Dimarts, febrer 10, 2026

El dia a dia d'un administrador de sistemes

MICROSOFT

Configurar GPO per bloquejar USB a Windows

Rafael Quintero

Bloquejar l’accés a dispositius USB amb GPO és una d’aquestes tasques que, a simple vista, sembla senzilla: un parell de polítiques a l’Editor de directives de grup i assumpte resolt. Però qualsevol que l’hagi implementat en entorns reals sap que, quan comences a barrejar controladors, permisos heretats, exclusions per a determinats equips o usuaris, i una infraestructura que ha crescut sense una política clara des del principi, apareixen les sorpreses.

Començar per lo bàsic: què volem bloquejar exactament

Abans d’obrir l’editor de GPO, convé tenir clar quin tipus de bloqueig es vol implementar:

  • Bloqueig total de tots els dispositius d’emmagatzematge USB?
  • Permetre càrrega de mòbils però no transferència de dades?
  • Permetre ratolins, teclats i altres dispositius HID però bloquejar només emmagatzematge?
  • Exclusions per a grups o equips concrets?

L’error més comú en aquest punt és aplicar una política general sense tenir clar l’impacte real. De vegades es copia una GPO d’un altre entorn sense revisar els GUIDs, les excepcions, o sense entendre com funciona la jerarquia de dispositius a Windows. Resultat: ratolins USB que deixen de funcionar, impressores bloquejades, o usuaris clau sense accés al teclat en l’ arrencada.

On aplicar la GPO i a qui: l’herència importa més del que sembla

Un altre punt que sovint genera problemes és on es vincula la GPO. Alguns l’apliquen directament al nivell arrel del domini per comoditat, sense filtrar per grup de seguretat o per OU. Si l’objectiu és bloquejar USB només en els equips d’oficina, no té sentit aplicar la GPO a tot el domini i després començar a crear excepcions arreu.

Lo recomanable, i que funciona de forma consistent, és:

  • Crear una OU específica per a equips on es vulgui aplicar el bloqueig.
  • Moure-hi els comptes d’equip objectiu (no els d’usuari).
  • Aplicar la GPO a nivell d’ aquesta OU.
  • Filtrar, si cal, per grup de seguretat per refinar l’ aplicació.

Evitar vincular aquesta GPO a nivell d’usuari és millor, tret de que l’objectiu sigui condicionar l’ús de l’USB segons qui inicia sessió. Però fins i tot en aquest cas, hi ha matisos, perquè els controladors i els permisos sobre dispositius són per equip, no per sessió.

Configuració recomanada a la GPO: valors clau

Una configuració que dona bons resultats inclou els següents ajustos, tots dins de l’ Editor de directiva de grup, a:

Configuració de l’equip > Plantilles administratives > Sistema > Instal·lació de dispositius > Restriccions d’instal·lació de dispositius

  • Prevenir la instal·lació de dispositius que coincideixin amb qualsevol d’aquestes ID d’instància de dispositiu. Activat. Aquí pots afegir les ID dels dispositius d’emmagatzematge USB que vulguis bloquejar de forma selectiva. Això és útil si vols deixar alguns models permesos.
    Inconvenient: mantenir aquesta llista pot ser un infern si el parc és molt heterogeni.
  • Prevenir la instal·lació de dispositius que coincideixin amb qualsevol d’aquestes classes de dispositiu. Activat. Per a bloquejar dispositius d’ emmagatzematge massiu USB, es pot usar el GUID:{ 36FC9E60-C465-11CF-8056-444553540000}
  • Impedir la instal·lació de dispositius no descrits per altres configuracions de directiva. Activat. Aquesta opció és la que tanca la porta a qualsevol dispositiu nou no específicament permès. Convé provar bé abans d’activar-la, perquè si oblides permetre alguna cosa essencial, pots quedar-te sense xarxa, sense teclat, o sense monitor.
  • Permetre la instal·lació de dispositius que coincideixin amb qualsevol d’aquestes ID d’instància de dispositiu / classes de dispositiu. Activat. Aquí inclous explícitament el que vols permetre, per exemple dispositius HID, lectors de targetes, etc. Però igual que abans: mantenir aquesta llista pot escalar malament si no ho fas amb cura.
  • Totes aquestes opcions també tenen els seus equivalents a “Usuari”. En general, evita usar-les tret que tinguis una justificació clara. La política d’instal·lació de dispositius funciona millor quan s’aplica per equip.

Control granular: dispositius d’ emmagatzematge només

Si el que busques és bloquejar específicament l’ accés a unitats d’ emmagatzematge USB, sense afectar ratolins, teclats, càmeres o altres dispositius, una altra via més directa és:

Configuració de l’ equip > Plantilles administratives > Sistema > Accés d’ emmagatzematge extraïble

I aquí:

  • Totes les classes: Denegar accés a tots els dispositius d’ emmagatzematge extraïbles. Activat. Aquest valor bloqueja l’accés a qualsevol emmagatzematge extraïble, no la instal·lació del driver. És a dir, si el dispositiu ja està instal·lat, no s’hi podrà accedir, però sí carregar.

Això té un avantatge pràctic: pots fer-lo servir per bloquejar l’accés a dades en mitjans USB, però permetre la càrrega de mòbils o l’ús de dispositius USB no relacionats amb emmagatzematge. També t’evita haver de gestionar llistes d’ID o GUIDs. És menys flexible, però més predictible.

Advertència: si tens BitLocker configurat amb auto-desbloqueig des d’USB, aquesta opció te’l trencarà. El mateix amb llicències protegides amb dongles USB.

No oblidis els dispositius ja connectats

Una de les coses que més frustració genera quan es desplega aquesta política en producció és que els dispositius ja instal·lats continuen funcionant. Això és completament esperable, però molta gent no ho té present al principi.

Si un usuari ja ha connectat una memòria USB abans que la política entri en vigor, i aquesta es va instal·lar correctament, aquesta política no el bloqueja automàticament. Per evitar això:

  • Neteja els controladors instal·lats amb scripts de PowerShell o manualment.
  • Fes servir polítiques que bloquegin l’accés (no només la instal·lació).
  • Avalua l’ús d’AppLocker o WDAC si necessites control més fi (tot i que això és un altre món).

Exclusions: quan i com permetre excepcions

Una pràctica que es converteix en una trampa si no es gestiona bé és la de permetre excepcions “puntuals” per a determinats usuaris o equips. En teoria és senzill: es crea un grup de seguretat, s’exclou de la GPO o es crea una política inversa amb permisos filtrats.

El problema és que, amb el temps, aquest grup acaba ple d’excepcions mal documentades, la GPO es torna menys predictible i les auditories són més complexes.

El que funciona millor és:

  • Tenir una GPO base que bloqueja tot.
  • Crear una segona GPO que permet dispositius per classe o ID, vinculada a una OU amb herència bloquejada.
  • Moure els equips amb excepció allà, en lloc de jugar amb filtres WMI o filtratge de seguretat a nivell de GPO.

Molt més controlat, més visible, més fàcil d’auditar.

Proves: mai ho facis en calent

Sembla una obvietat, però val la pena repetir-ho: aquestes polítiques poden deixar equips inservibles si no es proven bé. En especial si fas servir “impedir la instal·lació de dispositius no descrits per altres polítiques”, pots bloquejar fins i tot la xarxa o els perifèrics bàsics.

Recomanacions:

  • Tenir una unitat organitzativa de proves amb un parell d’ equips que reflecteixin la varietat de maquinari real.
  • Comprovar els logs a C:\Windows\Inf\setupapi.dev.log i al Visor d’esdeveniments (canal Microsoft-Windows-GroupPolicy/Operational).
  • No aplicar tot de cop. Ves pujant el nivell de restricció pas a pas.

Registre, auditoria i control post-desplegament

Un cop la política està activa, necessites visibilitat. Windows no llença alertes quan algú connecta un USB bloquejat, llevat que s’habilitin polítiques d’auditoria.

Pots activar:

Directiva d’ auditoria > Configuració de seguretat > Directives locals > Directiva d’ auditoria >’ Auditoria d’ accés a objectes

I després configurar auditories específiques sobre Removable Storage a les ACLs del sistema d’arxius.

Alternativament, amb solucions com Microsoft Defender for Endpoint, pots tenir alertes i esdeveniments quan es connecten dispositius no permesos. Però això ja depèn del teu stack.

Complements que ajuden a mantenir el control

En entorns amb més de 200–300 equips, mantenir aquestes polítiques amb precisió és difícil si no hi ha eines addicionals. Algunes utilitats que poden ser útils:

  • USBDeview de NirSoft: permet veure tots els dispositius USB connectats històricament en una màquina, amb detalls d’ID d’instància, data de connexió, driver carregat, etc. Perfecte per a preparar una llista d’excepcions fonamentades.
  • PowerShell + WMI:
Get-PnpDevice -Class USB -Status OK

Ajuda a identificar què està instal·lat en una màquina sense haver de revisar a mà en l’administrador de dispositius.

  • Sysmon + ELK/Graylog: si ja tens algun tipus de stack de logs centralitzat, pots configurar Sysmon per registrar esdeveniments relacionats amb connexió de dispositius USB i consolidar-los en temps real.

Algunes pràctiques que no funcionen bé

  • Bloquejar per rutes del driver (INF o *.sys): és temptador deshabilitar controladors o fer servir SRP per a bloquejar rutes específiques com usbstore.sys. El problema és que això trenca coses sense gaire visibilitat i és difícil de mantenir. A més, algunes actualitzacions de Windows canvien rutes o signats i el deixen obsolet.
  • Excloure per nom de volum o etiqueta del dispositiu: això no és un mecanisme de control fiable. Les etiquetes es poden canviar i els noms de volum no són únics ni persistents.
  • Llistes blanques basades en VID/PID només: massa variabilitat entre dispositius del mateix model, i molt poc control real. De vegades el mateix fabricant canvia la revisió del maquinari i trenca l’excepció.

GPO no és una solució de DLP

Això és una cosa que convé deixar clara: bloquejar l’accés a USB amb GPO serveix per a reduir la superfície d’exposició i evitar errors o fuites accidentals. Però no és una solució de seguretat completa. Qualsevol amb accés físic i temps pot saltar-se aquesta protecció: mode segur, Linux Live USB, connexió de dispositius en ports interns no controlats, o fins i tot maquinari tipus Rubber Ducky que emula teclat i executa codi.

En entorns on la fuita d’ informació és un risc real, la política de bloqueig ha d’ anar acompanyada de:

  • BIOS/UEFI amb password i arrencada segura.
  • Control de ports físics (bloquejadors físics, epoxy, BIOS amb ports deshabilitats).
  • Xifrat complet de disc.
  • Control de xarxa per a evitar exf-iltracions per altres mitjans.
  • Monitoratzació activa d’ endpoints.

Quan la GPO no és suficient: WDAC o eines de tercers

En alguns casos, sobretot quan necessites granularitat real (per usuari, per tipus d’arxiu, per origen del dispositiu), la GPO es queda curta. Aquí entren en joc:

  • Windows Defender Application Control (WDAC): més potent, però molt més complex. Pots controlar quin drivers es carreguen, quines aplicacions s’executen des d’unitats externes, i definir regles signades amb certificats. Però és més fràgil i requereix molta planificació.
  • AppLocker: útil per a evitar execució de codi des d’USB, tot i que no bloqueja el dispositiu en si. Pot ser complement si es vol permetre accés de només lectura però bloquejar execució.
  • Solucions comercials tipus Device Control (Symantec, McAfee, ESET, etc.): més fàcils de gestionar, amb interfícies centralitzades i visibilitat granular. Si el teu entorn ho permet i tens la necessitat, val la pena avaluar-les.

Checklist ràpid abans d’aplicar en producció

Per acabar, aquestes són les coses que convé revisar abans de vincular una GPO de bloqueig d’USB en un entorn productiu:

  • Està clara la política exacta de què es bloqueja i què es permet?
  • Has provat el comportament real en almenys 3 tipus de maquinari diferents?
  • Has auditat quins dispositius estan ja instal·lats?
  • S’han definit excepcions i com s’han de gestionar?
  • Tens una forma de revertir el canvi si alguna cosa crítica falla?
  • Està documentat l’objectiu i la configuració aplicada?
  • Els usuaris han de rebre algun tipus de comunicació o suport en cas d’error?

Conclusió

Bloquejar USB amb GPO és una solució raonable per a organitzacions que volen reduir el risc de fuga o entrada de malware, però cal aplicar-la amb cura. La majoria dels errors venen de no provar bé, assumir que tot el maquinari es comporta igual, o confiar en configuracions genèriques sense avaluar l’ impacte real.  Aquest tipus de polítiques funcionen bé si estan ben pensades, ben documentades i ben testades.

You May Also Like

Windows Server 2019 DHCP

Instal·lació i configuració del servei de DHCP a Windows 2019 Server

Rafael Quintero

Configurar un servidor DNS a Windows Server

Rafael Quintero

Instal·lació del servei SFTP a Windows Server 2016

Rafael Quintero

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *