Como Aplicar uma GPO para Bloquear o Acesso USB no Windows

Bloquear o uso de dispositivos USB pode ser uma medida essencial para aumentar a segurança da informação em ambientes corporativos. O uso de dispositivos removíveis representa um vetor comum para vazamento de dados, malwares e outras ameaças. Neste artigo, vamos mostrar como aplicar uma GPO (Group Policy Object) no Active Directory para restringir o uso de portas USB em estações de trabalho com Windows.

✅ Pré-requisitos

  • Ter permissões administrativas no Active Directory.
  • Ter acesso ao Group Policy Management Console (GPMC).
  • Os computadores devem estar unidos ao domínio.

Passo a Passo para Bloquear USB via GPO

1. Abrir o Gerenciador de Diretiva de Grupo

No servidor com o GPMC instalado:

  1. Pressione Win + R, digite gpmc.msc e pressione Enter.
  2. No painel esquerdo, expanda sua floresta e domínio.
  3. Clique com o botão direito em Group Policy Objects e selecione New.
  4. Nomeie a GPO, por exemplo: Bloqueio_USB.

2. Editar a GPO

  1. Clique com o botão direito na GPO recém-criada e selecione Edit.
  2. Navegue até:

Configuração do Computador > Políticas > Modelos Administrativos > Sistema > Acesso de Armazenamento Removível

  1. Edite as seguintes configurações:
PolíticaConfiguração
Todas as classes de armazenamento removível: negar acesso a todosHabilitado

⚠️ Opcionalmente, você pode habilitar políticas mais específicas como:

  • Dispositivos de armazenamento removível: negar leitura
  • Dispositivos de armazenamento removível: negar gravação

3. Vincular a GPO à OU desejada

  1. No GPMC, localize a OU (Unidade Organizacional) onde estão os computadores que devem ser afetados.
  2. Clique com o botão direito na OU e selecione Link an Existing GPO.
  3. Selecione a GPO criada (Bloqueio_USB) e clique em OK.

4. Forçar a atualização da política (opcional)

Nos computadores de destino, você pode forçar a aplicação da GPO com o comando:

gpupdate /force

Ou aguardar o ciclo automático de atualização de políticas.

🔍 Verificando se a GPO foi aplicada

  1. No computador cliente, abra o Prompt de Comando e execute:

gpresult /h resultado.html

2. Abra o arquivo resultado.html gerado e verifique se a GPO Bloqueio_USB está sendo aplicada.

🧩 Considerações Adicionais

  • Essa GPO bloqueia apenas o armazenamento USB, não desativa dispositivos como teclado, mouse, webcam ou impressora USB.
  • Para bloqueio total de dispositivos USB, é necessário desativar os drivers via GPO, o que pode causar problemas com periféricos essenciais.
  • Em alguns cenários, pode ser mais interessante usar uma solução de DLP (Data Loss Prevention) com controle granular.

✅ Conclusão

O uso de GPOs para bloquear dispositivos USB é uma prática comum de segurança em redes corporativas. É uma medida simples de ser implementada, mas extremamente eficaz na proteção contra vazamentos e malwares. Sempre teste em ambientes controlados antes de aplicar em larga escala.

Se precisar de ajuda para aplicar essa política em um cenário mais específico, posso te ajudar com isso também!

Post Views: 78