Software

Bloquear acesso ao PC pelas portas USB e Drive Óptica

32 Comentários

Há dias alguém nos enviou um pedido de ajuda para resolver um problema. Segundo entendi a pessoa em causa queria impossibilitar os seus colaboradores de “exporem” as suas máquinas às ameaças que as pens/discos USB carregam assim como material importado pela drive óptica.

Se bem percebi a ideia é bloquear o acesso às portas USB e às drive de CD/DVD.

Claro que ao bloquear as portas USB (de forma radical) deixa de ter disponível o rato via USB e periféricos que usem esta porta de ligação. Caso seja um portátil somente de produção ligado em rede, com monitorização de tráfego, a segurança será aumentada, fechando estes pontos de input. Mas vou aqui deixar os passos para bloquear apenas as portas USB para discos de armazenamento externo (USB Removable Mass Storage) e de seguida deixo uma aplicação para bloquear totalmente as portas USB. Fica depois ao critério de cada um.

Bloquear portas USB

Vamos ter de ir ao registo do Windows. Para isso sugiro antes de mais uma cópia de segurança do registo. Veja aqui como o fazer.

Alteração directa no Registo do Windows

  • Abra o editor do registo, tecla Win+R e escreva o comando regedit
  • Navegue até à chave – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
  • No painel da direita, dê duplo clique no valor Start
  • Altere o valor existente de 3 para 4 desactivando o armazenamento pelas portas USB
  • Para reverter, volte a colocar o valor 3

Alteração indirecta no Registo do Windows

Como há utilizadores que não se sentem particularmente à vontade para mexer no registo do Windows, deixo uns regs que fazem o mesmo que indiquei em cima, mas sem termos de abrir o registo. Descarreguem as entradas de registo que deixo de seguida, descompactem e dêem duplo clique em cima desse ficheiro .REG. As alterações será colocadas no registo com um e com o segundo as alterações serão revogadas.

Download: DisableUSBDrive.reg
Download: EnableUSBDrive.reg

Algumas impressoras também deixarão de funcionar, pois têm módulos de armazenamento USB embutido e utilizam esta porta para se ligarem ao sistema operativo.

Existe depois uma aplicação IntelliAdmin (que é paga), que permite fazer também esta alteração.

Download: : IntelliAdmin USB Drive Disable

Bloquear Drive CD/DVD

Para fechar o acesso à drive óptica do computador, vamos utilizar o CD Protector, Esta aplicação é gratuita e muitos simples de usar. Basicamente iremos colocar uma password de acesso para que seja apenas facilitada a utilização da drive a pessoas com as devidas credenciais.

Uma curiosidade é a forma de mostrar que não deve tentar adivinhar a password, pois se inserir mais de 3 vezes a password errada a máquina simplesmente desliga. Esta aplicação não necessita de instalação, pode por exemplo colocar num CD e correr a mesma a partir do CD.

Esteja atento às opções que lhe são propostas. Certifique-se que remove as opções ejectar CD ou abrir CD, caso contrario um utilizador pode remover o disco da drive e a aplicação deixa de funcionar.

Download: CD Protector

PUB
Autor: Vítor M.
Partilhar:
Tags:

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Artigo anterior

HTC Magic carregado com Malware!
3 novos Labs no Google Calendar
Próximo artigo

3 novos Labs no Google Calendar
PUB

Comentários

32

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Lubarck
    Lubarck

    Muito bom! Chegou-me no momento certo.
    Vitor, parabéns por mais este trabalho!
    (A equipa inteira da pplware está de parabéns!)

    Responder
    1. Avatar de Vítor M.
      Vítor M.

      Obrigado. Acho que ficou bom. Testem e vejam se corre tudo pelo melhor.

      Caso verifiquem qualquer reacção estranha (que não tem razão de ser) digam-me sff.

      Responder
  2. Avatar de Jotamarm
    Jotamarm

    Ou muito me engano ou o leitor de cds dá sempre para abrir. Basta colocar uma agulha ou um clip no boraquinho que está ao lado do botao de eject e fazer alguma força.

    E se ao se retirar o cd o programa deixa de funcionar ficamos com acesso ao leitor de cds outra vez. 🙂

    Responder
    1. Avatar de Vítor M.
      Vítor M.

      Experimenta para ver o que acontece 😉

      Responder
      1. Avatar de d05
        d05

        Proibir o download de ficheiros por extensões.

        Ex: rar , zip , exe

        Era interessante ver um tutorial destes aqui.

        Responder
        1. Avatar de dockme
          dockme

          Isso não é assim tão fácil.

          Responder
        2. Avatar de Filipe
          Filipe

          Ao guardar o ficheiro sempre se pode alterar a extensão.
          Depois do download feito sempre se pode voltar a mudar para a original, por isso não sei até que ponto seria fácil bloquear esse tipo de downloads.

          Cumprimentos

          Responder
          1. Avatar de Filipe
            Filipe

            Deveria ter citado o d05, peço desculpa pelo engano.

  3. Avatar de Nandozs
    Nandozs

    Parabens…irei testar assim que puder 🙂

    Responder
  4. Avatar de Armando
    Armando

    Só vou acrescentar que caso essa aplicação esteja a ser executada num cd dentro da drive óptica em que o utilizador tem acesso a ela, então não terá efeito absolutamente nenhum. Se o objectivo é impedir o uso dessa drive por parte de outra pessoa então, é melhor não usar o programa num cd. Porque se repararem as drives ópticas têm um pequeno furinho nelas. Acontece que se experimentarem meter lá um clipe (por exemplo) e fizerem um pouco de força ela ejecta (uma ejecção manual portanto).
    E mais digo… eu não vejo grande segurança em proteções desse tipo, com uso de software. Todas elas parecem-me ultrapassáveis quando se tem acesso à maquina. O melhor a fazer é bloquear o acesso por completo à maquina, caso contrário tudo é possível.

    Responder
    1. Avatar de Vítor M.
      Vítor M.

      Já agora podem testar isso? 🙂

      Responder
      1. Avatar de Mário
        Mário

        Eu não testei meter o clip no cd rom neste caso especifico, mas se o cd estiver sempre em leitura, o que nao deve de acontecer, ao abrir o cd-rom forçando-o ele vai fazer uns pequenos riscos no cd e provacar um pequeno susto ao utilizador se este não estiver a espera! 😀
        se o cd não estiver a rodar nao se passa nada! o cd-rom abre.
        Mais uma vez refiro que nao sei qual a reacção do windows perante a abertura do cd-rom!

        Responder
    2. Avatar de dockme
      dockme

      Isso é simples. Podes remover a drive óptica ou então desactivar o driver da drive óptica no S.O.

      Responder
      1. Avatar de Pmartins
        Pmartins

        podes sempre desabilitar na BIOS a drive optica, ou mesmo com o acesso ao interior desligar o cabo power ou IDE/SATA

        Responder
  5. Avatar de Ricardo
    Ricardo

    Isto em XP funciona “NIM”. Ou seja, por vezes bloqueia todas as PEN’s, outras vezes só bloqueia as PEN’s novas que lá se insiram, mas as que já estiveram instaladas no PC funciona na mesma. A partir do vista, fica tudo impecável.

    Responder
  6. Avatar de Fellipe
    Fellipe

    É só usar GPO, dá para evitar o acesso ao drive C inclusive. Alias, dá para tirar o acesso a qualquer drive.

    Responder
    1. Avatar de Vítor M.
      Vítor M.

      Sim, podemos simplesmente desactivar a leitura ou mesmo a existência da mesma. Há muitas coisas que se podem fazer.

      Responder
  7. Avatar de Daniel Guerreiro
    Daniel Guerreiro

    Ia exactamente referir o que o Fellipe acabou de dizer, ou seja, em windows 7 (penso que no vista tb) dá para bloquear tudo isto através de GPO, claro está que o GPO não passa de um registry mais friendly.

    De kkl das maneiras refiro tb que por GPO dá para restringir o acesso pelo ID da PEN. Isto é util, prk restringe-se o uso de uma pen especifica, se for o caso.

    Responder
  8. Avatar de a Friend®
    a Friend®

    Espetaculo, muito bom!

    Esta dica resolvia um caso do filme “O Recruta” com Colin Farrel! ehehe… que havia uma brecha na segurança da CIA que uma “Insider” conseguia roubar dados via USB! 😀

    Responder
  9. Avatar de Giga-Byte
    Giga-Byte

    Desculpem o off-topic… mas onde está o nosso Pplware no prémios Blog Award da edição deste ano??? Vasculhei a lista inteira e não o encontro 🙁

    Responder
  10. Avatar de Ricardo
    Ricardo

    Também existe a maneira de “desligar” as drives na BIOS, mas esta solução é muito melhor

    cumps

    Responder
    1. Avatar de Daniel Guerreiro
      Daniel Guerreiro

      Terias de colocar pass na bios, se não não ia servir de mt…

      Responder
  11. Avatar de Jasm
    Jasm

    Outra opção para desactivar drive óptica ou portas USB em ambiente Windows é utilizar o software Steady State, da Microsoft.

    Cumprimentos à equipa pelo excelente trabalho

    Responder
  12. Avatar de Bruno Soares
    Bruno Soares

    Há possibilidade de bloquear apenas uma porta USB em vez de todas?

    Responder
  13. Avatar de Pedro Leitão
    Pedro Leitão

    Nice post!

    Faz-me lembrar (embora não tenha nada a ver) com um post anterior que falava de proteger um pc por pen usb (ou seja, bloqueando-o e desbloqueando-o consoante a inserção da pen). A meu ver estas novas técnicas de protecção de pcs estão a tornar-se cada vez mais uma alternativa viável às infindáveis passwords… A única coisa (de que já ouvi falar, acho que até aqui) que nunca consegui por a funcionar foi o bloqueio por bluetooth, emparelhando um telemóvel com um pc para que este seja desactivado quando sairmos do seu raio de acção…

    Offtopic: ando a usar o Opera 10.50 (fabuloso por sinal) e ele agora, do nada, deu para dizer que tenho que fazer upgrade ao flash sempre que tento ver vídeos do Youtube, algo que não fazia anteriormente. Por muito que eu o faça, ele insiste no erro. No firefox tudo funciona perfeitamente. Acontece a mais alguém?

    Responder
  14. Avatar de Redin
    Redin

    Se estamos preocupados em bloquear o acesso a algumas portas USB e/ou drives de CD/DVD’s, talvez devêssemos começar por criar apenas contas limitadas para utilizadores que não as devam usar e apenas o administrador o possa fazer mediante a activação e/ou desactivação dos mesmos dispositivos através do gestor destes.
    Apenas com propriedades administrativas poderemos no momento em que precisarmos delas, voltar a activa-las e desactivar a seguir.

    Esta mania de criar contas administrativas e continuar a trabalhar com elas vem do efeito “XP” que não nos permitia trabalhar confortavelmente.
    Ainda bem que isso desapareceu com o vista e agora melhorado no 7.

    Responder
  15. Avatar de Bf
    Bf

    Vitor, fui eu que coloquei a questão sobre este tema, realmente as soluções acima apresentadassão optimas, no entanto como naquela altura tinha bastante urgência em bloquear aqueles acessos, adquiri uma aplicaçãocujo o custo não chega a 10 euros, e que tem por nome “M File anti copy 4.3”

    De qualquer modo vou experimentar estas pérolas.

    Obrigado

    Responder
  16. Avatar de Bruno
    Bruno

    Sim é uma aplicação interessante.
    Mas para quem percebe realmente de Informática não é anda de mais.

    Responder
  17. Avatar de Cristiano
    Cristiano

    Fiz um programinha para desabilitar e habilitar novamente, quem quiser pode me enviar um e-mail… esta funcionando blz..

    Responder
  18. Avatar de MAURO
    MAURO

    Bom dia!
    Victor,
    Usei sua orientacao mais nao bloqueou todas as USB’s (ainda bem), so as da frente do PC. As traseiras (2 impressoras e o mouse) continuam funcionando. Tem como eu bloquear uma porta expecifica?

    Responder
  19. Avatar de Daniel
    Daniel

    Tudo dá certo no Windows 7, agora ajudem-me a trancar as portas Usb no Windows 8, por favor…

    Responder
  20. Avatar de telechitobe
    telechitobe

    fiz uma experiencia para trancar as portas do windows 7, so que quando se desliga e liga-se o computador ele aceita qualquer pendrive

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.