sábado, 3 de maio de 2008

Bloquear Pen Drive no Windows XP

Um amigo meu está fazendo o Trabalho de Conclusão de Curso dele, sobre segurança da informação. Me perguntou sobre o que poderia falar e eu dei algumas dicas como, ter sempre um firewall na rede, usuários externos ao ambiente de trabalho devem usar uma conta sem acesso a determinadas funções e arquivos, backup, aquele blá blá blá, e falei também que não adianta ele remover drive de disquete, remover o gravador de CD e esquecer uma porta USB, pq o cara pluga um pen drive, e leva todo o trabalho e às vezes produto da sua empresa no bolso.



Aí que me veio a dúvida de como posso bloquear a porta USB para que não eceite não só Pen Driver mas nenhum dispositivo que possa armazenar dados, como MP3 player, iPods, etc... Foi aí que achei este tutorial, que explicarei aqui no blog.


Bloqueando a Porta USB para Dispositivos com Capacidade de Armazenamento

Vamos lá, o primeiro passo é iniciar o regedit. Vá em Iniciar > Executar e digite regedit e em seguida clique em OK.


Navegue até a chave de registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

No painel à direita dê um duplo clique sobre a chave Start.


No campo "Dados do Valor", altere para 4 e maque a opção Hexadecimal se a mesma já não estiver assim marcada e depois clique em OK.


Feche o editor de registros. Para que este hack funcione é necessário que o sistema seja reiniciado.

Pronto, agora o seu Windows XP ou 2000 não mais aceitará que pen drives ou qualquer outro dispositivo que contenha capacidade de armazenamento. Entretanto, existem algumas formas de burlar isto, uma delas é comprando um adaptador de porta PS2 para USB, mas numa empresa vai ser meio complicado um visitante portar um equipamento deste.

Atenção: Para reverter o processo, bastar repetir o tutorial e ao invés de colocar o valor 4 na chave Start, colocar o valor 3.

21 comentários:

Karin disse...

Olha só, isso é triste, rs.
Aqui na empresa onde trabalho esse lance de Segurança da Informação é pesado. Nem papel em cima da nossa mesa pode ter.
Eu só não vou dar essa idéia, pra parecer inteligente, porque senão bye bye minhas músicas, rs.. Mesmo achando que aqui não rola de bloquear por causa da necessidade, mas vá saber né.
Uma ótima semana pra ti!

Alexandre disse...

Boa tarde amigo...muito interessante este seu post, gostaria de saber se é possível fazer isso no windows 2003 server?!?!?!...obrigado e bom fim de semana!!!

Anônimo disse...

Legal esta dica, mas quando coloco outro pendrive o registro se renova e perde as configurações realizadas anteriormente.
Tem alguma outra solução pra isso??

Felipe disse...

Ola amigo, gostei muito de sua dica, e realmente, isso funcionaria. porem, comigo acontece o seguinte erro quando tento mudar o valor: "Não é possivel editar Start: erro ao gravar o novo conteúdo do valor."

como deveria proceder? obrigado.

Blog do Jeffão disse...

Alexandre,
Esse procedimento também funciona com o windows 2003 server, pois a estrutura do Kernel de ambas são semelhantes e a engin e é "praticamente a mesma".

Anônimo disse...

O problema e se seu computador tiver apenas portas usbs (Teclado e mouse USB) sem porta ps2, Não vai funcionar. A unica forma é incluindo o bloqueio via GPO do seu servidor AD.

Anônimo disse...

Façam o teste, isto so funciona se o pen drive já foi utilizado na máquina, peguem um pen drive novo e coloquem na máquina, o regedit volta par 3

Anônimo disse...

esse é o tipo de recurso que funcionava antigamente. hoje em dia qualquer usuario sabe desfazer isso.

O que é pior, pq ai quando você acha que ta protegido, o usuario se esbalda.

Anônimo disse...

Isso mesmo.

Sou da área de TI aqui da empresa, e utilizava esse recurso ai, ate o dia que descobri que meus usarios tinham um scrpt pronto pra derrubar essa opção

COmpramos o MAKROLOCK e resolvemos a sua situação

Anônimo disse...

Isso mesmo.

Sou da área de TI aqui da empresa, e utilizava esse recurso ai, ate o dia que descobri que meus usarios tinham um scrpt pronto pra derrubar essa opção

COmpramos o MAKROLOCK e resolvemos a sua situação

reevasmith disse...

I guess this video can help you out, check out USB Protection

Anônimo disse...

desenvolvi um software que faz exatamente isso , mas deixo os usuarios sem acesso ao registro do windows

Usb Boot Drive disse...

Hi,
There are many threats to your data other than stealing. You can secure your data by using Lok-it Usb Drive

..:: TUIN ::.. disse...

Opa...

Essa técnica funciona bem para pendrives que ja tenham sido instalados..... mas quando vc coloca um pendrive que nunca entrou na máquina ele acessa normalmente

Anônimo disse...

Esse método funciona perfeitamente quando vc também tira os privilégios de ADMINISTRADOR DO SISTEMA dos usuários. Assim eles não poderão desfazer a configuração, nem instalar novos dispositivos.

Jack disse...

This seems to be a great site which offers Headset Adapter, Headset Adaptor, PC Headset To Iphone Adapter, RJ11 To RJ 9 Adapter, Phone Headset Adapter, Xbox 360 Headset Adapter, Computer Headset, PC Headset etc. and i would surely like to try their service...i had been relying on http://www.theheadsetbuddy.com earlier and they too offered good stuff.

Anônimo disse...

NÃO FUNCIONA...PORCARIA..MELHOR DESABILITAR AS ENTRADAS USB NO GERENCIADOR DE DISPOSITIVOS E PROIBIR O USUÁRIO DE USAR PEN DRIVE.
OU TENTE PELO GPEDIT.

Anônimo disse...

Ao amigo que disse que: "é melhor desabilitar as entradas no device manager"

Amigo, se você desabilita no gerenciador, pode esquecer de usar qualquer coisa que seja USB, inclusive seu mouse e taclado :)

Além disso se desabilitar no gerenciador, quando o usuário reiniciar o micro ele será habilitado novamente, pois é PNP.

Anônimo disse...

É Verdade que não se pode proteger definitivamente , pois se um usuário colocar um pendrive novo no computador o regedit é mudado para 3 novamente , porém se você colocar pouca permissão pra ele e também desabilitar a atualização de pendrive pela GPO funciona sim. Se você quer segurança de verdade , vai te que se preocupar com pequenos detalhes.

=)

Antonio Curtipassi disse...

Olá amigo, aqui funcionou perfeitamente.

Muito obrigado pela dica.

Anônimo disse...

E as impressoras, vão continuar funcionando?