quinta-feira, 20 de outubro de 2011

Bloqueio de USB via Script

Pessoal.

Estou publicando um script de bloqueio de USB que foi testado e aprovado em ambiente de produção.

1 - Crie um script CSV com as informações abaixo:

'Script for Block Removibles drivers
'----------------------------------------------

'Option Explicit
Dim WSHShell, objNetwork, objUser, CurrentComputer, strUserName
Dim strGroup

' Initialise Groups with Const
Const libera_usb = "cn=Dispositivo Removivel Liberado"

' Create objects and extract strGroup values
Set WSHShell = WScript.CreateObject("WScript.Shell")
Set objNetwork = CreateObject("WScript.Network")
Set objUser = CreateObject("ADSystemInfo")
Set CurrentComputer = GetObject("LDAP://" & objUser.ComputerName)
strGroup = LCase(CurrentComputer.MemberOf)
strUserName = objNetwork.UserName


' Block Removibles drivers

WshShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Start", 4,"REG_DWORD"

' If logic testing strGroup for the values in Const groups

 If InStr(strGroup, lcase(libera_usb)) Then
    
     WshShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Start", 3,"REG_DWORD"
    
 End If

WScript.Quit


2 - Crie uma police no seu AD com o nome desejado, exemplo "bloqueio de USB".

Adicione o script no caminho: "configurações do computador/ configurações do Windows/ Scripts inicialização/encerramento"

* Veja que essa pólice é aplicada por conta de máquina. Também pode ser criado um script por conta de usuários, isso vai depender da sua necessidade. Nesse ambiente de exemplo usaremos por conta de máquina.

** Essa police pode ser criada na raiz do domínio, assim ela será replicada para todas as estações.

3 - Crie um novo grupo de segurança chamado "Dispositivo Removivel Liberado". Adicione a esse grupo as contas de máquinas que não deverão ser bloqueada a USB.

4 - Reinicie as estações.

Maicon C. K. Santos
Microsoft Certified Professional

Nenhum comentário:

Postar um comentário