Acceso USB a Active Directory desobedeciendo GPO

tag-icon tag-icon active-directory windows-server-2012-r2 usb
Acceso USB a Active Directory desobedeciendo GPO

Soy administrador de una empresa y recientemente creé un Active Directory con computadoras Windows Server 2012 R2 y windows 7 como clientes. Tengo una Política de grupo para todos los usuarios para deshabilitar el almacenamiento USB (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR). Lo hice porque mi jefe me lo pidió. Un chico de la oficina me pidió que desbloqueara el USB de su pc para poder transferir archivos, pero le dije que no podía desobedecer al jefe. Me dijo que conoce una manera de habilitar el puerto USB pero no pudo decirme cuál era. Además, los clientes no pueden acceder a Mi computadora porque tengo otro GPO que no permite que los clientes accedan a sus unidades. Estoy furioso y ansioso por eso (si ese tipo puede habilitar el almacenamiento USB). ¿Existe alguna otra forma en que un cliente pueda acceder a su almacenamiento USB y transferir archivos? Recientemente transferimos sus archivos antiguos a sus PC nuevas. No sé si alguien logró transferir un .exe o algo así. Cualquier consejo sería útil. Gracias

Respuesta1

Bueno, no se preocupe, siempre habrá 'usuarios avanzados' que piensan que pueden pasar por alto lo que implementa TI. Especialmente a petición de los altos funcionarios.

Así que haga su debida diligencia y el hecho de que esté preocupado por ello le resultará muy útil. Bien, aparte del hecho de que va en contra de la política de la empresa (si existe alguna y, por lo general, una acción disciplinaria), hay algunas cosas que puede hacer para asegurar su puesto. Uno de una combinación de los siguientes:

  1. No le permita ser administrador local a menos que sea necesario.
  2. No permitir el acceso a la aplicación Regmon: seguimiento de cambios en el registro
  3. No permita Regedit32 o Regedit en sus máquinas con Windows. Esto sólo debe ser utilizado por administradores de dominio, etc.
  4. Utilice algo como Sophos o similar para desactivar ciertos archivos ejecutables.
  5. Considere restringirlos de alguna manera: desactive el USB de la máquina en la configuración del BIOS
  6. Utilice Sophos o equivalente para permitir que solo se conecten ciertos tipos de hardware.

Esto debería cubrir un poco el aspecto físico, pero no olvides que también tienes la amenaza de Dropbox y equivalentes. Así que lo mejor también es averiguar algunas cosas con el responsable de la formulación de políticas.

  1. ¿Cuál es el propósito de la restricción?
  2. Si alguien va en contra de eso, ¿cuáles son las implicaciones (quién tiene la culpa o quién tiene la culpa)?

Aquí hay un enlace para que pruebes posibles exploits que podría estar usando: https://blogs.technet.microsoft.com/markrussinovich/2005/04/30/circumventing-group-policy-settings/

Espero que ayude.

información relacionada