Em um artigo de alguns anos atrás, demonstrei como bloquear dispositivo USB de armazenamento no Windows usando políticas de grupo para a rede ou dentro de um domínio. Saiba como fazer com GPO clicando aqui.
Neste artigo, irei demonstrar como bloquear acesso a dispositivos USB em computador local para os usuários do computador que não sejam administradores do mesmo.
Irei demonstrar dois modos de bloqueio: o primeiro é para dispositivos que já foram utilizados neste computador; o segundo é para bloquear a instalação de qualquer dispositivo de armazenamento USB neste mesmo PC. Então, é necessário executar estes dois procedimentos para um bloqueio total.
O que será feito a seguir bloqueará ou negará acesso apenas a dispositivos de armazenamento USB. Sendo assim, periféricos como mouse, teclado, entre outros, poderão ser instalados e utilizados normalmente.
Como bloquear através do regedit
No primeiro procedimento, bloquearemos o uso através do editor de registro do Windows.
Para isso, iremos digitar regedit, ou editor de registro no campo de pesquisa da barra de tarefas. Aparecerá como primeira opção na pesquisa.
Em seguida executar o “Editor de Registro” como administrador. Pode clicar na opção da coluna da direita “Executar como administrador” ou com o botão direito do mouse em cima do Editor de Registro, aparecerá a mesma opção.
Com o Editor de Registro aberto, iremos expandir as opções de “HKEY_LOCAL_MACHINE”.
Para fins didáticos, irei demonstrar passo a passo como chegar a este registro para alterar os valores e depois mostro o como colocar o caminho completo deste registro.
A seguir, iremos expandir “SYSTEM”, dentro deste grupo de chaves de registro iremos expandir o subgrupo “CurrentControlSet” e depois expandiremos “Services”. Dentro deste, iremos localizar e clicar no subgrupo “USBSTOR”, que se refere aos registros dos dispositivos de armazenamento USB (“USB STORAGE”).
Dentro deste subgrupo, encontraremos as chaves de registros referente ao “Armazenamento USB”.
Agora que já sabem o caminho completo, ao abrir o “Edtitor de Registro”, na campo que se refere a este local, poderemos colocar direto o caminho após “Computador\” (que já está deve estar neste campo).
No caso então acrescentaríamos “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR” e em seguida pressionar a tecla <enter>.
A seguir, dentro de “USBTOR”, na lado direito, iremos localizar o registro “Start” e então daremos um duplo clique em cima dele ou podemos clicar com o botão direito do mouse em cima dele e clicar na primeira opção do menu suspenso que é “Modificar”.
Abrirá a janela para Editar o valor do “Start”. Permanecerá como Hexadecimal e no campo “Dados do valor” iremos alterar o valor que vai estar o número “3” , iremos alterar para o número “4” e em seguida clicaremos no botão “OK”.
Iremos reparar que o registro “Start” estará agora com o valor “4”. Assim bloqueará o dispositivo de armazenamento USB ao conectá-lo.
Como bloquear o acesso a dispositivos através do usbstor
Agora, iremos fazer o segundo procedimento o qual vai bloquear dispositivo USB de armazenamento no Windows. Lembrando que periféricos USB funcionarão normalmente.
Para isso iremos abrir o diretório “Inf” que fica dentro do diretório raiz do Windows, digitando “%SystemRoot%\Inf\” no campo de pesquisas da barra de tarefas conforme demonstrado na imagem logo abaixo e clicar na primeira opção que aparecer para abrir a pasta no Explorer.
Poderemos acessar este caminho também digitando na barra de endereço do “Explorer” ou ainda através da opção “Executar” que pode ser aberta esta opção pressionando as teclas de atalho “Windows + R”
Com este diretório aberto, iremos localizar os arquivos “usbstor”, podendo ir até o arquivo pelo diretório que está aberto no Explorer, ou no campo destinado a pesquisa, podemos digitar “usbstor” que localizará todos os arquivos com este nome.
Utilizando a opção de pesquisa do “Gerenciador de arquivos (Explorer)” já estando neste diretório localizará dois arquivos com este nome com extensões diferentes. Podemos pesquisar sem estar diretamente dentro deste diretório, mas dependendo do computador e para a pesquisa ser mais rápida, fizemos direto dentro do próprio diretório onde estão localizados estes arquivos.
Iremos clicar com o botão direito do mouse em cima do primeiro arquivo “usbstor.PNF” e em seguida clicaremos em “Propriedades”.
Abrirá a janela “Propriedades” e dentro dela, iremos clicar na guia “Segurança”. Agora iremos clicar no botão “Editar…” para alterarmos as permissões usuários ou grupos de usuários.
Em seguida, iremos selecionar “SISTEMA” dentro de “Nomes de grupo ou de usuários e em “Permissões” na parte debaixo, iremos deixar marcado “Negar” na opção “Controle Total” para todos os usuários que estão no campo acima.
Quando for selecionar outro usuário, para o grupo “SISTEMA” aparecerá a mensagem abaixo, lembrando das alterações de permissões e então clicaremos no botão “Sim”.
Em seguida, aparecerá outra janela de segurança do Windows, lembrando das alterações de permissões na pasta do sistema.
Para os outros usuários também aparecerá a janela conforme a imagem abaixo e clicaremos em Sim para todos os usuários.
Depois clicaremos em “Aplicar e depois em “OK”.
Deveremos fazer este mesmo procedimento de alterações de permissões também para o segundo arquivo “usbstor.inf”. Depois é só reiniciar o PC.
Desta forma, bloqueamos qualquer tipo de acesso, inclusive na instalação de um novo dispositivo de armazenamento USB.
3 Comentários
Muito interessante este artigo. Porém fiquei com uma dúvida, caso eu necessite fazer backup pelo cmd ou utilizando um pen drive bootavel, como já explicou em outros artigos, ou mesmo reinstalar o sistema, é possível fazer isso com a unidade usb bloqueada? e caso seja possível como evitar que alguém recupere meus dados usando um pen drive bootavel?
Parabéns pelos artigos!
grato!
Opa Genilton!
Tem algunmas situações em levar consideração: Se alguém tentar fazer o boot no seu computador, através da BIOS você pode desativar a opção de boot pelo pendrive e para não conseguirem ativáa-lo, você pode colocar uma senha administrativa para acessar a BIOS, outra situação para ser feita, é criptografar os dados do HD para que se se retirarem o HD do seu PC para acessarem os dados, vai precisar daquela senha gerada ao fazer a criptografia para poder fazer o acesso.
Em breve, farei um artigo explicando os passos para resolver esta situação.
OK Luciano. Obrigado!