Nell’ambiente di lavoro tutti gli utenti possiedono ed utilizza almeno un dispositivo di archiviazione USB, come ad esempio una chiavetta USB, una unità flash, dischi rigidi esterni USB, smartphone, tablet, dispositivi di gioco portatili, fotocamere e lettori MP3.

Tuttavia, la portabilità e l’adozione diffusa di dispositivi di archiviazione USB possono rappresentare una significativa minaccia alla sicurezza. Ad esempio, un dipendente potrebbe connettere inavvertitamente un dispositivo infetto ad un endpoint, che potrebbe poi causare la diffusione di malware alla rete aziendale.

In alternativa, i dispositivi di archiviazione USB possono essere utilizzati per fare exfiltration di informazioni sensibili o installare applicazioni non autorizzate, cosa che potrebbe comportare ulteriori problemi di sicurezza.

Fortunatamente è possibile gratuitamente e tramite le GPO bloccare l’uso di dispositivi di archiviazione USB non autorizzati.

In questo articolo, andremo ad evidenziare i passaggi esatti per disabilitare i dispositivi di archiviazione USB tramite una impostazione e configurazione tramite i Criteri di gruppo (GPO).

nello snap-in Group Policy Management Editor, selezionare Computer Configuration\Policies\Administrative Templates\System\Removable Storage Access come mostrato nell’immagine sovrastante.

Di seguito le impostazioni configurabili con le relative descrizioni:

CD and DVD: Deny execute access – Questa impostazione di criterio nega l’accesso in esecuzione alla classe di archiviazione rimovibile CD e DVD.
Se abiliti questa impostazione di criterio, l’accesso in esecuzione verrà negato a questa classe di archiviazione rimovibile.
Se disabiliti o non configuri questa impostazione di criterio, l’accesso in esecuzione sarà consentito a questa classe di archiviazione rimovibile.

CD and DVD: Deny read access – Questa impostazione di criterio nega l’accesso in lettura alla classe di archiviazione rimovibile CD e DVD.
Se abiliti questa impostazione di criterio, l’accesso in lettura verrà negato a questa classe di archiviazione rimovibile.
Se disabiliti o non configuri questa impostazione di criterio, l’accesso in lettura sarà consentito a questa classe di archiviazione rimovibile.

CD and DVD: Deny write access – Questa impostazione di criterio nega l’accesso in scrittura alla classe di archiviazione rimovibile CD e DVD.
Se abiliti questa impostazione di criterio, l’accesso in scrittura verrà negato a questa classe di archiviazione rimovibile.
Se disabiliti o non configuri questa impostazione di criterio, l’accesso in scrittura sarà consentito a questa classe di archiviazione rimovibile.

Custom Classes: Deny read access – Questa impostazione di criterio nega l’accesso in lettura alle classi di archiviazione rimovibili personalizzate.
Se abiliti questa impostazione di criterio, l’accesso in lettura verrà negato a queste classi di archiviazione rimovibili.
Se disabiliti o non configuri questa impostazione di criterio, l’accesso in lettura sarà consentito a queste classi di archiviazione rimovibili.

Custom Classes: Deny write access – Questa impostazione di criterio nega l’accesso in scrittura alle classi di archiviazione rimovibili personalizzate.
Se abiliti questa impostazione di criterio, l’accesso in scrittura verrà negato a queste classi di archiviazione rimovibili.
Se disabiliti o non configuri questa impostazione di criterio, l’accesso in scrittura sarà consentito a queste classi di archiviazione rimovibili.

Floppy Drives: Deny execute access – Questa impostazione di criterio nega l’accesso in esecuzione alla classe di archiviazione rimovibile delle unità floppy, incluse le unità floppy USB.
Se abiliti questa impostazione di criterio, l’accesso in esecuzione verrà negato a questa classe di archiviazione rimovibile.
Se disabiliti o non configuri questa impostazione di criterio, l’accesso in esecuzione sarà consentito a questa classe di archiviazione rimovibile.

Floppy Drives: Deny read access – Questa impostazione di criteri nega l’accesso in lettura alla classe di archiviazione rimovibile delle unità floppy, incluse le unità floppy USB.
Se abiliti questa impostazione di criterio, l’accesso in lettura verrà negato a questa classe di archiviazione rimovibile.
Se disabiliti o non configuri questa impostazione di criterio, l’accesso in lettura sarà consentito a questa classe di archiviazione rimovibile.

Floppy Drives: Deny write access – Questa impostazione di criteri nega l’accesso in scrittura alla classe di archiviazione rimovibile delle unità floppy, incluse le unità floppy USB.
Se abiliti questa impostazione di criterio, l’accesso in scrittura verrà negato a questa classe di archiviazione rimovibile.
Se disabiliti o non configuri questa impostazione di criterio, l’accesso in scrittura sarà consentito a questa classe di archiviazione rimovibile.

Removable Disks: Deny execute access – Questa impostazione di criterio nega l’accesso in esecuzione ai dischi rimovibili.
Se abiliti questa impostazione di criterio, l’accesso in esecuzione verrà negato a questa classe di archiviazione rimovibile.
Se disabiliti o non configuri questa impostazione di criterio, l’accesso in esecuzione sarà consentito a questa classe di archiviazione rimovibile.

Removable Disks: Deny read access – Questa impostazione di criterio nega l’accesso in lettura ai dischi rimovibili.
Se abiliti questa impostazione di criterio, l’accesso in lettura verrà negato a questa classe di archiviazione rimovibile.
Se disabiliti o non configuri questa impostazione di criterio, l’accesso in lettura sarà consentito a questa classe di archiviazione rimovibile.

Removable Disks: Deny write access – Questa impostazione di criterio nega l’accesso in scrittura ai dischi rimovibili.
Se abiliti questa impostazione di criterio, l’accesso in scrittura verrà negato a questa classe di archiviazione rimovibile.
Se disabiliti o non configuri questa impostazione di criterio, l’accesso in scrittura sarà consentito a questa classe di archiviazione rimovibile.
NOTA BENE: per richiedere agli utenti di scrivere dati nell’archivio protetto da BitLocker, abilitare l’impostazione del criterio “Nega accesso in scrittura a unità non protette da BitLocker”, che si trova in “Configurazione computer\Modelli amministrativi\Componenti di Windows\Crittografia unità BitLocker\Dati rimovibili Guida.”

All Removable Storage classes: Deny all access – Configurare l’accesso a tutte le classi di archiviazione rimovibili.
Questa impostazione dei criteri ha la precedenza su qualsiasi impostazione dei singoli criteri di archiviazione rimovibile. Per gestire le singole classi, utilizza le impostazioni dei criteri disponibili per ciascuna classe.
Se abiliti questa impostazione di criterio, non sarà consentito l’accesso ad alcuna classe di archiviazione rimovibile.
Se disabiliti o non configuri questa impostazione di criterio, gli accessi in scrittura e lettura saranno consentiti a tutte le classi di archiviazione rimovibili.

All Removable Storage: Allow direct access in remote sessions – Questa impostazione di criterio concede agli utenti normali l’accesso diretto ai dispositivi di archiviazione rimovibili nelle sessioni remote.
Se abiliti questa impostazione di criterio, gli utenti remoti possono aprire handle diretti a dispositivi di archiviazione rimovibili in sessioni remote.
Se disabiliti o non configuri questa impostazione di criterio, gli utenti remoti non potranno aprire handle diretti a dispositivi di archiviazione rimovibili nelle sessioni remote.

Tape Drives: Deny execute access – Questa impostazione di criterio nega l’accesso in esecuzione alla classe di archiviazione rimovibile dell’unità nastro.
Se abiliti questa impostazione di criterio, l’accesso in esecuzione verrà negato a questa classe di archiviazione rimovibile.
Se disabiliti o non configuri questa impostazione di criterio, l’accesso in esecuzione sarà consentito a questa classe di archiviazione rimovibile.

Tape Drives: Deny read access – Questa impostazione di criterio nega l’accesso in lettura alla classe di archiviazione rimovibile dell’unità nastro.
Se abiliti questa impostazione di criterio, l’accesso in lettura verrà negato a questa classe di archiviazione rimovibile.
Se disabiliti o non configuri questa impostazione di criterio, l’accesso in lettura sarà consentito a questa classe di archiviazione rimovibile.

Tape Drives: Deny write access – Questa impostazione di criterio nega l’accesso in scrittura alla classe di archiviazione rimovibile dell’unità nastro.
Se abiliti questa impostazione di criterio, l’accesso in scrittura verrà negato a questa classe di archiviazione rimovibile.
Se disabiliti o non configuri questa impostazione di criterio, l’accesso in scrittura sarà consentito a questa classe di archiviazione rimovibile.

WPD Devices: Deny read access – Questa impostazione di criterio nega l’accesso in lettura ai dischi rimovibili, che possono includere lettori multimediali, telefoni cellulari, display ausiliari e dispositivi CE.
Se abiliti questa impostazione di criterio, l’accesso in lettura verrà negato a questa classe di archiviazione rimovibile.
Se disabiliti o non configuri questa impostazione di criterio, l’accesso in lettura sarà consentito a questa classe di archiviazione rimovibile.

WPD Devices: Deny write access – Questa impostazione di criterio nega l’accesso in scrittura ai dischi rimovibili, che possono includere lettori multimediali, telefoni cellulari, display ausiliari e dispositivi CE.
Se abiliti questa impostazione di criterio, l’accesso in scrittura verrà negato a questa classe di archiviazione rimovibile.
Se disabiliti o non configuri questa impostazione di criterio, l’accesso in scrittura sarà consentito a questa classe di archiviazione rimovibile.

Per bloccare tutti i devices USB Storage basta abilitare la policy All Removable Storage classes: Deny all access

Abilitare la policy quindi cliccare OK come mostrato nell’immagine sovrastante

A questo punto linkare la policy alla OU dove sono contenuti i PC su cui vogliamo bloccare l’utilizzo degli Storage USB

TEST DI CONNESSIONE USB STORAGE

Riavviare il PC per applicare le policy oppure eseguire il comando

Collegare la chiavetta USB

Come mostrato nell’immagine sovrastante dovremmo visualizzare il dispostivo USB collegato

Provare a fare doppio click sull’unità per aprirla e se è tutto funzionate dovremmo visualizzare il messaggio mostrato nell’immagine sovrastante. E quindi : Impossibile accedere a. Accesso Negato

Per essere sicuri che la GPO che blocca le USB funziona provare ad aprire il dispositivo USB da Gestione Disco.

Dovremmo visualizzare una schermata come quella sovrastante dove è presente il dispositivo rimovibile

Aprire l’unità rimovibile. Se è tutto corretto dovremmo visualizzare il messaggio mostrato nell’immagine sovrastante. E quindi : Impossibile accedere a. Accesso Negato