Em um artigo de alguns anos atrás, demonstrei como bloquear o uso de dispositivos de armazenamento USB usando políticas de grupo para a rede ou dentro de um domínio.

Neste artigo, irei demonstrar como bloquear estes dispositivos em computador local para os usuários do computador e que não sejam administradores do mesmo.

Aqui irei demonstrar dois modos de bloqueio: o primeiro é para dispositivos que já foram utilizados neste computador; o segundo é para bloquear a instalação de qualquer dispositivo de armazenamento USB neste mesmo PC. Então, é necessário executar estes dois procedimentos para um bloqueio total. 

O que será feito a seguir bloqueará ou negará acesso apenas a dispositivos de armazenamento USB. Sendo assim, periféricos como mouse, teclado, entre outros, poderão ser instalados e utilizados normalmente.

Bloqueando o acesso de dispositivos de armazenamento USB

No primeiro procedimento, bloquearemos o uso através do editor de registro do Windows. 

Para isso, iremos digitar regedit, ou editor de registro no campo de pesquisa da barra de tarefas. Aparecerá como primeira opção na pesquisa.

Em seguida executar o “Editor de Registro”  como administrador. Pode clicar na opção da coluna da direita “Executar como administrador” ou com o botão direito do mouse em cima do Editor de Registro, aparecerá a mesma opção.

Com o Editor de Registro aberto, iremos expandir as opções de “HKEY_LOCAL_MACHINE”.

Para fins didáticos, irei demonstrar passo a passo como chegar a este registro para alterar os valores e depois mostro o como colocar o caminho completo deste registro.

A seguir, iremos expandir “SYSTEM”, dentro deste grupo de chaves de registro iremos expandir o subgrupo “CurrentControlSet” e depois expandiremos “Services”. Dentro deste, iremos localizar e clicar no subgrupo “USBSTOR”, que se refere aos registros dos dispositivos de armazenamento USB (“USB STORAGE”).

Dentro deste subgrupo, encontraremos as chaves de registros referente ao “Armazenamento USB”.

Agora que já sabem o caminho completo, ao abrir o “Edtitor de Registro”, na campo que se refere a este local, poderemos colocar direto o caminho após “Computador\” (que já está deve estar neste campo). 

No caso então acrescentaríamos “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR” e em seguida pressionar a tecla <enter>. 

A seguir, dentro de “USBTOR”, na lado direito, iremos localizar o registro “Start” e então daremos um duplo clique em cima dele ou podemos clicar com o botão direito do mouse em cima dele e clicar na primeira opção do menu suspenso que é “Modificar”.

Abrirá a janela para Editar o valor do “Start”. Permanecerá como Hexadecimal e no campo “Dados do valor” iremos alterar o valor que vai estar o número “3” , iremos alterar para o número “4” e em seguida clicaremos no botão “OK”.

Iremos reparar que o registro “Start” estará agora com o valor “4”. Assim bloqueará o dispositivo de armazenamento USB ao conectá-lo.

Agora, iremos fazer o segundo procedimento o qual não permitirá o uso destes dispositivo USB. Lembrando que periféricos USB funcionará normalmente.

Para isso iremos abrir o diretório “Inf” que fica dentro do diretório raiz do Windows, digitando “%SystemRoot%\Inf\” no campo de pesquisas da barra de tarefas conforme demonstrado na imagem logo abaixo e clicar na primeira opção que aparecer para abrir a pasta no Explorer.

Poderemos acessar este caminho também digitando na barra de endereço do “Explorer” ou ainda através da opção “Executar” que pode ser aberta esta opção pressionando as teclas de atalho “Windows + R”

Com este diretório aberto, iremos localizar os arquivos “usbstor”, podendo ir até o arquivo pelo diretório que está aberto no Explorer, ou no campo destinado a pesquisa, podemos digitar “usbstor” que localizará todos os arquivos com este nome. 

Utilizando a opção de pesquisa do “Gerenciador de arquivos (Explorer)” já estando neste diretório localizará dois arquivos com este nome com extensões diferentes. Podemos pesquisar sem estar diretamente dentro deste diretório, mas dependendo do computador e para a pesquisa ser mais rápida, fizemos direto dentro do próprio diretório onde estão localizados estes arquivos.

Iremos clicar com o botão direito do mouse em cima do primeiro arquivo “usbstor.PNF” e em seguida clicaremos em “Propriedades”.

Abrirá a janela “Propriedades” e dentro dela, iremos clicar na guia “Segurança”. Agora iremos clicar no botão “Editar…” para alterarmos as permissões usuários ou grupos de usuários.

Em seguida, iremos selecionar “SISTEMA” dentro de “Nomes de grupo ou de usuários e em “Permissões” na parte debaixo, iremos deixar marcado “Negar” na opção “Controle Total” para todos os usuários que estão no campo acima.

Quando for selecionar outro usuário, para o grupo “SISTEMA” aparecerá a mensagem abaixo, lembrando das alterações de permissões e então clicaremos no botão “Sim”.

Em seguida, aparecerá outra janela de segurança do Windows, lembrando das alterações de permissões na pasta do sistema.

Para os outros usuários também aparecerá a janela conforme a imagem abaixo e clicaremos em Sim para todos os usuários.

Depois clicaremos em “Aplicar e depois em “OK”.

Deveremos fazer este mesmo procedimento de alterações de permissões também para o segundo arquivo “usbstor.inf”. Depois é só reiniciar o PC.

Desta forma, bloqueamos qualquer tipo de acesso, inclusive na instalação de um novo dispositivo de armazenamento USB.

Espero ter ajudado e até a próxima.

Luciano Gusso

Formado em Analise e Desenvolvimento de Sistemas, com MBA em Gestão de Projetos.
Trabalhando há mais de 20 anos na área de TI, prestando suporte técnico e consultoria à empresas e usuários finais.

Fonte: Profissionais de TI