Cómo usar un objeto de directiva de grupo para bloquear el acceso a dispositivos de almacenamiento USB

En el lugar de trabajo moderno, casi todos los miembros del personal poseen y usan al menos un dispositivo de almacenamiento USB. (En este artículo, "dispositivo de almacenamiento USB" se refiere a cualquier dispositivo USB que pueda almacenar datos, incluidos, entre otros, unidades flash, discos duros externos, teléfonos inteligentes, tabletas, dispositivos de juegos portátiles, cámaras y reproductores de MP3).

Sin embargo, la portabilidad y la adopción generalizada de dispositivos de almacenamiento USB representan una amenaza de seguridad significativa. Por ejemplo, un empleado podría conectar inadvertidamente un dispositivo infectado a un punto final, lo que puede provocar la propagación de malware a la red de la empresa. Alternativamente, los dispositivos de almacenamiento USB se pueden usar para filtrar información confidencial o instalar aplicaciones no autorizadas, lo que podría generar más problemas de seguridad.

Afortunadamente, Microsoft ha hecho que sea relativamente simple bloquear el uso de dispositivos de almacenamiento USB no autorizados. En este artículo, le mostraremos los pasos exactos para deshabilitar los dispositivos de almacenamiento USB utilizando un Objeto de directiva de grupo (GPO).

Nota: Para restringir el acceso a unidades externas con un GPO, debe ejecutar Windows Server 2008 (o posterior); en equipos de escritorio, necesita Windows Vista o más reciente. Las versiones anteriores de Windows y Windows Server necesitarán usar herramientas de terceros para bloquear el acceso a medios externos, que no están cubiertos en este artículo.


Aplicar un GPO a una unidad organizativa


  1. Abra la Consola de administración de directivas de grupo (gpmc.msc).

  2. Haga clic con el botón derecho en la unidad organizativa (OU) a la que desea aplicar la política y haga clic en Crear un GPO en este dominio, y vincúlelo aquí.

  3. Ingrese un nombre para la política (por ejemplo, Bloquear dispositivos USB) y haga clic en Aceptar.

  4. En la pestaña Objetos de política de grupo vinculados, haga clic con el botón derecho en la política que creó en el Paso 4 y haga clic en Editar.

  5. Navegue a través del árbol de la consola hasta Configuración del equipo> Políticas> Plantillas administrativas> Sistema> Acceso al almacenamiento extraíble.

  6. En la sección Acceso al almacenamiento extraíble, encontrará una serie de políticas para una variedad de dispositivos de almacenamiento. Las políticas incluyen:

    • CD y DVD: Denegar acceso de ejecución.

    • CD y DVD: Denegar acceso de lectura.

    • CD y DVD: Denegar acceso de escritura.

    • Clases personalizadas: Denegar acceso de lectura.

    • Clases personalizadas: negar acceso de escritura.

    • Unidades de disquete: denegar el acceso de ejecución.

    • Disquetes: denegar el acceso de lectura.

    • Disquetes: denegar el acceso de escritura.

    • Discos extraíbles: denegar el acceso de ejecución.

    • Discos extraíbles: denegar el acceso de lectura.

    • Discos extraíbles: denegar el acceso de escritura.

    • Todas las clases de almacenamiento extraíble: denegar todos los accesos.

    • Todo el almacenamiento extraíble: permite el acceso directo en sesiones remotas.

    • Unidades de cinta: denegar el acceso de ejecución.

    • Unidades de cinta: denegar el acceso de lectura.

    • Unidades de cinta: denegar el acceso de escritura.

    • Dispositivos WPD: Denegar acceso de lectura.

    • Dispositivos WPD: Denegar acceso de escritura.

Para denegar el acceso a todos los dispositivos de almacenamiento, haga doble clic en Todas las clases de almacenamiento extraíble: denegue todo acceso, marque Activado y haga clic en Aceptar. Una vez que se habilita esta política, el sistema detectará cuándo se conecta un dispositivo de almacenamiento USB y mostrará un mensaje de error que indica que no se puede acceder a la unidad y se le niega el acceso.


Aplicar un GPO a usuarios específicos


En la sección anterior, bloqueamos el acceso a todos los medios extraíbles para todos los usuarios dentro de la unidad organizativa seleccionada. Sin embargo, a menudo hay situaciones en las que querrás aplicar un GPO solo a un grupo o grupos específicos. Para hacerlo:

  1. Abra la Consola de administración de directivas de grupo.

  2. En el panel de navegación, busque y seleccione el GPO.

  3. Haga clic en la pestaña Delegación.

  4. Haz clic en Avanzado.

  5. Seleccione Usuarios autenticados.

  6. Desplácese hacia abajo hasta el permiso Aplicar directiva de grupo y desactive Permitir.

  7. Haga clic en Agregar, ingrese el nombre del grupo al que desea aplicar la política y haga clic en Aceptar.

  8. Seleccione el grupo que agregó en el Paso 7, desplácese hacia abajo en la lista de permisos para Aplicar la política de grupo y marque Permitir. El GPO ahora solo se aplicará a los usuarios que están en este grupo.


Eximir a un grupo de un GPO

En otras situaciones, es posible que desee aplicar un GPO a una unidad organizativa pero permitir que ciertos usuarios (como los administradores) puedan acceder a dispositivos de almacenamiento USB. Para hacerlo:


  1. Abra la Consola de administración de directivas de grupo.

  2. En el panel de navegación, busque y seleccione el GPO.

  3. Haga clic en la pestaña Delegación.

  4. Haz clic en Avanzado.

  5. Haga clic en Agregar, ingrese el nombre del grupo que desea eximir de la política y haga clic en Aceptar.

  6. Seleccione el grupo que agregó en el Paso 5, desplácese hacia abajo hasta el permiso Aplicar política de grupo y marque Denegar.

  7. Haga clic en Aceptar y luego en Sí si el cuadro de diálogo Seguridad de Windows se lo solicita. El GPO ahora no se aplicará a los usuarios de este grupo.

  8. Enlaces útiles:

  9. API de política de grupo

  10. Objetos de directiva de grupo

  11. Consola de administración de directivas de grupo


Conclusión

Restringir el acceso a los dispositivos de almacenamiento USB juega un papel importante para reforzar la seguridad de una organización. Las empresas de todos los tamaños, así como los usuarios domésticos con ediciones comerciales de Windows, pueden usar GPO para administrar el acceso a dispositivos de almacenamiento extraíbles y, en consecuencia, reducir el riesgo de infección de malware, exfiltración de datos y la instalación no autorizada de aplicaciones.