ECSS Modulo 3 - Lab 3

Criar GPO de bloqueio de armazenamento USB para estacoes de trabalho

Roteiro adaptado para os ambientes isolados student01 a student08 da Megatraining.

Quiz M3

Cenario

Dispositivos USB removiveis podem facilitar vazamento de dados, copia nao autorizada de arquivos e introducao de malware em estacoes corporativas. Neste laboratorio, o aluno cria uma politica de grupo para bloquear armazenamento removivel em estacoes Windows.

A politica sera criada no controlador de dominio do aluno e aplicada somente na OU de estacoes de trabalho, mantendo o servidor fora do escopo da regra.

Resumo

Duracao
45 a 60 min
Dominio
ECSS.LOCAL
Admin
ECSS\labjoin
DC
10.10.10.10
Windows 11
10.10.10.11

Objetivos

  • Criar uma OU para estacoes de trabalho no Active Directory.
  • Mover a conta do computador Windows 11 para a OU correta.
  • Criar e vincular uma GPO de bloqueio de armazenamento removivel.
  • Aplicar a politica usando gpupdate.
  • Validar a aplicacao da GPO com gpresult.
  • Verificar chaves de politica no registro da estacao.
  • Documentar a evidencia da configuracao.
  • Reverter a politica ao final do laboratorio, se solicitado.

Ambiente do Aluno

Os IPs internos sao iguais para todos os alunos porque cada estudante possui sua propria rede isolada.

Aluno Windows Server / DC Windows 11 Dominio IP do DC IP do Windows 11
student01 lab-student01-winsrv / STUDENT01-DC lab-student01-win11 / Student_W11 ECSS.LOCAL 10.10.10.10 10.10.10.11
student02 lab-student02-winsrv / STUDENT02-DC lab-student02-win11 / Student_W11 ECSS.LOCAL 10.10.10.10 10.10.10.11
student03 lab-student03-winsrv / STUDENT03-DC lab-student03-win11 / Student_W11 ECSS.LOCAL 10.10.10.10 10.10.10.11
student04 lab-student04-winsrv / STUDENT04-DC lab-student04-win11 / Student_W11 ECSS.LOCAL 10.10.10.10 10.10.10.11
student05 lab-student05-winsrv / STUDENT05-DC lab-student05-win11 / Student_W11 ECSS.LOCAL 10.10.10.10 10.10.10.11
student06 lab-student06-winsrv / STUDENT06-DC lab-student06-win11 / Student_W11 ECSS.LOCAL 10.10.10.10 10.10.10.11
student07 lab-student07-winsrv / STUDENT07-DC lab-student07-win11 / Student_W11 ECSS.LOCAL 10.10.10.10 10.10.10.11
student08 lab-student08-winsrv / STUDENT08-DC lab-student08-win11 / Student_W11 ECSS.LOCAL 10.10.10.10 10.10.10.11

  1. Acesse o Apache Guacamole.
  2. Abra a conexao studentXX - Windows Server.
  3. Entre com ECSS\labjoin usando a senha informada pelo instrutor.
  4. Abra o Server Manager.
  5. Em Tools, abra Active Directory Users and Computers.
  6. Expanda o dominio ECSS.LOCAL.
  7. Crie uma OU chamada Workstations, caso ela ainda nao exista.
  8. Mova a conta do computador Student_W11 para a OU Workstations.
Nao aplique esta GPO diretamente na raiz do dominio. O objetivo e afetar apenas as estacoes de trabalho, nao o controlador de dominio.

  1. No Windows Server, abra Group Policy Management pelo Server Manager ou execute gpmc.msc.
  2. Expanda Forest: ECSS.LOCAL, Domains e ECSS.LOCAL.
  3. Clique com o botao direito na OU Workstations.
  4. Selecione Create a GPO in this domain, and Link it here....
  5. Nomeie a politica como M3-Bloquear-USB-Storage.
  6. Clique com o botao direito na GPO criada e selecione Edit.
Nome sugerido da GPO:
M3-Bloquear-USB-Storage

Escopo esperado:
OU=Workstations,DC=ECSS,DC=LOCAL

  1. No Group Policy Management Editor, acesse:
Computer Configuration
Policies
Administrative Templates
System
Removable Storage Access
  1. Abra All Removable Storage classes: Deny all access.
  2. Marque Enabled, clique em Apply e depois em OK.
  3. Opcionalmente, configure tambem: Removable Disks: Deny read access como Enabled.
  4. Opcionalmente, configure tambem: Removable Disks: Deny write access como Enabled.
A configuracao principal e All Removable Storage classes: Deny all access. As configuracoes de leitura e escrita reforcam o comportamento para discos removiveis.

  1. No Guacamole, abra a conexao studentXX - Windows 11.
  2. Entre com uma conta do dominio ou com a conta indicada pelo instrutor.
  3. Abra o Windows Terminal ou PowerShell como administrador.
  4. Execute os comandos abaixo.
whoami
hostname
gpupdate /force
gpresult /r /scope computer
  1. Confirme que a GPO M3-Bloquear-USB-Storage aparece em Applied Group Policy Objects.
  2. Se a GPO nao aparecer, reinicie a estacao Windows 11 e execute gpupdate /force novamente.

Como o ambiente em nuvem pode nao ter um pendrive fisico anexado, a validacao principal sera feita por relatorio de politica e pelas chaves de registro aplicadas. 

gpresult /H C:\usb-storage-policy.html
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices /s
  1. Abra C:\usb-storage-policy.html no Edge.
  2. Localize a GPO M3-Bloquear-USB-Storage.
  3. Confirme que a configuracao de bloqueio de armazenamento removivel aparece no relatorio.
  4. Salve uma captura da tela como evidencia do laboratorio.
Se um disco removivel estiver disponivel, tente abrir ou copiar arquivos para ele. O Windows deve negar o acesso apos a politica ser aplicada.

Problema Verificacao Correcao
A GPO nao aparece no gpresult. Verifique se Student_W11 esta na OU Workstations. Mova o objeto de computador para a OU correta e reinicie a estacao.
A estacao nao recebe politica do dominio. Teste DNS e conectividade com STUDENTXX-DC. Confirme que o DNS da estacao aponta para o DC e rode gpupdate /force.
Politica aplicada, mas USB ainda funciona. Confirme se o dispositivo e realmente removivel e se nao ha conflito de GPO. Reinicie a estacao e valide as chaves em RemovableStorageDevices.
O servidor tambem foi bloqueado. Veja se a GPO foi vinculada na raiz do dominio. Remova o link da raiz e vincule somente na OU Workstations.

  1. No Group Policy Management, clique na OU Workstations.
  2. Clique com o botao direito no link da GPO M3-Bloquear-USB-Storage.
  3. Selecione Link Enabled para desabilitar o link, ou remova o link da OU.
  4. No Windows 11, execute gpupdate /force e reinicie, se necessario.
gpupdate /force
gpresult /r /scope computer

A reversao deve ser feita apenas quando o instrutor solicitar, para preservar as evidencias do lab.

Entregaveis

  • Screenshot da OU Workstations contendo a estacao Student_W11.
  • Screenshot da GPO M3-Bloquear-USB-Storage vinculada a OU correta.
  • Screenshot da configuracao All Removable Storage classes: Deny all access habilitada.
  • Arquivo C:\usb-storage-policy.html gerado no Windows 11.
  • Resposta da pergunta de revisao abaixo.

Pergunta 3.3.1

Por que esta politica deve ser aplicada em Computer Configuration e vinculada a uma OU de estacoes de trabalho, em vez de ser aplicada diretamente na raiz do dominio?

Notas para o Instrutor

  • Use ECSS\labjoin como conta administrativa do dominio nos labs.
  • O lab foi desenhado para funcionar mesmo sem um USB fisico, usando gpresult e registro como evidencia.
  • Se quiser demonstrar bloqueio pratico, anexe uma midia removivel ou VHD marcado como removivel na estacao.
  • Evite salvar credenciais no Guacamole quando o objetivo for mostrar tela de login e separacao de responsabilidades.