GPO: Control de USB Store en Windows XP, Vista, 7 y 8

Clave: HKLM\System\CurrentControlSet\Control\StorageDevicePolicies

Valor: WriteProtect (REG_DWORD)

Datos: 1

Windows 7 y 8

Creamos una GPO  (USB RO Win7-8) y la editamos, para ello vamos a Configuración del equipo – Plantillas Administrativas – Componentes de Windows – Cifrado de Unidad BitLocker –  Unidades de datos extraibles y editamos la siguiente directiva: Denegar el acceso de escritura a unidades estrabiles no protegidas por BitLoker


Si únicamente modificamos esta opción de la directiva, aun tendríamos un problema, porque los usuarios con unidades cifradas con BitLocker podrían utilizar sus dispostivos USB y encima con acceso de escritura. Para poder evitar este comportamiento únicamente debemos deshabilitar la siguiente opción de esta directiva. Como vemos en la ayuda si deshabilitamos la opción de Controlar el uso de BitLocker en unidades extraibles los usuarios ya no podrán hacer uso de sus unidades extraibles cifradas con BitLocker.

Desde luego si alguien tiene que utilizar algún dispositivo de almacenamiento USB, prefiero que lo hagan con la unidad cifrada. 

Si ahora lo que queremos es que los usuarios no puedan utilizar los USB, puesto que hay muchas organizaciones que no permiten la utilización de dispositivos de almacenamiento USB, podemos hacerlo de dos formas. Debemos deshabilitar por un lado los dispositivos que ya ha podido conectar el usuario en algún momento, y por otro los nuevos dispositivos que el usuario pueda conectar.

1. Deshabilitar el servicio de dispositivos de almacenamiento USB ya conectados en alguna ocasión

Creamos una GPO para establecer a deshabilitar el servicio de USB Store con las siguientes claves

Clave: HKLM\SYSTEM\CurrentControlSet\Services\UsbStor
Varlor: Start
Datos: 4 (hex) = Deshabilitado

Editamos la GPO y vamos a Configuración del equipo – Preferencias – Configuración de Windows – Registro y actualizamos la siguientes clave con los valores comentados anteriormente

2. Deshabilitar la instalación de nuevos dispositivos USB

Para ello debemos evitar que el usuario tenga acceso a  los ficheros INF que harán posible la configuración de nuevos dispositivos. Para ello  editamos la misma GPO y vamos a Configuración del equipo – Configuración de Windows – Configuración de Seguridad – Sistema de Archivos, pulsamos con el botón derecho encima de Sistema de archivos y pulsamos en Agregar archivo…

ahora seleccionamos el fichero USBSTOR.INF que se encuentra en la siguiente ubicación: %windir%\inf\usbstor.inf

una vez que hemos seleccionado el fichero en cuestión, lo único que debemos hacer es denegar todos los permisos de acceso al grupo Usuarios, así cualquier usuario no tendrá acceso de lectura sobre el fichero  de instalación de los USB y evitará que puedan traer nuevos dipositivos y que se autoinstalen

Si queremos controlar a que usuarios queremos aplicar esta directiva, debemos crear distintos grupos de locales de dominio y aplicar los permisos de denegación sobre ellos, de esta forma no denegamos los USB a todos los usuarios.

También podemos aplicar estas configuraciones solo a ciertos usuarios, aunque la directiva es a nivel de equipo. Mirad este artículo y sería muy parecido solo que aplicado a esta configuración: Deshabilitar IM en Lync 2013 (Parte II).

Si lo que queremos es habilitar los USB pero controlar que es lo que se copia en los USB, informes, control sobre otros dispositivos externos, etc… para ello tenemos una esupenda herramienta como GFI EndPoint Security. Yo lo utilizo en algunos clientes y es una maravilla, aqui os dejo algunas capturas de pantalla (del fabricante, no puedo mostraros la de mis clientes como comprenderéis)

Espero que os sea de utilidad!!!