los dispositivos USB se conecten a los equipos, los deshabilitan mediante una directiva de grupo o los bloquean mediante una directiva de grupo. A continuación, veremos los pasos para deshabilitar los dispositivos USB mediante la directiva de grupo.

Cómo deshabilitar los dispositivos USB usando la Política de Grupo

En este post tenemos un controlador de dominio que corre en Windows Server 2012 R2 Datacenter edition y un cliente que es parte de un dominio que corre en Windows 7 Professional SP1 edition. La política del grupo para desactivar los dispositivos USB se creará en el controlador de dominio y la aplicaremos en un OU que contiene la cuenta de ordenador WIN7.
 

Inicie la herramienta de administración de políticas de grupo (Group Policy Management) en el controlador de dominio, haga clic con el botón derecho del ratón en Objetos de política de grupo (Group Policy Objects), haga clic en New. Proporcione un nombre al GPO y haga clic en Aceptar. En este ejemplo, he denominado la política de grupo como Dispositivos USB de bloqueo (Block USB Devices).

 

Haz clic con el botón derecho del ratón en la política y haz clic en Edit.  Esto abrirá el Editor de administración de políticas de grupo (Group Policy Management Editor). Navegue a Configuración del ordenador Políticas Plantillas administrativas Sistema Acceso al almacenamiento extraíble (Computer Configuration Policies Administrative Templates System Removable Storage Access). Este es el lugar donde se encuentra la configuración de los dispositivos de Acceso al almacenamiento extraíble (Removable Storage Access devices) . Hay muchas configuraciones de USB para múltiples dispositivos, sin embargo, configuraremos una configuración Todas las clases de Almacenamiento extraíble: Denegar todo el acceso (All Removable Storage classes: Deny all Access.).

Haga clic con el botón derecho del ratón en el ajuste Todas las clases de almacenamiento extraíble: Denegar todo acceso (All Removable Storage classes: Deny all access) y hacer clic en Edit. Si habilita esta política, bloqueará el acceso a cualquier clase de almacenamiento extraíble que se conecte al ordenador. Haz clic en Habilitado (Enabled ) y en Aplicar y luego en Aceptar.

 

 

Hasta ahora hemos creado un objeto de política de grupo, el siguiente paso es vincular el GPO a la OU que contiene las cuentas de ordenador para las cuales los dispositivos USB deben ser bloqueados. Haga clic derecho en el OU y haga clic en Vincular un GPO existente (Link an Existing GPO).

 

 

De la lista de GPO’s seleccione la política Bloquear Dispositivos USB (Block USB Devices) y haga clic en OK.

Realice una actualización de la política de grupo en el cliente usando el comando gpupdate /force. Conecta cualquier dispositivo USB al ordenador y deberías ver el mensaje como Access is denied. La política que hemos aplicado evitará que los usuarios monten cualquier clase de medios extraíbles.