Denegar permisos de lectura /escritura en dispositivos de almacenamiento extraíbles, tales como pinchos USB, memorias SSD, etc, puede ser algo más que interesante en redes corporativas o en equipos compartidos por muchos y muy diversos motivos como pueden ser prevenir el robo de datos o prevenir la propagación de malware a través de este tipo de dispositivos. En este artículo describiremos una política de grupo que sirve precisamente para conseguir este propósito.

 


A través de políticas de grupo.

Este método solo lo podremos llevar a cabo si disponemos de la versión “Professional” o superior de Windows 7 para iniciar esta herramienta deberemos teclear "gpedit.msc” en inicio > buscar y a continuación presionar la tecla Intro. La política que buscamos está ubicada en:

Configuración de Equipo > Plantillas administrativas > Sistema > Acceso de almacenamiento extraible.

Las directivas responsables de denegar el acceso de lectura y el acceso de escritura a los dispositivos extraíbles son:

Discos extraíbles. Denegar acceso de lectura

Discos extraíbles. Denegar acceso de escritura.

dispositivos extraibles

La primera directiva imposibilita que podamos leer el contenido de cualquier unidad USB. Si habilitamos la segunda directiva podremos leer el contenido de los dispostivos de almacenamiento extraíbles (USB, SSD) pero no podremos escribir nada en el sistema.

Mediante el registro de Windows

Este método es funcional en todas las versiones de Windows y es el único disponible si disponemos de la versión Home Premium de Windows Vista o Windows 7, ya que no dispondremos de la herramienta gpedit.msc. Para iniciar el editor del registro, tendremos que teclear “[B]regedit” en inicio > busca[/B]r y presionar la tecla intro a continuación.

En el registro de Windows navegaremos hasta la rama

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices

Deberemos crear la carpeta RemovableStorageDevices (Edición/ Nueva > Clave) en caso de que no verla lista en el panel de la izquierda.

Nos posicionamos en la carpeta RemovableStorageDevices , hacemos clic con el botón derecho y en el menú contextual seleccionamos Nuevo > Clave y continuación teclearemos el valor {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}

regeditusb

Para denegar el acceso de lectura en unidades de almacenamiento extraibles tendremos que crear un nuevo valor DWORD (Edición / Nuevo) y denominarlo deny_read si le damos valor 1 denegaremos el acceso de lectura este tipo de unidades si le damos valor 0 (cero) o eliminamos dicha clave permitiremos nuevamente el acceso de lectura.

Para denegar el acceso de escritura en unidades de almacenamiento extraible tendremos que crear un nuevo valor DWORD (edición/nuevo) y denominarlo deny_write si le damos valor 1 denegaremos el acceso de escritura en este tipo de unidades y si le damos valor 0 (cero) o eliminamos dicha clave volveremos a permitir el acceso de escritura.

Finalmente os dejamos en nuestro repositorio, los archivo DenyReadUSB y DenyWriteUSB que harán los cambios en el registro de forma automática. El primero de ellos es para denegar el acceso de lectura y el segundo de ellos para denegar el acceso de escritura

Árticulos relacionados.

Como evitar que copien datos de nuestro PC en memorias USB