Header Ads

Home / Desktop / Windows XP / Bloquear Pen Drive no Windows XP

Bloquear Pen Drive no Windows XP

sábado, maio 03, 2008 ,
Um amigo meu está fazendo o Trabalho de Conclusão de Curso dele, sobre segurança da informação. Me perguntou sobre o que poderia falar e eu dei algumas dicas como, ter sempre um firewall na rede, usuários externos ao ambiente de trabalho devem usar uma conta sem acesso a determinadas funções e arquivos, backup, aquele blá blá blá, e falei também que não adianta ele remover drive de disquete, remover o gravador de CD e esquecer uma porta USB, pq o cara pluga um pen drive, e leva todo o trabalho e às vezes produto da sua empresa no bolso.



Aí que me veio a dúvida de como posso bloquear a porta USB para que não eceite não só Pen Driver mas nenhum dispositivo que possa armazenar dados, como MP3 player, iPods, etc... Foi aí que achei este tutorial, que explicarei aqui no blog.


Bloqueando a Porta USB para Dispositivos com Capacidade de Armazenamento

Vamos lá, o primeiro passo é iniciar o regedit. Vá em Iniciar > Executar e digite regedit e em seguida clique em OK.


Navegue até a chave de registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

No painel à direita dê um duplo clique sobre a chave Start.


No campo "Dados do Valor", altere para 4 e maque a opção Hexadecimal se a mesma já não estiver assim marcada e depois clique em OK.


Feche o editor de registros. Para que este hack funcione é necessário que o sistema seja reiniciado.

Pronto, agora o seu Windows XP ou 2000 não mais aceitará que pen drives ou qualquer outro dispositivo que contenha capacidade de armazenamento. Entretanto, existem algumas formas de burlar isto, uma delas é comprando um adaptador de porta PS2 para USB, mas numa empresa vai ser meio complicado um visitante portar um equipamento deste.

Atenção: Para reverter o processo, bastar repetir o tutorial e ao invés de colocar o valor 4 na chave Start, colocar o valor 3.

19 comentários:

  1. Karin Dayrell5 de maio de 2008 às 09:21

    Olha só, isso é triste, rs.
    Aqui na empresa onde trabalho esse lance de Segurança da Informação é pesado. Nem papel em cima da nossa mesa pode ter.
    Eu só não vou dar essa idéia, pra parecer inteligente, porque senão bye bye minhas músicas, rs.. Mesmo achando que aqui não rola de bloquear por causa da necessidade, mas vá saber né.
    Uma ótima semana pra ti!

    ResponderExcluir
  2. Anônimo9 de janeiro de 2009 às 16:59

    Boa tarde amigo...muito interessante este seu post, gostaria de saber se é possível fazer isso no windows 2003 server?!?!?!...obrigado e bom fim de semana!!!

    ResponderExcluir
  3. Anônimo10 de fevereiro de 2009 às 09:59

    Legal esta dica, mas quando coloco outro pendrive o registro se renova e perde as configurações realizadas anteriormente.
    Tem alguma outra solução pra isso??

    ResponderExcluir
  4. Anônimo13 de fevereiro de 2009 às 08:01

    Ola amigo, gostei muito de sua dica, e realmente, isso funcionaria. porem, comigo acontece o seguinte erro quando tento mudar o valor: "Não é possivel editar Start: erro ao gravar o novo conteúdo do valor."

    como deveria proceder? obrigado.

    ResponderExcluir
  5. Jeffão Brito18 de maio de 2009 às 07:52

    Alexandre,
    Esse procedimento também funciona com o windows 2003 server, pois a estrutura do Kernel de ambas são semelhantes e a engin e é "praticamente a mesma".

    ResponderExcluir
  6. Anônimo27 de janeiro de 2010 às 17:57

    O problema e se seu computador tiver apenas portas usbs (Teclado e mouse USB) sem porta ps2, Não vai funcionar. A unica forma é incluindo o bloqueio via GPO do seu servidor AD.

    ResponderExcluir
  7. Anônimo8 de julho de 2010 às 15:19

    Façam o teste, isto so funciona se o pen drive já foi utilizado na máquina, peguem um pen drive novo e coloquem na máquina, o regedit volta par 3

    ResponderExcluir
  8. Anônimo29 de julho de 2010 às 08:37

    esse é o tipo de recurso que funcionava antigamente. hoje em dia qualquer usuario sabe desfazer isso.

    O que é pior, pq ai quando você acha que ta protegido, o usuario se esbalda.

    ResponderExcluir
  9. Anônimo29 de julho de 2010 às 08:39

    Isso mesmo.

    Sou da área de TI aqui da empresa, e utilizava esse recurso ai, ate o dia que descobri que meus usarios tinham um scrpt pronto pra derrubar essa opção

    COmpramos o MAKROLOCK e resolvemos a sua situação

    ResponderExcluir
  10. Anônimo29 de julho de 2010 às 08:40

    Isso mesmo.

    Sou da área de TI aqui da empresa, e utilizava esse recurso ai, ate o dia que descobri que meus usarios tinham um scrpt pronto pra derrubar essa opção

    COmpramos o MAKROLOCK e resolvemos a sua situação

    ResponderExcluir
  11. reevasmith30 de julho de 2010 às 02:15

    I guess this video can help you out, check out USB Protection

    ResponderExcluir
  12. Anônimo9 de agosto de 2010 às 12:46

    desenvolvi um software que faz exatamente isso , mas deixo os usuarios sem acesso ao registro do windows

    ResponderExcluir
  13. ..:: TUIN ::..14 de outubro de 2010 às 10:23

    Opa...

    Essa técnica funciona bem para pendrives que ja tenham sido instalados..... mas quando vc coloca um pendrive que nunca entrou na máquina ele acessa normalmente

    ResponderExcluir
  14. Anônimo18 de fevereiro de 2011 às 08:23

    Esse método funciona perfeitamente quando vc também tira os privilégios de ADMINISTRADOR DO SISTEMA dos usuários. Assim eles não poderão desfazer a configuração, nem instalar novos dispositivos.

    ResponderExcluir
  15. Anônimo5 de maio de 2011 às 11:26

    NÃO FUNCIONA...PORCARIA..MELHOR DESABILITAR AS ENTRADAS USB NO GERENCIADOR DE DISPOSITIVOS E PROIBIR O USUÁRIO DE USAR PEN DRIVE.
    OU TENTE PELO GPEDIT.

    ResponderExcluir
  16. Anônimo9 de outubro de 2011 às 16:45

    Ao amigo que disse que: "é melhor desabilitar as entradas no device manager"

    Amigo, se você desabilita no gerenciador, pode esquecer de usar qualquer coisa que seja USB, inclusive seu mouse e taclado :)

    Além disso se desabilitar no gerenciador, quando o usuário reiniciar o micro ele será habilitado novamente, pois é PNP.

    ResponderExcluir
  17. Anônimo3 de janeiro de 2012 às 15:21

    É Verdade que não se pode proteger definitivamente , pois se um usuário colocar um pendrive novo no computador o regedit é mudado para 3 novamente , porém se você colocar pouca permissão pra ele e também desabilitar a atualização de pendrive pela GPO funciona sim. Se você quer segurança de verdade , vai te que se preocupar com pequenos detalhes.

    =)

    ResponderExcluir
  18. Antonio Curtipassi10 de setembro de 2012 às 09:01

    Olá amigo, aqui funcionou perfeitamente.

    Muito obrigado pela dica.

    ResponderExcluir
  19. Anônimo1 de outubro de 2012 às 17:50

    E as impressoras, vão continuar funcionando?

    ResponderExcluir

Assinar: Postar comentários ( Atom )