Prevenir el uso de dispositivos USB en una computadora

Prevenir el uso de dispositivos USB en una computadora

Uno de los problemas que nos podemos encontrar conmunmente es que usuarios no autorizado se lleven información o que infecten la computadora, red con virus al conectar un dispositivo de almacenamiento USB (Pendrive, Cámara, Reproductor MP3/MP4, etc).

Tenemos dos posibles maneras de evitarlo, y pueden ser concurrentes.
Para desactivar dicha posibilidad:

Si el dispositivo de almacenamiento USB nunca estuvo instalados en la computadora

Lo que hacemos es bloquear la posibilidad que se instale el dispositivo en la computadora.
Si tenemos dudas si la maquina ya tuvo dispositivos de almacenamiento USB instalados conviene revisar en el registro y desactivar el funcionamiento del mismo (ver más adelante).

Alcanza con asignarle al usuario o al grupo, y a la cuenta local SYSTEM permisos de denegación en los siguientes archivos (esto funciona si el sistema de archivos es NTFS sino no existen permisos de seguridad):

• %SystemRoot%\Inf\Usbstor.pnf
• %SystemRoot%\Inf\Usbstor.inf

Al hacerlo, los usuarios no pueden instalar dispositivos de almacenamiento USB en el equipo. Para asignar a un usuario o grupo permisos de denegación a los archivos Usbstor.pnf y Usbstor.inf, siga estos pasos:

1. Inicie el Explorador de Windows y, a continuación, busque la carpeta %SystemRoot%\Inf.
2. Haga clic con el botón secundario en el archivo Usbstor.pnf y haga clic en Propiedades.
3. Haga clic en la pestaña Seguridad. (En caso de no encontrar la pestaña al final de la entrada hay una mini guía de como habilitarla).
4. En la lista Nombres de grupos o usuarios, agregue el usuario o grupo al que desea asignar permisos de denegación.
5. En la lista Permisos paranombreUsuario o nombreGrupo, active la casilla de verificación Denegar que está junto a Control total.
   
   Nota Agregue también la cuenta del sistema a la lista Denegar.
6. En la lista Nombres de grupos o usuarios, seleccione la cuenta SYSTEM.
7. En la lista Permisos paranombreUsuario o nombreGrupo, active la casilla de verificación Denegar que está junto a Control total y haga clic en Aceptar.
8. Haga clic con el botón secundario en el archivo Usbstor.inf y, a continuación, haga clic en Propiedades.
9. Haga clic en la pestaña Seguridad.
10. En la lista Nombres de grupos o usuarios, agregue el usuario o grupo al que desea asignar permisos de denegación.
11. En la lista Permisos paranombreUsuario o nombreGrupo, active la casilla de verificación Denegar que está junto a Control total.
12. En la lista Nombres de grupos o usuarios, seleccione la cuenta SYSTEM.
13. En la lista Permisos paranombreUsuario o nombreGrupo, active la casilla de verificación Denegar que está junto a Control total y haga clic en Aceptar.

Si el dispositivo de almacenamiento ya fue instalado en la computadora

Lo que vamos a hacer es modificar el Registro para desactivar el funcionamiento del dispositivo de almacenamiento USB cuando el usuario lo conecte a la computadora.

Como primer paso debemos hacer una copia de seguridad del registro antes de modificarlo (puede ser necesario si hacemos algo mal).

Establezca el valor Start en la siguiente clave del Registro en 4:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

Al hacerlo, el dispositivo de almacenamiento USB no funciona cuando el usuario conecta el dispositivo al equipo. Para configurar el valor Start, siga estos pasos:

1. Haga clic en Inicio y, a continuación, en Ejecutar.
2. En el cuadro Abrir, escriba regedit y, a continuación, haga clic en Aceptar.
3. Busque la siguiente clave del Registro y haga clic en ella:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
4. En el panel de detalles, haga doble clic en Start.
5. En el cuadro Información del valor, escriba 4, haga clic en Hexadecimal (si aún no se ha seleccionado esa opción) y, a continuación, haga clic en Aceptar.
6. Salga del Editor del Registro.

Ver pestaña de Seguridad en las propiedades del archivo.

La pestaña de seguridad existe si el sistema de archivos es NTFS sino no existen permisos de seguridad.

Para poder ver la pestaña seguridad debes ir al menú Inicio, Panel de control, Opciones de carpeta, pestaña Ver, debes desmarcar la opción Utilizar uso compartido simple de archivos luego presiona Aplicar y a continuación Aceptar. Si tienes Windows XP Home solo podrás ver la pestaña en modo seguro.


Fuente: www.microsoft.com