Bloqueando Dispositivos USB Via GPO – Windows 2008 Server

Há diversas formas de aplicar a politica de bloqueio das portas USB via GPO, mas vou postar aqui a que achei mais forte e simples em relação ao bloqueio e desbloqueio.

Primeiramente, faremos a criação de uma nova GPO, sem vincular a nenhuma OU no domínio.

Abra a console do Group Policy Management, através do Menu Iniciar, Administrative Tools, Group Policy Management:

Após abrir a console, clique com o botão direito em Group Policy Objects, New:

Agora dê um nome a GPO, e clique em OK:

Agora localize a GPO criada, clique com o botão direito sobre ela, e escolha a opção Edit:

Navegue até o caminho abaixo apontado, e em seguida efetuaremos o bloqueio da leitura de dispositivos USB:

No meu exemplo, efetuei o bloqueio de unidades de CD e DVD e de todos os tipos de unidades de armazenamento, mas vale lembrar que nenhum dispositivo como mouse, teclado, que não tenha “Storage” será boqueado.

Deixe as opções desejadas no modo “Enable”, e assim a politica será aplicada.

Nesse momento, será necessário vincular essa GPO a uma OU que contenha os objetos usuários, pois definimos a política em “User Configuration”. Para isso, escolha a OU que contem seus objetos usuários, clique com o botão direito, e clique em “Link na Existing GPO..”

Escolha a politica que acabou de criar, e clique em OK:

Com isso, poderá notar que a GPO já está vinculada à OU desejada, e todos os usuários contidos nela receberão a nova regra:

Removendo o Bloqueio de Midias no USB

Após aplicar a diretiva, surge então a duvida: Todos os usuários que foram afetados estão com acesso negado nos computadores em que fizeram logon, mesmo após remover o vínculo da GPO e efetuar o comando gpupdate /force.
Isso acontece pois a GPO modifica algumas chaves do registro, que impedem o acesso aos dispositivos.
Para isso, é necessário modificar essas chaves manualmente, ou aplicando uma política igual à que criamos, mas que faça o desbloqueio de tudo que fizemos anteriormente.

Para isso, repita o procedimento de criação de uma nova GPO, mas ao invés de ativar o bloqueio faremos a desativação.

Depois de concluir a criação da nova GPO, vincule a mesma (mesmo procedimento da etapa de bloqueio) a uma Unidade Organizacional que deseja utilizar para remover o bloqueio dos usuários nos computadores afetados pela GPO, e solicite ao usuário que faça logon/logoff da estação para que a remoção seja efetuada.

Vale lembrar que, após mover o usuário para qualquer Unidade Organizacional sem o bloqueio, ele poderá logar em qualquer outro que o bloqueio não estará mais aplicado, mas se não fizer o procedimento de remoção, o computador afetado ficará sempre com o bloqueio.