Por diferentes motivos que no vienen al caso nos han pedido que nos carguemos todos los usb's que tenemos en la empresa. La idea es que nadie pueda utilizar llaves para grabar información. La primera solución es deshabilitar todos los puertos usb de más de 60 equipos, pero esto no es viable. Tenemos ratones usb, impresoras usb, pdas que se sincronizan por usb y cámaras de fotos.
La única solución es que no se pueda escribir en dispositivos usb. Existen tres maneras diferentes para realizar esto en 60 maquinas, pero las tres se basan en la misma clave de registro. Tanto para Xp como para Vista existe la clave (si no existe se crea):
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies\WriteProtect"
Si tiene el valor 1 no se puede escribir en el usb y si tienen un 0 podremos escribir.
La primera solución consiste en ir maquina por maquina poniendo esta clave. Esto en muy pesado, así que otra solución es crear un script que se arranque en el script de usuario del dominio. Un script llamado notusb.vbs para crear estas clave de registros seria:
Option Explicit
On Error Resume Next
Dim wshShell
Set wshShell = WScript.CreateObject("WScript.Shell")
If (wshSysEnv("OS") = "Windows_NT") Then
wshShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
StorageDevicePolicies\", 1, "REG_BINARY"
wshShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
StorageDevicePolicies\WriteProtect", 1, "REG_DWORD"
Else
WScript.Echo "ERROR: este no es un sistema Windows NT"
End If
Este script lo llamaremos desde el .bat o .cmd de inicio de sesión del usuario en el Active Directory. Si el usuario no es administrador de la maquina no tendrá permisos para modificar HKEY_LOCAL_MACHINE así que tendríamos que llamar a "notusb.vbs" con permisos de administrador. Para ello podemos usar el comando runas.exe o mejor aun un cpau.exe que nos permite pasar la contraseña desde la linea de comandos. No es necesario reiniciar la maquina después del cambio, como mucho habrá que quitar y poner la llave usb otra vez.
Otra solución más elegante (para mi la mejor) es crear una política de grupo para el active directory que hace exactamente lo mismo. Una vez creada, podemos crear una unidad organizativa y aplicar dicha política. Todos los usuarios o máquinas que estén dentro de esta unidad organizativa se le aplicará la política.
Aquí tenéis un post donde se puede descargar la plantilla de la política:
http://www.petri.co.il/disable_writing_to_usb_disks_in_xp_sp2_with_gpo.htm
suscribirse
0 comentarios:
hacer un comentario en esta entrada