Política de grupo para forzar el cifrado de la unidad USB en los dispositivos extraíbles

Este tutorial le mostrará cómo configurar la directiva de grupo para forzar el cifrado de USB en dispositivos extraíbles en el servidor de Windows 2012 mediante Bitlocker.

Esto ayudará a que su entorno informático alcance un mayor nivel de seguridad.


El controlador de dominio ejecuta Windows 2012 R2.
Los equipos del dominio ejecutan Windows 10 enterprise.
Los equipos del dominio ejecutan Windows 7 enterprise

 
 

Tutorial – Creación del GPO para forzar la encriptación de la unidad USB

 

Las siguientes tareas se ejecutaron en un controlador de dominio con Windows 2012 R2 con Active directory.


Haz clic en el menú Inicio, localiza y abre la herramienta de administración de políticas de grupo.

Windows 2012 - Group Policy Management

 

En la pantalla de Gestión de Políticas de Grupo (Group Policy Management ), localice la carpeta denominada Objetos de Política de Grupo.


Haga clic con el botón secundario en la carpeta Objetos de política  (Group Policy Objects) de grupo y seleccione la opción Nuevo.

Windows 2012 - Group Policy Objects

Introduzca un nombre para su nueva pólitica.

Windows 2012 - GPO Force USB Encryption

 

En nuestro ejemplo, el nuevo GPO fue nombrado: FORZAR LA ENCRIPTACIÓN USB.

En la pantalla de Gestión de Políticas de Grupo, expanda la carpeta denominada Objetos de Política de Grupo.

Haga clic con el botón derecho del ratón en el nuevo objeto de política de grupo y seleccione la opción Editar.

windows 2012 - bitlocker gpo configuration

 

En la pantalla del editor de políticas de grupo, se le presentarán las configuraciones de usuario y las configuraciones de ordenador.

Sólo cambiaremos las configuraciones de la computadora.
No necesitamos cambiar ninguna configuración de Usuario.

En la pantalla del editor de políticas de grupo, amplíe la carpeta Configuración del equipo y busque el siguiente elemento.

Computer Configuration > Administrative Templates > Windows Components > Bitlocker Drive Encryption > Removable Data Drives

windows 2012 - bitlocker gpo configuration folder

 

A la derecha, se presentará la lista de opciones de configuración disponibles.

windows 2012 - bitlocker removable devices

 

Primero, desactivemos el acceso de escritura a los dispositivos de almacenamiento USB no encriptados.


Haga doble clic en el elemento de configuración llamado:  Denegar el acceso de escritura a las unidades extraíbles no protegidas por Bitlocker (Deny write access to removable drives not protected by BitLocker.)


En la pantalla del elemento de configuración, debe seleccionar la opción Activar.

GPO Enable Bitlocker USB drive

 

Si también desea habilitar el uso de Bitlocker en versiones anteriores de Windows.

Haga doble clic en el elemento de configuración denominado “Permitir el acceso a las unidades extraíbles protegidas con BitLocker de versiones anteriores de Windows” (Allow Access to BitLocker Protected Removable Drives From Earlier Versions of Windows)

En la pantalla de configuración, debe seleccionar la opción Activar.

 

Para finalizar la creación de la política de grupo, debes cerrar la ventana del editor de política de grupo.

Sólo cuando cierres la ventana de la política de grupo, el sistema guardará tu configuración.
 

Aplicando el GPO para forzar la encriptación de la unidad USB

 

Ha terminado la creación de la red de restricción GPO.

Pero, todavía necesita habilitar el uso de su nueva Política de Grupo.

En la pantalla de gestión de la política de grupo, debe hacer clic con el botón derecho del ratón en la unidad organizativa deseada y seleccionar la opción para vincular un GPO existente.

Windows-2012-Applocker application

 

En nuestro ejemplo, vamos a vincular la política del grupo llamado FORCE USB ENCRYPTION a la raíz de nuestro dominio llamado TECH.LOCAL.

Windows force USB Encryption

 

Después de aplicar el GPO hay que esperar 10 o 20 minutos.

Durante este tiempo el GPO se replicará a otros controladores de dominio que pueda tener.

Después de esperar 20 minutos, debes reiniciar el ordenador del usuario.

Durante el arranque, el ordenador obtendrá y aplicará una copia de la nueva política de grupo.

Para probar la configuración, es necesario conectar una unidad de almacenamiento USB al ordenador e intentar guardar un archivo.

El ordenador debería denegar automáticamente el acceso de escritura al dispositivo de almacenamiento USB sin cifrar.

El equipo debería ofrecer automáticamente la posibilidad de cifrar el dispositivo de almacenamiento USB mediante Bitlocker.

Bitlocker Windows

Después de encriptar el dispositivo de almacenamiento USB, podrás escribir datos en el dispositivo.