Encriptar disco duro y bloquear USB

Archivado
Buenas,

quiero proteger la privacidad de los documentos del ordenador del trabajo. Para ello, en primer lugar quiero poder bloquear los puertos USB de forma que no se pueda acceder al ordenador y, por si acaso, también quiero encriptar el disco duro o, por lo menos, las carpetas donden tengo los documentos del trabajo,.

¿Me podéis recomendar algún programa, si es gratuito mejor?

Gracias.

PD. Tengo windows 10 Home, pero me han recomendado bitlocker, así que voy a comprar una licencia de W10 pro, salvo que haya algún programa en español y fácil de usar para W10 home.
El tema del USB lo puedes bloquear mediante Politicas de Grupo (GPO): (Supongo que lo quieres bloquear de manera global y no utilizas teclado/ratón ni ningún dispositivo por ese medio).

Administración de Políticas de Grupo

Imagen


Otra opción es modificar la entrada del registro: (Puedes utilizar regedit.exe)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor\
Yo creo que modificando el registro de windows, puede bloquear los usb para cualquier dispositivo que sea capaz de almacenar datos (pendrive o disco duro), y si deja funcionales los ratones y teclados...
Jar-Jar escribió:Yo creo que modificando el registro de windows, puede bloquear los usb para cualquier dispositivo que sea capaz de almacenar datos (pendrive o disco duro), y si deja funcionales los ratones y teclados...


gracias por las respuestas Newton y Jar-Jar,

la idea es bloquear los puertos USB para que no se puedan usar pendrives ni discos duros externos para sacar información del pc, pero al mismo tiempo poder usar el ratón y teclado inalámbricos que los tengo conectados con un micro USB.
En Microsoft tienes un documento de soporte donde exponen directamente la solución a tu problema, que básicamente es lo que ya te ha dicho el amigo @Newton
https://support.microsoft.com/es-es/help/823732/how-can-i-prevent-users-from-connecting-to-a-usb-storage-device

Respecto al BitLocker, mira a ver si esto te vale. Es el equivalente de BitLocker pero en alternativa libre: https://www.veracrypt.fr/es/Home.html
@JuananBow

Gracias por la información, por lo que leo, entiendo que lo que se hace en ese enlace es crear un usuario al que le "capas" el acceso a los puertos USB, ¿cierto?

Creoo que no es lo que busco. El ordenador sólo lo voy a usar yo y necesito poder tener disponibles los puertos USBs mientras trabajo (para el ratón, impresora, etc), pero al mismo tiempo no quiero que, si me dejo la sesión abierta, otra persona pueda conectar un dispositivo de almacenamiento externo (USB o HDD externo) y me robe la información.

Al pensarlo, a lo mejor estoy pidiendo un imposible: tener cerrados y abiertos al mismo tiempo los puertos USBs...Quizá la solución sea poder abrirlos cuando empiezo a trabajar por la mañana y cerrarlos de forma rápida cuando no termine de trabajar.

Pd. En cuanto al veracrypt, voy a probarlo con el ordenador personal a ver si es sencillo de usar y así me ahorro tener que cambiar el SO
Bueno creo que tú mismo te has dado cuenta de que los métodos de bloqueo de los USB dependen de la propia seguridad del sistema operativo. Estos métodos sólo son efectivos si varios usuarios van a usar el equipo y cada uno tiene su propia cuenta y credenciales. De otra forma, y que todos los usuarios utilicen la misma sesión, es como cerrar la puerta con llave dejar la llave colgada en el llavero al alcance de cualquiera.
No obstante hay programas que hacen eso que pides, lo instalas, lo ejecutas, y lo configuras..... y a disfrutarlo.
No obstante hay programas que hacen eso que pides, lo instalas, lo ejecutas, y lo configuras..... y a disfrutarlo.


He echado un ojo a varios de ellos, cuando pueda los pruebo [beer]

Siguiendo las indicaciones del primer compañero, complementado con la información de este hilo:
hilo_restringir-puertos-usb-solucionado_1345185

he conseguido lo que quería, que no funcionen los dispositivos de almacenamiento pero sí el resto de aparatos conectados por USB.

La pregunta ahora es, ¿cómo puedo ponerle una clave o algo para evitar que se ejecuten programas como el "regedit"?

Si no recuerdo mal, un informático en el portátil de la empresa, cada vez que ejecutaba determinados programas le pedía una clave, ¿podría hacer esto para todos o algún programa en concreto?
@refrescante Con permisos de cuenta, tu le dices lo que quieres que ejecute cada tipo de usuario.
Sí. Haciendo varios usuarios con privilegios distintos. [qmparto]

Lo que hacía el técnico de IT en tu portatil era básicamente introducir las credenciales de la cuenta del administrador, y con ello proceder a ejecutar todas aquellas aplicaciones restringidas con una cuenta con mayores privilegios.

Estás reinventando la rueda. [toctoc]
JuananBow escribió:Sí. Haciendo varios usuarios con privilegios distintos. [qmparto]

Lo que hacía el técnico de IT en tu portatil era básicamente introducir las credenciales de la cuenta del administrador, y con ello proceder a ejecutar todas aquellas aplicaciones restringidas con una cuenta con mayores privilegios.

Estás reinventando la rueda. [toctoc]


ufff que espeso estoy...a estas horas me quedan 4 neuronas vivas. Entonces, ¿si puedo ejecutar cualquier programa sin introducir una contraseña es porque no está configurada la cuenta como de administrador? ¿que tengo que hacer para que me pida la contraseña?
Desde Windows Vista, existe una cosa que se llama UAC, o control de cuentas de usuario. Básicamente es un sistema ideado para que cualquier usuario pueda seguir teniendo privilegios administrativos. Los usuarios ejecutarán siempre los programas con el nivel más bajo de privilegios, y sólo si un programa requiere de realizar cambios en el equipo, modificar la configuración y/o realizar operaciones de administrador, será cuando salte el famoso cuadro de diálogo avisando de tal situación.
Imagen
Cuando aceptas o dices que sí en este cuadro de diálogo, el programa adquiere derechos administrativos y la potestad para modificar configuraciones. Por eso no te pide ninguna contraseña.

Ahora bien, en lugar de tener este sistema activado, lo que también puedes hacer es optar por un sistema "clásico". Consistiría en revocar los derechos de administración a tu usuario, para luego crearte una segunda cuenta con derechos administrativos (o utilizar la cuenta integrada del Administrador) protegida por contraseña. Esto te obligaría a que, cada vez que quisieras modificar algo o instalar cualquier cosa, tuvieras que introducir las credenciales del administrador.

En tu caso podría servir, pues la clave del registro HKLM\SYSTEM\CurrentControlSet\Services\UsbStor, que es la que controla la lectura de los pendrives, sólo puede ser modificada por Administradores. Simplemente tendrías que ejecutar un programa "mágico" de esos, como Administrador y con contraseña, para activar o desactivar los USBs.
@JuananBow , muchas gracias por la detallada explicación, me has solucionado el problema [beer]

lo que también puedes hacer es optar por un sistema "clásico". Consistiría en revocar los derechos de administración a tu usuario, para luego crearte una segunda cuenta con derechos administrativos (o utilizar la cuenta integrada del Administrador) protegida por contraseña.


Ahora sólo me queda ver como revocar los derechos de administración y crear una segunda cuenta. No sé si es que con los años me he vuelto más torpe, pero me meto en configuración y cuentas de usuario y no encuentro cómo crear diferentes cuentas, mientras que en XP y W7 creo recordar que era bastante sencillo.

Un saludo.
Ejecuta control userpasswords2. Desde ahí revoca los permisos de administrador del usuario que quieras.

Imagen
JuananBow escribió:Ejecuta control userpasswords2. Desde ahí revoca los permisos de administrador del usuario que quieras.

Imagen


Muchas gracias compañero, te debo una ronda! [beer]
15 respuestas
Archivado
Volver a General