En el lugar de trabajo moderno, casi todos los miembros del personal poseen y usan al menos un dispositivo de almacenamiento USB. (En este artículo, "dispositivo de almacenamiento USB" se refiere a cualquier dispositivo USB que pueda almacenar datos, incluidos, entre otros, unidades flash, discos duros externos, teléfonos inteligentes, tabletas, dispositivos de juegos portátiles, cámaras y reproductores de MP3).

Sin embargo, la portabilidad y la adopción generalizada de dispositivos de almacenamiento USB representan una amenaza de seguridad significativa. Por ejemplo, un empleado podría conectar inadvertidamente un dispositivo infectado a un punto final, lo que puede provocar la propagación de malware a la red de la empresa. Alternativamente, los dispositivos de almacenamiento USB se pueden usar para filtrar información confidencial o instalar aplicaciones no autorizadas, lo que podría generar más problemas de seguridad.

Afortunadamente, Microsoft ha hecho que sea relativamente simple bloquear el uso de dispositivos de almacenamiento USB no autorizados. En este artículo, le mostraremos los pasos exactos para deshabilitar los dispositivos de almacenamiento USB mediante un Objeto de directiva de grupo (GPO).

Nota: Para restringir el acceso a unidades externas con un GPO, debe ejecutar Windows Server 2008 (o posterior); en equipos de escritorio, necesita Windows Vista o más reciente. Las versiones anteriores de Windows y Windows Server necesitarán usar herramientas de terceros para bloquear el acceso a medios externos, que no están cubiertos en este artículo. Todos los servidores deben funcionar como un controlador de dominio y los clientes deben formar parte del mismo dominio de directorio activo para que la política surta efecto.

Aplicar un GPO a una unidad organizativa

1. Abra la Consola de administración de directivas de grupo (gpmc.msc).

2. Haga clic con el botón derecho en la unidad organizativa (OU) a la que desea aplicar la política y haga clic en Crear un GPO en este dominio y enlácelo aquí.

3. Ingrese un nombre para la política (por ejemplo, Bloquear dispositivos USB) y haga clic en Aceptar.

4. En la pestaña Objetos de política de grupo vinculados, haga clic con el botón derecho en la política que creó en el Paso 4 y haga clic en Editar.

5. Navegue a través del árbol de la consola hasta Configuración del equipo> Políticas> Plantillas administrativas> Sistema> Acceso al almacenamiento extraíble.

6. En la sección Acceso al almacenamiento extraíble, encontrará una serie de políticas para una variedad de dispositivos de almacenamiento. Las políticas incluyen:

• CD and DVD: Deny execute access.

• CD and DVD: Deny read access.

• CD and DVD: Deny write access.

• Custom Classes: Deny read access.

• Custom Classes: Deny write access.

• Floppy Drives: Deny execute access.

• Floppy Drives: Deny read access.

• Floppy Drives: Deny write access.

• Removable Disks: Deny execute access.

• Removable Disks: Deny read access.

• Removable Disks: Deny write access.

• All Removable Storage classes: Deny all access.

• All Removable Storage: Allow direct access in remote sessions.

• Tape Drives: Deny execute access.

• Tape Drives: Deny read access.

• Tape Drives: Deny write access.

• WPD Devices: Deny read access.

• WPD Devices: Deny write access.

7. Para denegar el acceso a todos los dispositivos de almacenamiento, haga doble clic en Todas las clases de almacenamiento extraíble: denegue todo acceso, marque Activado y haga clic en Aceptar. Una vez que se habilita esta política, el sistema detectará cuándo se conecta un dispositivo de almacenamiento USB y mostrará un mensaje de error que indica que no se puede acceder a la unidad y se le niega el acceso.

Aplicar un GPO a usuarios específicos

En la sección anterior, bloqueamos el acceso a todos los medios extraíbles para todos los usuarios dentro de la unidad organizativa seleccionada. Sin embargo, a menudo hay situaciones en las que deseará aplicar un GPO solo a un grupo o grupos específicos. Para hacerlo:

1. Abra la Consola de administración de directivas de grupo.

2. En el panel de navegación, busque y seleccione el GPO.

3. Haga clic en la pestaña Delegación.

4. Haz clic en Avanzado.

5. Seleccione Usuarios autenticados.

6. Desplácese hacia abajo hasta el permiso Aplicar directiva de grupo y desactive Permitir.

7. Haga clic en Agregar, ingrese el nombre del grupo al que desea aplicar la política y haga clic en Aceptar.

8. Seleccione el grupo que agregó en el Paso 7, desplácese hacia abajo en la lista de permisos para Aplicar la política de grupo y marque Permitir. El GPO ahora solo se aplicará a los usuarios que están en este grupo.

Eximir a un grupo de un GPO

En otras situaciones, es posible que desee aplicar un GPO a una unidad organizativa pero permitir que ciertos usuarios (como los administradores) puedan acceder a dispositivos de almacenamiento USB. Para hacerlo:

1. Abra la Consola de administración de directivas de grupo.

2. En el panel de navegación, busque y seleccione el GPO.

3. Haga clic en la pestaña Delegación.

4. Haz clic en Avanzado.

5. Haga clic en Agregar, ingrese el nombre del grupo que desea eximir de la política y haga clic en Aceptar.

6. Seleccione el grupo que agregó en el Paso 5, desplácese hacia abajo hasta el permiso Aplicar política de grupo y marque Denegar.

7. Haga clic en Aceptar y luego en Sí si el cuadro de diálogo Seguridad de Windows se lo solicita. El GPO ahora no se aplicará a los usuarios de este grupo.

Enlaces útiles:

• Group Policy API

• Group Policy Objects

• Group Policy Management Console

Conclusión

Restringir el acceso a los dispositivos de almacenamiento USB desempeña un papel importante para reforzar la seguridad de una organización. Las empresas de todos los tamaños pueden usar GPO para administrar el acceso a dispositivos de almacenamiento extraíbles y, en consecuencia, reducir el riesgo de infección de malware, exfiltración de datos y la instalación no autorizada de aplicaciones.