Ein Nutzen von Richtlinien, die normalerweise nicht verwendet wird und einfach einzurichten ist, Wir könnten die Hardware, mit der Benutzer eine Verbindung zu Computern herstellen, mithilfe eines Active Directory-Gruppenrichtlinienobjekts regulieren, Steuerung z.B. der Verwendung von USB-Geräten.

Lo primero será identificar el ID de hardware que nos interesará permitir, desde la pestaña ‘Detalles’ de cualquier dispositivo veremos sus identificadores.

Crearemos una GPO, en ‘Plantillas administrativas’ > ‘Sistema’ > ‘Instalación de dispositivos’ > ‘Restricciones de instalación de dispositivos’, tendremos diferentes políticas para permitir o impedir la instalación de dispositivos que coincidan con una lista que configuraremos de identificadores.

Neben, podremos configurar unos mensajes personalizados 😉

Con esto deshabilitaremos toda la instalación nueva de dispositivos en los equipos, deberíamos tener en cuenta que si un dispositivo USB ya lo han conectado los usuarios, éste habrá instalado sus drivers y por lo tanto podrá seguir utilizándolo; a menos que se los desinstalemos manualmente o bloqueemos dichos Ids.

Con la entrada de registro ‘Start’ a valor ‘4’ en ‘HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor’ podremos forzar que se utilicen todos los dispositivos USB allá donde la apliquemos. Si tenemos Windows 2000 o XP, podremos quitar los permisos a los ‘Usuarios’ en los ficheros USBSTOR.PNF y USBSTOR.INF.