Interdire/Autoriser les clés USB avec les GPO

Dans un environnement Windows, les virus peuvent se transmettre via la connexion de clés USB externes donc il peut être interessant de savoir comment controler les périphériques que l'on souhaite autoriser à être connectées sur les machines.

Nous allons voir ic comment faire avec les stratégies de groupe.

Stratégie de Groupe

  • Tout ce dont on a besoin ici se trouve dans Configuration Ordinateur > Modèles d'Administration > Système > Installation de périphériques > Restrictions d'installation de périphériques
Windows GPO | Restriction d'installation de périphériques

Les stratégies

Nous pouvons utiliser au choix deux stratégies pour gérer nos clés USB. Voyons ici les principales différences entre les deux et comment les mettre en place.

Interdire les périphériques amovibles

  • Si l'on souhaite interdire tous les médias amovibles on peut activer la règle Empêcher l'installation de périphériques amovibles :
Windows GPO | Empêcher l'installation de périphériques amovibles
  • Qu'est ce que cela fait?
    • Les clés USB déjà installées : elles continueront à être utilisables
    • Les nouvelles clés USB : elles seront bloquées
    • Ajout d'autres périphériques : ils pourront être installés
    • Activer la stratégie Autoriser les administrateurs à passer outre les stratégies de restriction d'installation de périphériques : n'aura pas d'effet, les nouvelles clés USB seront bloquées
    • Ajout d'ids dans la stratégie Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphériques : n'aura pas d'effet, les nouvelles clés USB seront bloquées

Interdire les nouveaux périphériques

  • On peut également interdire l'installation de nouveau périphériques :
Important à savoir, cela impactera les périphériques en général, donc à prendre en considération lors de la sauvegarde et restauration du système sur un nouveau matériel le système pourra ne pas démarrer. Windows GPO | Prevent installation of devices not described by other policy settings
  • Qu'est ce que cela fait?
    • Les clés USB déjà installées : elles continueront à être utilisables
    • Les nouvelles clés USB : elles seront bloquées
    • Ajout d'autres périphériques : ils seront bloqués
    • Activer la stratégie Autoriser les administrateurs à passer outre les stratégies de restriction d'installation de périphériques : les administrateurs pourront installer les périphériques
    • Ajout d'ids dans la stratégie Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphériques : permettra d'autoriser des clés USB avec des ids précises

Ajouter des exceptions

Contrairement à la règle Empêcher l'installation de périphériques amovibles, il est possible ici d'ajouter des exceptions (ou liste blanche) des périphériques que l'on souhaite pouvoir utiliser. Pour ce faire nous pouvons utiliser l'ID de périphérique ou l'ID d'instance de périphérique.

Exceptions avec l'ID de périphérique
  • Depuis le gestionnaire de périphériques, choisir le périphérique à autoriser et cliquer sur Propriétés :
Windows Device Manager | Propriétés du périphérique
  • Depuis le Numéros d'identification du matériel, copier l'Id :
Windows Device Manager | Device properties
  • Éditer la règle Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphériques et coller l'Id :
Windows GPO | Allow installation of devices that match any of these device IDs, adding value
Exceptions avec l'ID d'instance de périphérique
  • Depuis le gestionnaire de périphériques, choisir le périphérique à autoriser et cliquer sur Propriétés :
Windows Device Manager | Propriétés du périphérique
  • Depuis le Chemin d'accès à l'instance du périphérique, copier l'Id :
Windows Device Manager | Device properties
  • Éditer la règle Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphériques et coller l'Id :
Windows GPO | Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphériques, ajouter une valeur

Supprimer les périphériques USB installés

Comme vu précédement les clés USB installées avant l'application des règles seront toujours utilisables. Pour empécher cela, nous aurons besoin de les supprimer ces périphériques du système. Pour ce faire nous avons deux possibilités, depuis le gestionnaire de périphériques Windows ou via le logiciel USBDview.

Gestionnaire de périphérique Windows

  • Ouvrir le gestionnaire de périphériques Windows :
Windows | Run, devmgmt.msc
  • Cliquer sur afficher Afficher les périphériques cachés :
Windows | Device managers, show hidden divices
  • Et supprimer les périphériques déjà installés :
Windows | Device managers, show hidden divices

USBDview

  • Nous pouvons également utiliser le logiciel USBDeview de l'éditeur NirSoft. L'avantage principal est qu'il est possible de supprimer plusieurs périphériques en même temps :
USBDeview | Uninstall devices
  • Nous pouvons aussi obtenir des informations utiles, comme l'instance id et le nuémro de série :
USBDeview | Device Properties
Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

Contact :