Interdire/Autoriser les clés USB avec les GPO
- Mise à jour le 31 janvier 2021
Dans un environnement Windows, les virus peuvent se transmettre via la connexion de clés USB externes donc il peut être interessant de savoir comment controler les périphériques que l'on souhaite autoriser à être connectées sur les machines.
Nous allons voir ic comment faire avec les stratégies de groupe.
Stratégie de Groupe
- Tout ce dont on a besoin ici se trouve dans Configuration Ordinateur > Modèles d'Administration > Système > Installation de périphériques > Restrictions d'installation de périphériques
Les stratégies
Nous pouvons utiliser au choix deux stratégies pour gérer nos clés USB. Voyons ici les principales différences entre les deux et comment les mettre en place.
Interdire les périphériques amovibles
- Si l'on souhaite interdire tous les médias amovibles on peut activer la règle Empêcher l'installation de périphériques amovibles :
- Qu'est ce que cela fait?
- Les clés USB déjà installées : elles continueront à être utilisables
- Les nouvelles clés USB : elles seront bloquées
- Ajout d'autres périphériques : ils pourront être installés
- Activer la stratégie Autoriser les administrateurs à passer outre les stratégies de restriction d'installation de périphériques : n'aura pas d'effet, les nouvelles clés USB seront bloquées
- Ajout d'ids dans la stratégie Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphériques : n'aura pas d'effet, les nouvelles clés USB seront bloquées
Interdire les nouveaux périphériques
- On peut également interdire l'installation de nouveau périphériques :
Important à savoir, cela impactera les périphériques en général, donc à prendre en considération lors de la sauvegarde et restauration du système sur un nouveau matériel le système pourra ne pas démarrer.
- Qu'est ce que cela fait?
- Les clés USB déjà installées : elles continueront à être utilisables
- Les nouvelles clés USB : elles seront bloquées
- Ajout d'autres périphériques : ils seront bloqués
- Activer la stratégie Autoriser les administrateurs à passer outre les stratégies de restriction d'installation de périphériques : les administrateurs pourront installer les périphériques
- Ajout d'ids dans la stratégie Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphériques : permettra d'autoriser des clés USB avec des ids précises
Ajouter des exceptions
Contrairement à la règle Empêcher l'installation de périphériques amovibles, il est possible ici d'ajouter des exceptions (ou liste blanche) des périphériques que l'on souhaite pouvoir utiliser. Pour ce faire nous pouvons utiliser l'ID de périphérique ou l'ID d'instance de périphérique.
Exceptions avec l'ID de périphérique
- Depuis le gestionnaire de périphériques, choisir le périphérique à autoriser et cliquer sur Propriétés :
- Depuis le Numéros d'identification du matériel, copier l'Id :
- Éditer la règle Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphériques et coller l'Id :
Exceptions avec l'ID d'instance de périphérique
- Depuis le gestionnaire de périphériques, choisir le périphérique à autoriser et cliquer sur Propriétés :
- Depuis le Chemin d'accès à l'instance du périphérique, copier l'Id :
- Éditer la règle Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphériques et coller l'Id :
Supprimer les périphériques USB installés
Comme vu précédement les clés USB installées avant l'application des règles seront toujours utilisables. Pour empécher cela, nous aurons besoin de les supprimer ces périphériques du système. Pour ce faire nous avons deux possibilités, depuis le gestionnaire de périphériques Windows ou via le logiciel USBDview.
Gestionnaire de périphérique Windows
- Ouvrir le gestionnaire de périphériques Windows :
- Cliquer sur afficher Afficher les périphériques cachés :
- Et supprimer les périphériques déjà installés :
USBDview
- Nous pouvons également utiliser le logiciel USBDeview de l'éditeur NirSoft. L'avantage principal est qu'il est possible de supprimer plusieurs périphériques en même temps :
- Nous pouvons aussi obtenir des informations utiles, comme l'instance id et le nuémro de série :