Por padrão usuários podem ler e gravar em dispositivos de armazenamento removíveis USB em computadores executando o Microsoft Windows XP.
Com o Service Pack2 do Windows XP, a Microsoft adicionou a habilidade de adminsitradores restringirem a capacidade de gravação para estes dispositivos mitigando a vulnerabilidade de roubo de informação.
Pré-Requisitos
- Estações de trabalho com o Sistema Operacional Microsoft Windows XP Professional SP2;
- Estações ingressadas no domínio;
- Group Policy Management (GPMC) instalado no controlador de domínio.
Solução
No Domain Controller:
- Ir em Start / Run digite c:\windows\inf e clique em OK.
- Na tela Inf clique em Tools e depois em Folder Options...
- Na tela Folder Options clique na guia View. Clique para desmarcar a opção Hide extensions for Known file types e depois clique em OK.
- Na tela Inf clique em File e depois em New e escolha Text Document.
- No nome do arquivo New Text Document.txt digite Usb.adm e pressione Enter. Na tela Rename cliquem em Yes.
- 6. Abra o arquivo Usb.adm. Copie e cole o código abaixo. Salve as alterações no arquivo Usb.adm.
7. CLASS MACHINE
8. CATEGORY !!category
9. CATEGORY !!categoryname
10.POLICY !!policynameusb
11.KEYNAME "SYSTEM\CurrentControlSet\Control\StorageDevicePolicies"
12.EXPLAIN !!explaintextusb
13.VALUENAME "WriteProtect"
14.VALUEON NUMERIC 1
15.VALUEOFF NUMERIC 0
16.
17.END POLICY
18.END CATEGORY
19.END CATEGORY
20.
21.[strings]
22.category="Custom Policy Settings for XP SP2"
23.categoryname="Restrict USB"
24.policynameusb="Disable USB Write"
25.explaintextusb="Windows XP with SP2 will block writes to USB block storage devices"
26.labeltextusb="Disable USB Write"
- Ir em Start / Run digite gpmc.msc e clique em OK.
- Na tela Group Policy Management expanda Forest/Domains/SeuDomínio. Clique com o botão direito do mouse em Default Domain Policy e escolha Edit...
- 9. Na tela Group Policy Objetct Editor expanda Computer Configuration. Clique como o botão direito do mouse em Administrative Templates e depois em Add/Remove Templates...
- Na tela Add/Remove Templates clique em Add.
- Na tela Policy Templates selecione o arquivo Usb.adm e clique em Open.
Novamente na tela Add/Remove Templates clique em Close.
- Na tela Group Policy Object Editor clique em View e depois em Filtering...
- Na tela Filtering clique para desmarcar a opção Only show policy settings that can be fully managed depois clique em OK.
- Na tela Group Policy Object Editor expanda Computer Configuration\Administrative Templates\Custom Policy Settings for XP SP2 e clique em Restrict USB.
- No painel direito da tela Group Policy Object Editor dê um duplo clique em Disable USB Write. Na tela Disable USB Write Properties clique na opção Enable e depois em OK.
- Feche a tela Group Policy Object Editor. Feche a tela Group Policy Management.
Neste tutorial mostramos como restringir a capacidade de gravação para dispositivos de armazenamento removíeis USB (USB block storage devices) utilizando Group Policies.
Conclusão
É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicados neste site, entre com contato através do e-mail: fabiano@winsec.org ou vitor@winsec.org
Espero que essas informações sejam úteis no dia-dia e aguarde o próximo artigo.
Lucas Mendonça, estudante de Sistemas de Informação, Trabalha atualmente na Chip&Cia, empresa parceira Gold Partner Microsoft e parceira HP. Realizou vários projetos em clientes em Aracaju/SE. Possui as certificações MCP, MCDST, MCTS, MCITP. Profissional ativo no fórum TechNet Brasil ajudando a profissionais e estudantes de TI com suas dúvidas. Líder da célula acadêmica MS UNIT, voltada para a área de infra-estrutura com foco em plataforma e produtos Microsoft. Colaborador da comunidade Winsec.org.