12 Jun 2016

Restringir acceso a dispositivos de almacenamiento removible / extraíble

Enviado por jos

En Windows es posible restringir el acceso a dispositivos de almacenamiento removible  / extraíble:

  • CD/DVD
  • Unidades de disquete - Floppy
  • Discos removibles: Memorias USB, tarjetas SD, discos USB externos conectados por puertos USB o Firewire
  • Unidades de cinta
  • Dispositivos WPD (Windows Portable Devices): dispositivos como celulares, reproductores multimedia que usen el protocolo MTP (Multimedia Transfer Protocol)

La restricción a este tipo de dispositivos puede ser controlada por medio de

  • Políticas de grupo
  • Configuración del registro (regedit)

Restricción por medio de políticas de grupo

Es necesario ejecutar el editor de directivas de grupo local (gpedit.msc)

Esta restricción de realiza en:

  • Configuración del equipo \ Plantillas administrativas \ Sistema \ Acceso de almacenamiento extraíble
    (En Inglés: Computer Configuration \Administrative Templates \System \Removable Storage Access)
  • Configuración de usuario \ Plantillas administrativas \ Sistema \ Acceso de almacenamiento
    (En Inglés: User Configuration \Administrative Templates \System \Removable Storage Access)

Restricción mediante configuración del registro (regedit)

Es necesario ejecutar el Editor de Registro (regedit) y crear la siguiente llave

 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices]

Para aplicar estas restricciones para un tipo de dispositivo en específico es necesario crear una llave que coincida con el tipo de dispositivo:

  • Drives CD/DVD - {53f56308-b6bf-11d0-94f2-00a0c91efb8b}
  • Unidades de disquetes (Floppy Drives) - {53f56311-b6bf-11d0-94f2-00a0c91efb8b}
  • Discos removibles - {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}
  • Unidades de cinta - {53f5630b-b6bf-11d0-94f2-00a0c91efb8b}
  • Para dispositivos WPD son necesarias dos llaves:
    • {6AC27878-A6FA-4155-BA85-F98F491D4F33}
    • {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE}

Para cada dispositivo puede especificarse el tipo de restricción que se necesita aplicar con estos valores (DWORD)

  • Denegar acceso de lectura (Deny_Read)
    Habilitado (Enabled) = 1
    Deshabilitado (Disabled) = 0
  • Denegar acceso de escritura (Deny_Write) 
    Habilitado (Enabled) = 1
    Deshabilitado (Disabled) = 0
  • Denegar ejecución (Deny_Execute)
    Habilitado (Enabled) = 1

Deshabilitado (Disabled) = 0

Puedes descargar el siguiente archivo de ejemplo RemovableStorageDevices.reg

Dejo también otros dos archivos, un exe y un bat, los cuales hay que ejecutarlos con privilegios de Administrador:

En este ejemplo:

  • Se bloquea el acceso completo a dispositivos WPD y discos removibles
  • Se bloquea la escritura en unidades CD/DVD

Descargar este artículo como PDF