Interdire/Autoriser les clés USB avec les GPO

Mise à jour le 31 janvier 2021

Dans un environnement Windows, les virus peuvent se transmettre via la connexion de clés USB externes donc il peut être interessant de savoir comment controler les périphériques que l'on souhaite autoriser à être connectées sur les machines.

Nous allons voir ic comment faire avec les stratégies de groupe.

Stratégie de Groupe

Tout ce dont on a besoin ici se trouve dans Configuration Ordinateur > Modèles d'Administration > Système > Installation de périphériques > Restrictions d'installation de périphériques

Windows GPO | Restriction d'installation de périphériques

Les stratégies

Nous pouvons utiliser au choix deux stratégies pour gérer nos clés USB. Voyons ici les principales différences entre les deux et comment les mettre en place.

Interdire les périphériques amovibles

Si l'on souhaite interdire tous les médias amovibles on peut activer la règle Empêcher l'installation de périphériques amovibles :

Windows GPO | Empêcher l'installation de périphériques amovibles

Qu'est ce que cela fait?

Les clés USB déjà installées : elles continueront à être utilisables

Les nouvelles clés USB : elles seront bloquées

Ajout d'autres périphériques : ils pourront être installés

Activer la stratégie Autoriser les administrateurs à passer outre les stratégies de restriction d'installation de périphériques : n'aura pas d'effet, les nouvelles clés USB seront bloquées

Ajout d'ids dans la stratégie Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphériques : n'aura pas d'effet, les nouvelles clés USB seront bloquées

Interdire les nouveaux périphériques

On peut également interdire l'installation de nouveau périphériques :

Important à savoir, cela impactera les périphériques en général, donc à prendre en considération lors de la sauvegarde et restauration du système sur un nouveau matériel le système pourra ne pas démarrer. Windows GPO | Prevent installation of devices not described by other policy settings

Windows GPO | Prevent installation of devices not described by other policy settings

Qu'est ce que cela fait?

Les clés USB déjà installées : elles continueront à être utilisables

Les nouvelles clés USB : elles seront bloquées

Ajout d'autres périphériques : ils seront bloqués

Activer la stratégie Autoriser les administrateurs à passer outre les stratégies de restriction d'installation de périphériques : les administrateurs pourront installer les périphériques

Ajout d'ids dans la stratégie Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphériques : permettra d'autoriser des clés USB avec des ids précises

Ajouter des exceptions

Contrairement à la règle Empêcher l'installation de périphériques amovibles, il est possible ici d'ajouter des exceptions (ou liste blanche) des périphériques que l'on souhaite pouvoir utiliser. Pour ce faire nous pouvons utiliser l'ID de périphérique ou l'ID d'instance de périphérique.

Exceptions avec l'ID de périphérique

Depuis le gestionnaire de périphériques, choisir le périphérique à autoriser et cliquer sur Propriétés :

Windows Device Manager | Propriétés du périphérique

Depuis le Numéros d'identification du matériel, copier l'Id :

Windows Device Manager | Device properties

Éditer la règle Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphériques et coller l'Id :

Windows GPO | Allow installation of devices that match any of these device IDs, adding value

Exceptions avec l'ID d'instance de périphérique

Depuis le gestionnaire de périphériques, choisir le périphérique à autoriser et cliquer sur Propriétés :

Depuis le Chemin d'accès à l'instance du périphérique, copier l'Id :

Éditer la règle Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphériques et coller l'Id :

Windows GPO | Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphériques, ajouter une valeur

Supprimer les périphériques USB installés

Comme vu précédement les clés USB installées avant l'application des règles seront toujours utilisables. Pour empécher cela, nous aurons besoin de les supprimer ces périphériques du système. Pour ce faire nous avons deux possibilités, depuis le gestionnaire de périphériques Windows ou via le logiciel USBDview.

Gestionnaire de périphérique Windows

Ouvrir le gestionnaire de périphériques Windows :

Cliquer sur afficher Afficher les périphériques cachés :

Windows | Device managers, show hidden divices

Et supprimer les périphériques déjà installés :

USBDview

Nous pouvons également utiliser le logiciel USBDeview de l'éditeur NirSoft. L'avantage principal est qu'il est possible de supprimer plusieurs périphériques en même temps :