Para deshabilitar los dispositivos USB mediante la Política de Grupo (GPO) en un entorno Windows (por ejemplo, en un dominio con Active Directory), puedes seguir estos pasos. Esto bloqueará el acceso a unidades USB, como memorias flash, sin afectar otros periféricos USB (como teclados o ratones). Aquí va el paso a paso:
✅ Pasos para deshabilitar USB por GPO:
- Abrir el Editor de administración de directivas de grupo (Group Policy Management Editor):
- En el controlador de dominio, ejecuta
gpmc.msc.
- En el controlador de dominio, ejecuta
- Crear o editar una GPO existente:
- Puedes crear una nueva GPO (clic derecho sobre la OU → “Crear un GPO en este dominio, y vincularlo aquí”) o editar una existente.
- Ir a la configuración del sistema:
Configuración del equipo → Plantillas administrativas → Sistema → Acceso de almacenamiento extraíble - Modificar las siguientes políticas:
- Todas las clases de almacenamiento extraíble: Denegar todo acceso
- Establécelo en Habilitado.
- Discos extraíbles: Denegar acceso de lectura
- Discos extraíbles: Denegar acceso de escritura
- CD y DVD: Denegar acceso
- Unidades de cinta: Denegar acceso
- Dispositivos WPD (dispositivos portátiles): Denegar acceso
- Todas las clases de almacenamiento extraíble: Denegar todo acceso
- Forzar la actualización de la GPO:
- En los equipos cliente, puedes ejecutar:
gpupdate /force
- En los equipos cliente, puedes ejecutar:
🔧 Alternativa con el registro (si no usas GPO):
Si prefieres hacerlo a través del registro local, crea o modifica esta clave:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004
Esto desactiva el servicio de almacenamiento USB, impidiendo su uso. (Valor 3 lo habilita de nuevo).
⚠️ Consideraciones:
- Esta política no afecta a teclados, ratones u otros dispositivos USB que no sean de almacenamiento.
- Si un usuario tiene permisos de administrador, puede intentar revertir la política localmente.
- Asegúrate de probar la política en un entorno de pruebas antes de desplegarla en producción.