Política de grupo para forzar el cifrado de la unidad USB en los dispositivos extraíbles
Este tutorial le mostrará cómo configurar la directiva de grupo para forzar el cifrado de USB en dispositivos extraíbles en el servidor de Windows 2012 mediante Bitlocker.
Esto ayudará a que su entorno informático alcance un mayor nivel de seguridad.
El controlador de dominio ejecuta Windows 2012 R2.
Los equipos del dominio ejecutan Windows 10 enterprise.
Los equipos del dominio ejecutan Windows 7 enterprise
Tutorial – Creación del GPO para forzar la encriptación de la unidad USB
Las siguientes tareas se ejecutaron en un controlador de dominio con Windows 2012 R2 con Active directory.
Haz clic en el menú Inicio, localiza y abre la herramienta de administración de políticas de grupo.
En la pantalla de Gestión de Políticas de Grupo (Group Policy Management ), localice la carpeta denominada Objetos de Política de Grupo.
Haga clic con el botón secundario en la carpeta Objetos de política (Group Policy Objects) de grupo y seleccione la opción Nuevo.
Introduzca un nombre para su nueva pólitica.
En nuestro ejemplo, el nuevo GPO fue nombrado: FORZAR LA ENCRIPTACIÓN USB.
En la pantalla de Gestión de Políticas de Grupo, expanda la carpeta denominada Objetos de Política de Grupo.
Haga clic con el botón derecho del ratón en el nuevo objeto de política de grupo y seleccione la opción Editar.
En la pantalla del editor de políticas de grupo, se le presentarán las configuraciones de usuario y las configuraciones de ordenador.
Sólo cambiaremos las configuraciones de la computadora.
No necesitamos cambiar ninguna configuración de Usuario.
En la pantalla del editor de políticas de grupo, amplíe la carpeta Configuración del equipo y busque el siguiente elemento.
Computer Configuration > Administrative Templates > Windows Components > Bitlocker Drive Encryption > Removable Data Drives
A la derecha, se presentará la lista de opciones de configuración disponibles.
Primero, desactivemos el acceso de escritura a los dispositivos de almacenamiento USB no encriptados.
Haga doble clic en el elemento de configuración llamado: Denegar el acceso de escritura a las unidades extraíbles no protegidas por Bitlocker (Deny write access to removable drives not protected by BitLocker.)
En la pantalla del elemento de configuración, debe seleccionar la opción Activar.
Si también desea habilitar el uso de Bitlocker en versiones anteriores de Windows.
Haga doble clic en el elemento de configuración denominado “Permitir el acceso a las unidades extraíbles protegidas con BitLocker de versiones anteriores de Windows” (Allow Access to BitLocker Protected Removable Drives From Earlier Versions of Windows)
En la pantalla de configuración, debe seleccionar la opción Activar.
Sólo cuando cierres la ventana de la política de grupo, el sistema guardará tu configuración.
Aplicando el GPO para forzar la encriptación de la unidad USB
Ha terminado la creación de la red de restricción GPO.
Pero, todavía necesita habilitar el uso de su nueva Política de Grupo.
En la pantalla de gestión de la política de grupo, debe hacer clic con el botón derecho del ratón en la unidad organizativa deseada y seleccionar la opción para vincular un GPO existente.
En nuestro ejemplo, vamos a vincular la política del grupo llamado FORCE USB ENCRYPTION a la raíz de nuestro dominio llamado TECH.LOCAL.
Después de aplicar el GPO hay que esperar 10 o 20 minutos.
Durante este tiempo el GPO se replicará a otros controladores de dominio que pueda tener.
Después de esperar 20 minutos, debes reiniciar el ordenador del usuario.
Durante el arranque, el ordenador obtendrá y aplicará una copia de la nueva política de grupo.
Para probar la configuración, es necesario conectar una unidad de almacenamiento USB al ordenador e intentar guardar un archivo.
El ordenador debería denegar automáticamente el acceso de escritura al dispositivo de almacenamiento USB sin cifrar.
El equipo debería ofrecer automáticamente la posibilidad de cifrar el dispositivo de almacenamiento USB mediante Bitlocker.
Después de encriptar el dispositivo de almacenamiento USB, podrás escribir datos en el dispositivo.