Bloquear lectura USB pero permitir escritura en Windows con GPO: límites, configuración y alternativas empresariales

¿Buscas impedir que los usuarios lean archivos desde memorias USB pero permitir que copien información hacia ellas? Esta guía explica cómo intentarlo con las GPO de Windows, por qué “solo escritura” no es fiable con las directivas nativas y qué alternativas empresariales sí ofrecen un control predecible.

Índice

Resumen del caso y mensaje clave

El objetivo es aplicar una política tipo “write‑only” en USB: bloquear la lectura de datos desde unidades extraíbles, pero permitir la escritura hacia ellas. En Windows, la GPO Removable Disks: Deny Read Access bloquea la lectura a nivel de sistema de archivos; sin embargo, muchas operaciones de escritura requieren lecturas previas de metadatos y verificaciones. Por eso, con la configuración nativa es frecuente que la escritura también falle o que el sistema pida elevación de privilegios. Si necesitas resultados estables, debes recurrir a control de dispositivos/DLP.

Qué hace realmente cada GPO de acceso a almacenamiento extraíble

Estas son las políticas relevantes en Equipo → Plantillas administrativas → Sistema → Removable Storage Access y su efecto esperado:

Política	Ruta de GPO	Estado recomendado	Efecto esperado	Clave de Registro (valor)
Removable Disks: Deny Read Access	Equipo → Sistema → Removable Storage Access	Enabled	Impide lecturas desde discos extraíbles.	HKLM\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices\{ClaseDiscos}\ DWORD `Deny_Read=1`
Removable Disks: Deny Write Access	Equipo → Sistema → Removable Storage Access	Disabled o Not Configured	No denegar explícitamente la escritura.	`Deny_Write` debe ser 0 o no existir
All Removable Storage classes: Deny all access	Equipo → Sistema → Removable Storage Access	Disabled o Not Configured	Si está Enabled, anula todo y bloquea completamente.	Clave “global” con `Deny_All=0` o no presente
Removable Disks: Deny Execute Access	Equipo → Sistema → Removable Storage Access	Opcional: Enabled	Bloquea ejecución desde USB, reduce riesgo de malware.	DWORD `Deny_Execute=1` (clase discos)
Turn off AutoPlay / AutoRun	Equipo → Plantillas administrativas → Componentes de Windows → Directiva de Reproducción automática	Recomendado: Enabled	Evita ejecución automática al insertar USB.	Varias claves de directiva de AutoPlay

Configuración base paso a paso

Abre el editor de la GPO vinculada a los equipos objetivo y ve a Equipo → Plantillas administrativas → Sistema → Removable Storage Access.
Establece:
- Removable Disks: Deny Read Access = Enabled.
- Removable Disks: Deny Write Access = Disabled o Not Configured.
- All Removable Storage classes: Deny all access = Disabled o Not Configured.
En el cliente, fuerza la actualización de directivas y reconecta la unidad: gpupdate /force Desconecta y vuelve a conectar el dispositivo USB.

Limitación estructural de Windows y por qué “solo escritura” no es fiable

Incluso con “Deny Read Access” habilitada y la escritura explícitamente permitida, el comportamiento práctico suele ser:

El Explorador trata el volumen como inaccesible o parcialmente bloqueado.
La creación de archivos falla porque el sistema y la mayoría de aplicaciones necesitan leer la tabla de directorios, el MFT (en NTFS) o la FAT para ubicar bloques libres y confirmar operaciones.
Aplicaciones que implementan verificación posterior a la copia (read-back verify) no pueden leer lo recién escrito y abortan.
En ocasiones aparece un cuadro que solicita credenciales de administrador; no es que la GPO requiera elevación, sino que el subsistema interpreta errores del controlador o restricciones de instalación como necesidad de privilegios.

Conclusión operativa: con las directivas nativas, el “write‑only” no es un estado estable ni garantizable. Para políticas coherentes y auditables, utiliza control de dispositivos/DLP.

Si aparece solicitud de credenciales de administrador al escribir

Además de la GPO de almacenamiento extraíble, revisa:

Restricciones de instalación de dispositivos en Equipo → Plantillas administrativas → Sistema → Instalación de dispositivos:
- Evita tener habilitado “Prevent installation of devices not described by other policy settings” sin excepciones para almacenamiento USB.
- Si usas listas de permitidos, incluye la clase de dispositivo o los ID de hardware de las memorias USB aprobadas.
Soluciones de seguridad con control de puertos o DLP (Defender for Endpoint Device Control, Intune, WDAC, AppLocker o terceros) que puedan estar imponiendo bloqueos adicionales.
Estado del controlador: un driver no instalado o bloqueado puede provocar prompts de elevación.

Verificación rápida en el Registro

En un cliente, comprueba las claves aplicadas por la GPO:

Ruta: HKLM\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices

- Clase de discos extraíbles:
  Deny\_Read   (DWORD) = 1
  Deny\_Write  (DWORD) = 0 o no presente
  Deny\_Execute(DWORD) = 1 si decidiste bloquear la ejecución

- Global:
  Deny\_All    (DWORD) = 0 o no presente

Evita depender de claves heredadas como HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies\WriteProtect para este objetivo; su semántica es más tosca y no crea un “solo escritura” consistente.

Guía de pruebas y resultados esperados

Después de aplicar la GPO y reconectar el USB, ejecuta estas pruebas.

Prueba	Cómo ejecutar	Resultado esperado	Notas
Lectura de archivo	Abrir un archivo existente en el USB	Bloqueo de acceso o error de lectura	Confirma que Deny Read opera
Copia hacia USB	Copiar un archivo desde el disco local al USB	Puede fallar	Muchas apps leen metadatos; si fallan, es la limitación del modelo
Creación de carpeta	Botón derecho → Nuevo → Carpeta	Puede fallar	Escritura requiere lecturas previas del sistema de archivos
Ejecutar desde USB	Intentar abrir un .exe	Bloqueado si activaste Deny Execute	Recomendado para reducir superficie de ataque
Informe de GPO efectiva	`gpresult /h resultado.html`	Directivas correctas aplicadas	Verifica vínculos y precedencias

Script de comprobación con PowerShell

En un cliente, puedes listar el estado de las políticas y la pertenencia del dispositivo:

# Ver políticas de Removable Storage Access
$base = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices'
Get-ChildItem $base -ErrorAction SilentlyContinue | ForEach-Object {
  $k = Get-ItemProperty $_.PSPath -ErrorAction SilentlyContinue
  [PSCustomObject]@{
    SubClave    = $_.PSChildName
    DenyRead   = $k.DenyRead
    DenyWrite  = $k.DenyWrite
    DenyExecute= $k.DenyExecute
  }
}

Confirmar que no hay Deny\_All global

Get-ItemProperty \$base -Name Deny\_All -ErrorAction SilentlyContinue

Comprobar última aplicación de GPO

gpresult /r

Interacciones habituales que afectan el resultado

Orden de precedencia y herencia: una GPO a nivel superior con “Deny all access” anula las específicas de discos extraíbles.
Filtros WMI: filtran por versión de SO o hardware; confirma que el equipo coincide.
Modo caché del Explorador: a veces requiere reconexión del USB o reinicio del Explorador.
Control de aplicaciones: WDAC/AppLocker pueden impedir la app que copia, y parecer un bloqueo de almacenamiento.
Instalación de controladores: restricciones de PnP o falta de firma impiden montar el volumen correctamente.

Alternativas recomendadas para un objetivo empresarial sólido

Si tu propósito es evitar la entrada de datos desde USB hacia equipos, o permitir escritura sin lectura de forma gobernada, evalúa estas opciones:

Control de dispositivos/DLP (Microsoft Defender for Endpoint Device Control, Intune o soluciones de terceros):
- Permiten reglas granulares por clase, VID/PID, número de serie o etiqueta lógica.
- Soportan políticas asimétricas de lectura/escritura con mejor manejo de excepciones y auditoría.
- Posibilidad de “lista blanca” de unidades corporativas aprobadas.
BitLocker To Go + restricción por origen:
- Habilita “Deny write access to removable drives not protected by BitLocker” para que solo se pueda escribir en USB cifrados y administrados.
- Complementa con Deny Execute y AutoPlay deshabilitado.
- Resultado: reduces el riesgo de malware y filtras escritura a medios controlados.
Replantear el requisito:
- En lugar de “escribir sí / leer no” universal, permite lectura solo en USB corporativos aprobados y bloquea en el resto.
- Documenta y comunica a usuarios y auditores el razonamiento técnico.

Checklist de diagnóstico rápido

Deny Read = Enabled en Removable Disks.
Deny Write = Disabled / Not Configured.
Deny all access (todas las clases) = Disabled.
Sin restricciones de instalación de dispositivos que bloqueen USB.
gpupdate /force ejecutado y USB reconectado.
gpresult /h resultado.html revisado para confirmar la GPO efectiva.

Preguntas frecuentes

¿Por qué Windows “impide también la escritura” si solo habilité Deny Read?
Porque escribir en un sistema de archivos exige leer metadatos (directorios, asignación de bloques, tablas internas). Al negar lectura, esas rutinas fallan y la aplicación considera que la operación no es posible o insegura.

¿Puedo lograrlo con scripts o hacks de Registro?
No de manera confiable. La semántica del sistema de archivos impone lecturas previas y posteriores; los “hacks” generan estados inconsistentes y problemas de estabilidad.

¿Por qué se solicitan credenciales de administrador al intentar escribir?
Generalmente se debe a restricciones de instalación de dispositivos o a controladores que no pueden cargarse bajo las políticas actuales. Revisa las directivas de Device Installation Restrictions y el estado del controlador.

¿Qué pasa si activo “Deny all access” a nivel global?
Bloquearás lectura, escritura y ejecución en todas las clases de almacenamiento extraíble, ignorando reglas específicas. Úsalo solo si tu intención es un bloqueo total.

¿Cómo reduzco el riesgo de malware si finalmente permito lectura en ciertos casos?
Activa Deny Execute, deshabilita AutoPlay, aplica control de aplicaciones (WDAC/AppLocker) y exige USB corporativos cifrados con BitLocker To Go.

¿Intune puede aplicar estas políticas?
Sí. Puedes distribuir la configuración equivalente por CSP o a través de perfiles y, para control granular, utilizar las plantillas de Device Control en Endpoint security.

Receta de implementación recomendada

Si tu organización necesita minimizar fuga de información y malware desde USB sin romper la operativa:

Define el modelo: permitir escritura solo a USB corporativos cifrados y gestionados; lectura permitida solo en esos mismos dispositivos.
Implementa:
- Deny write access to removable drives not protected by BitLocker = Enabled.
- Removable Disks: Deny Execute Access = Enabled.
- AutoPlay deshabilitado y ejecución desde USB bloqueada por WDAC/AppLocker.
- Device Control para listas de permitidos y telemetría.
Valida con pruebas de laboratorio y gpresult, y documenta la excepción operativa si mantienes Deny Read.

Escenarios y resultados típicos

Escenario	Lectura	Escritura	Experiencia de usuario	Recomendación
Deny Read habilitado, Deny Write deshabilitado	Bloqueada	Frecuentemente falla	Errores al copiar, apps no confiables	Evitar en producción salvo casos muy controlados
Deny all access habilitado	Bloqueada	Bloqueada	USB inutilizable	Úsalo solo para bloqueo total
BitLocker To Go obligatorio + Device Control	Permitida en USB corporativos	Permitida en USB corporativos	Predecible y auditable	Opción preferente a nivel empresarial

Procedimiento de resolución de problemas

Comprueba la GPO efectiva con gpresult /h y verifica la precedencia.
Revisa el Registro bajo ...RemovableStorageDevices para confirmar valores.
Valida que no existan políticas de instalación de dispositivos que bloqueen la clase de almacenamiento.
Inspecciona eventos de GroupPolicy, Kernel-PnP y RemovableStorage en el Visor de eventos.
Desconecta y reconecta el USB; si sigue fallando, prueba con otro volumen y otro sistema de archivos (exFAT/NTFS) para aislar el problema.
Deshabilita temporalmente herramientas de control de puertos/DLP para descartar conflictos.

Resumen ejecutivo

Con las directivas nativas de Windows, “solo escritura” en USB no es un estado estable: negar lectura impide las lecturas imprescindibles para escribir. La configuración recomendada para organizaciones es combinar Device Control o DLP con BitLocker To Go y, si procede, permitir lectura/escritura únicamente en unidades corporativas aprobadas. Si aun así necesitas ensayar el modelo, aplica Deny Read a Removable Disks, deja Deny Write deshabilitada, confirma que no exista un Deny all global y realiza pruebas exhaustivas para medir el impacto.

Checklist final de implementación

Deny Read = Enabled en “Removable Disks”.
Deny Write = Disabled/Not Configured.
Deny all access (todas las clases) = Disabled.
Sin restricciones de instalación de dispositivos que bloqueen USB o con excepciones definidas.
gpupdate /force ejecutado y dispositivo reconectado.
gpresult /h resultado.html verificado para la GPO correcta.

Conclusión

Si bien la configuración básica permite intentar el bloqueo de lectura con escritura permitida, la arquitectura de Windows y los requisitos del sistema de archivos hacen que este estado no sea confiable. Para un resultado consistente y con trazabilidad, utiliza soluciones de control de dispositivos o reorienta la política: por ejemplo, permitir lectura y escritura únicamente en USB corporativos cifrados y gestionados, bloqueando ejecución y desactivando AutoPlay para reducir los riesgos.