lunes, 15 de octubre de 2007

Administrar dispositivos USB mediante directiva de grupo


Cuando realizamos una instalación en la cual inevitablemente van a habitar usuarios finales, Uno de los puntos que mas miedo nos da, y por el cual puede ser un gran agujero de seguridad es todo ese arsenal de dispositivos usb (pen drive), que ellos usan, para traerse documentación, "trabajo de casa", y a saber que desde el ordenador de su casa, hasta el ordenador de la oficina.

Ya no vamos a centrarnos en temas de confidencialidad, u otros motivos de seguridad, ya que puede ser un tema realmente largo y difícil de tratar.

Problema
El problema que vamos a tratar o por lo menos dar alguna alternativa para solucionarlo, es como gestionar el uso de los dispositivos USB a través de las directivas de grupo aplicadas a la configuración del equipo.

Como hacerlo
Ya que windows 2003 server, no trae una plantilla predefinida, para poder gestionar estos dispositivos USB, vamos a crear la plantilla que vamos a usar para tal función.
Abrimos el bloc de notas, y copiamos el siguiente texto, tal cual...


CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USB
STOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY

POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST

END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED


VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT

NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120

PART !!labeltextls120 DROPDOWNLIST REQUIRED

VALUENAME "Start"

ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY

END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"

categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"

policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"

labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"

labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"


-Después debemos guardar el documento, con el nombre que queramos, pero con extensión .ADM. Yo en este caso la voy a llamar usb.adm.
-Lo siguiente, será copiar la plantilla en la siguiente ruta:
c:\windows\inf
-Ahora debemos añadir la plantilla, Para esto, abrimos la consola de administración de directivas, y nos situamos en la zona de configuración del equipo.
-Vamos hasta la clave, de Plantillas administrativas-
-Pulsamos el botón secundario del ratón, y damos a la opción Agregar o quitar...
-Tendremos que seleccionar la plantilla que hemos creado (usb.adm), y agregarla.



Con esto ya tendremos las claves agregadas, pero debemos de modificar una opción en el filtrado de la visualización de las plantillas, ya que si no, no va a ser posible ver, las opciones que hemos añadido.
Para esto vamos al menú ver y desmarcamos la opción "mostrar solo valores de directivas que puedan ser totalmente administrados"




Con esto ya podremos administrar cuatro claves nuevas, para poder administrar los accesos a los dispositivos USB.
-Disable USB
-Disable CD ROM
-Disable Floppy
-Disable High Capacity Floppy

De todas formas recordar que es muy complicado tener todas los vacíos de seguridad controlados. A veces con un poco de imaginación quizás, tengamos mejores resultados y podamos tapar mas peligros.

Otras veces una combinación de pequeñas medidas, dan el resultado correcto en el escenario.

Suerte y ya me contareis que experiencias tenéis con este tipo de medidas de seguridad.

Saludos

8 comentarios:

Miguel Angel dijo...

Este sistema serviría para un entorno de ThinClients contra servidores con 2003 Server? La directiva se aplica a los administradores?

David dijo...

Perdona miguel angel:
¿pero que es un entorno thinclients?

JuanJo dijo...

Hola, nosotros aplicando esta directiva sobre nuestro dominio Windows 2000 tenemos el siguiente problema con los dispositivos USB:

- Cuando el usuario se trae su pendrive de casa y lo "pincha", la autoinstalación de sus drivers restablece la directiva a 3 (START) con lo que esa vez, sí puede utilizarlo.
- Al reiniciar el equipo se le aplican las directivas y el puerto se cierra. (START=4)

De momento no hemos encontrado en las directivas opciones para que ni siquiera la primera vez pueda activar el pendrive. Aún más, cuando últimamente estamos detectando numerosos pendrives que traen virus ejecutables (Autorun).

En fin, se trata de una solución parcial, pero útil.

Saludos.

David dijo...

hola Juanjo: Si que es un problema esto de los pendrive en los escenarios. Y sobre todo lo que me comentas, raro es el pendrive de los usuarios que no tenga una incubadora de diversos virus. Creo que llega un momento en el que los problemas informáticos también hay que ampliarlesciertas dosis de sentido común, y si a ese usuario le dices que no use los pendrive y los sigue usando, habrá que utilizar alguna solución mas drástica.
Saludos

Aelanjrdo dijo...

Pueden checar este enlace: http://los-trucos.blogspot.com/2006/05/desactivar-unidades-usb.html

Creo que da la misma solucion y es mas sencillo

David dijo...

Aelanjrdo: Gracias por el apunte. Si que parece mas sencillo. Lo probare y ya lo comentare.
Saludos

Arkan dijo...

no se si lo han probado pero ahi va....

definir una politica de grupo para aplicar a la OU que contiene las terminales a las cuales se quiere controlar el acceso a los dispositivos de almacenamiento masivo en la cual configuaremos la seguridad a implementar en la clave llamada Medios de almacenamiento extraible, esta clave la encontraremos en Configuracion de equipo/Configuracion de Windows/Configuracion de Seguridad/Servicios del sistema/

espero les sirva.-

Anónimo dijo...

Arkan, yo hice lo que recomendastes habilite la politica y le active el deshabilitar pero no me funciono que habre hecho mal si lo pudieras publicar o comentar alguna conclusion