Proponha uma correção, faça uma sugestão
Bloquear acesso ao PC pelas portas USB e Drive Óptica
Há dias alguém nos enviou um pedido de ajuda para resolver um problema. Segundo entendi a pessoa em causa queria impossibilitar os seus colaboradores de "exporem" as suas máquinas às ameaças que as pens/discos USB carregam assim como material importado pela drive óptica.
Se bem percebi a ideia é bloquear o acesso às portas USB e às drive de CD/DVD.
Claro que ao bloquear as portas USB (de forma radical) deixa de ter disponível o rato via USB e periféricos que usem esta porta de ligação. Caso seja um portátil somente de produção ligado em rede, com monitorização de tráfego, a segurança será aumentada, fechando estes pontos de input. Mas vou aqui deixar os passos para bloquear apenas as portas USB para discos de armazenamento externo (USB Removable Mass Storage) e de seguida deixo uma aplicação para bloquear totalmente as portas USB. Fica depois ao critério de cada um.
Bloquear portas USB
Vamos ter de ir ao registo do Windows. Para isso sugiro antes de mais uma cópia de segurança do registo. Veja aqui como o fazer.
Alteração directa no Registo do Windows
- Abra o editor do registo, tecla Win+R e escreva o comando regedit
- Navegue até à chave - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
- No painel da direita, dê duplo clique no valor Start
- Altere o valor existente de 3 para 4 desactivando o armazenamento pelas portas USB
- Para reverter, volte a colocar o valor 3
Alteração indirecta no Registo do Windows
Como há utilizadores que não se sentem particularmente à vontade para mexer no registo do Windows, deixo uns regs que fazem o mesmo que indiquei em cima, mas sem termos de abrir o registo. Descarreguem as entradas de registo que deixo de seguida, descompactem e dêem duplo clique em cima desse ficheiro .REG. As alterações será colocadas no registo com um e com o segundo as alterações serão revogadas.
Download: DisableUSBDrive.reg
Download: EnableUSBDrive.reg
Algumas impressoras também deixarão de funcionar, pois têm módulos de armazenamento USB embutido e utilizam esta porta para se ligarem ao sistema operativo.
Existe depois uma aplicação IntelliAdmin (que é paga), que permite fazer também esta alteração.
Download: : IntelliAdmin USB Drive Disable
Bloquear Drive CD/DVD
Para fechar o acesso à drive óptica do computador, vamos utilizar o CD Protector, Esta aplicação é gratuita e muitos simples de usar. Basicamente iremos colocar uma password de acesso para que seja apenas facilitada a utilização da drive a pessoas com as devidas credenciais.
Uma curiosidade é a forma de mostrar que não deve tentar adivinhar a password, pois se inserir mais de 3 vezes a password errada a máquina simplesmente desliga. Esta aplicação não necessita de instalação, pode por exemplo colocar num CD e correr a mesma a partir do CD.
Esteja atento às opções que lhe são propostas. Certifique-se que remove as opções ejectar CD ou abrir CD, caso contrario um utilizador pode remover o disco da drive e a aplicação deixa de funcionar.
Download: CD Protector
Este artigo tem mais de um ano
Loading ...
Muito bom! Chegou-me no momento certo.
Vitor, parabéns por mais este trabalho!
(A equipa inteira da pplware está de parabéns!)
Obrigado. Acho que ficou bom. Testem e vejam se corre tudo pelo melhor.
Caso verifiquem qualquer reacção estranha (que não tem razão de ser) digam-me sff.
Ou muito me engano ou o leitor de cds dá sempre para abrir. Basta colocar uma agulha ou um clip no boraquinho que está ao lado do botao de eject e fazer alguma força.
E se ao se retirar o cd o programa deixa de funcionar ficamos com acesso ao leitor de cds outra vez. 🙂
Experimenta para ver o que acontece 😉
Proibir o download de ficheiros por extensões.
Ex: rar , zip , exe
Era interessante ver um tutorial destes aqui.
Isso não é assim tão fácil.
Ao guardar o ficheiro sempre se pode alterar a extensão.
Depois do download feito sempre se pode voltar a mudar para a original, por isso não sei até que ponto seria fácil bloquear esse tipo de downloads.
Cumprimentos
Deveria ter citado o d05, peço desculpa pelo engano.
Parabens…irei testar assim que puder 🙂
Só vou acrescentar que caso essa aplicação esteja a ser executada num cd dentro da drive óptica em que o utilizador tem acesso a ela, então não terá efeito absolutamente nenhum. Se o objectivo é impedir o uso dessa drive por parte de outra pessoa então, é melhor não usar o programa num cd. Porque se repararem as drives ópticas têm um pequeno furinho nelas. Acontece que se experimentarem meter lá um clipe (por exemplo) e fizerem um pouco de força ela ejecta (uma ejecção manual portanto).
E mais digo… eu não vejo grande segurança em proteções desse tipo, com uso de software. Todas elas parecem-me ultrapassáveis quando se tem acesso à maquina. O melhor a fazer é bloquear o acesso por completo à maquina, caso contrário tudo é possível.
Já agora podem testar isso? 🙂
Eu não testei meter o clip no cd rom neste caso especifico, mas se o cd estiver sempre em leitura, o que nao deve de acontecer, ao abrir o cd-rom forçando-o ele vai fazer uns pequenos riscos no cd e provacar um pequeno susto ao utilizador se este não estiver a espera! 😀
se o cd não estiver a rodar nao se passa nada! o cd-rom abre.
Mais uma vez refiro que nao sei qual a reacção do windows perante a abertura do cd-rom!
Isso é simples. Podes remover a drive óptica ou então desactivar o driver da drive óptica no S.O.
podes sempre desabilitar na BIOS a drive optica, ou mesmo com o acesso ao interior desligar o cabo power ou IDE/SATA
Isto em XP funciona “NIM”. Ou seja, por vezes bloqueia todas as PEN’s, outras vezes só bloqueia as PEN’s novas que lá se insiram, mas as que já estiveram instaladas no PC funciona na mesma. A partir do vista, fica tudo impecável.
É só usar GPO, dá para evitar o acesso ao drive C inclusive. Alias, dá para tirar o acesso a qualquer drive.
Sim, podemos simplesmente desactivar a leitura ou mesmo a existência da mesma. Há muitas coisas que se podem fazer.
Ia exactamente referir o que o Fellipe acabou de dizer, ou seja, em windows 7 (penso que no vista tb) dá para bloquear tudo isto através de GPO, claro está que o GPO não passa de um registry mais friendly.
De kkl das maneiras refiro tb que por GPO dá para restringir o acesso pelo ID da PEN. Isto é util, prk restringe-se o uso de uma pen especifica, se for o caso.
Espetaculo, muito bom!
Esta dica resolvia um caso do filme “O Recruta” com Colin Farrel! ehehe… que havia uma brecha na segurança da CIA que uma “Insider” conseguia roubar dados via USB! 😀
Desculpem o off-topic… mas onde está o nosso Pplware no prémios Blog Award da edição deste ano??? Vasculhei a lista inteira e não o encontro 🙁
Também existe a maneira de “desligar” as drives na BIOS, mas esta solução é muito melhor
cumps
Terias de colocar pass na bios, se não não ia servir de mt…
Outra opção para desactivar drive óptica ou portas USB em ambiente Windows é utilizar o software Steady State, da Microsoft.
Cumprimentos à equipa pelo excelente trabalho
Há possibilidade de bloquear apenas uma porta USB em vez de todas?
Nice post!
Faz-me lembrar (embora não tenha nada a ver) com um post anterior que falava de proteger um pc por pen usb (ou seja, bloqueando-o e desbloqueando-o consoante a inserção da pen). A meu ver estas novas técnicas de protecção de pcs estão a tornar-se cada vez mais uma alternativa viável às infindáveis passwords… A única coisa (de que já ouvi falar, acho que até aqui) que nunca consegui por a funcionar foi o bloqueio por bluetooth, emparelhando um telemóvel com um pc para que este seja desactivado quando sairmos do seu raio de acção…
Offtopic: ando a usar o Opera 10.50 (fabuloso por sinal) e ele agora, do nada, deu para dizer que tenho que fazer upgrade ao flash sempre que tento ver vídeos do Youtube, algo que não fazia anteriormente. Por muito que eu o faça, ele insiste no erro. No firefox tudo funciona perfeitamente. Acontece a mais alguém?
Se estamos preocupados em bloquear o acesso a algumas portas USB e/ou drives de CD/DVD’s, talvez devêssemos começar por criar apenas contas limitadas para utilizadores que não as devam usar e apenas o administrador o possa fazer mediante a activação e/ou desactivação dos mesmos dispositivos através do gestor destes.
Apenas com propriedades administrativas poderemos no momento em que precisarmos delas, voltar a activa-las e desactivar a seguir.
Esta mania de criar contas administrativas e continuar a trabalhar com elas vem do efeito “XP” que não nos permitia trabalhar confortavelmente.
Ainda bem que isso desapareceu com o vista e agora melhorado no 7.
Vitor, fui eu que coloquei a questão sobre este tema, realmente as soluções acima apresentadassão optimas, no entanto como naquela altura tinha bastante urgência em bloquear aqueles acessos, adquiri uma aplicaçãocujo o custo não chega a 10 euros, e que tem por nome “M File anti copy 4.3”
De qualquer modo vou experimentar estas pérolas.
Obrigado
Sim é uma aplicação interessante.
Mas para quem percebe realmente de Informática não é anda de mais.
Fiz um programinha para desabilitar e habilitar novamente, quem quiser pode me enviar um e-mail… esta funcionando blz..
Bom dia!
Victor,
Usei sua orientacao mais nao bloqueou todas as USB’s (ainda bem), so as da frente do PC. As traseiras (2 impressoras e o mouse) continuam funcionando. Tem como eu bloquear uma porta expecifica?
Tudo dá certo no Windows 7, agora ajudem-me a trancar as portas Usb no Windows 8, por favor…
fiz uma experiencia para trancar as portas do windows 7, so que quando se desliga e liga-se o computador ele aceita qualquer pendrive