Comment bloquer les clés USB par GPO ?

I. Présentation

Les périphériques USB, et notamment les clés USB, représentent un vrai danger, car on y stocke tout et n'importe quoi, et surtout elles trainent d'un PC à l'autre. C'est un excellent moyen de propager des logiciels malveillants (virus, malware, etc). Certaines entreprises préfèrent tout simplement les bloquer. Pour y parvenir sur un parc de machines Windows, l'utilisation des stratégies de groupe s'avère être un bon moyen pour bloquer les clés USB, les disques durs externes, etc.

➡ Même si vous ne déployez pas ce paramètre sur vos postes de travail, c'est également une manière de sécuriser vos serveurs physiques.

L'utilisation de cette GPO nécessite de cibler au minimum Windows 7 et d'avoir un Active Directory avec un schéma en version 44 au minimum. Cette version correspond à Windows Server 2008. Bien entendu, puisque ça fonctionne pour Windows 7, ça fonctionnera pour Windows 10.

II. Bloquer tous les périphériques de stockage USB par GPO

Sur votre contrôleur de domaine, ouvrez la console "Editeur de gestion des stratégies de groupe" et créez une nouvelle GPO via un clic droit.

Nommez cette nouvelle GPO... puis modifiez-la une fois que c'est fait.

Il y a deux façons de voir les choses :

  • Configurer le paramètre au niveau ordinateur pour appliquer la restriction sur l'intégralité des sessions utilisateur sur le PC
  • Configurer le paramètre au niveau utilisateur pour appliquer la restriction seulement sur les utilisateurs sur lesquels s'applique la GPO (liaison sur les OUs)

Voici le chemin vers le dossier qui contient tous les paramètres (idem pour les utilisateurs dans "Configuration utilisateur") :

Configuration ordinateur > Stratégies > Modèles d'administration > Système > Accès au stockage amovible

Ici, nous pouvons voir qu'il y a de nombreux paramètres pour la gestion de l'accès aux périphériques de stockage amovibles. On peut bloquer seulement le lecteur CD/DVD, seulement les disques amovibles (clé USB / disque externe), etc...

Il y a un paramètre radical qui se nomme "Toutes les classes de stockage amovible : refuser tous les accès" (All Removable Storage Classes: Deny All Access) et qui permet tout simplement de bloquer tous les périphériques de stockage : CD, DVD, disquette, clé USB, carte mémoire, disque externe, etc.

Vous devez l'activer si c'est ce que vous souhaitez.

Il y a une autre alternative, certes elle n'offre pas le même niveau de protection, mais elle est pertinente : Disques amovibles : refuser l'accès en exécution (Removable Disk: Deny write access). Ce paramètre vous permet d'autoriser les clés USB, mais seulement pour le transfert de données. Autrement dit, il n'est pas possible d'exécuter un script ou un programme qui serait stocké sur la clé USB.

Dès lors que la GPO est prête et appliquée sur vos postes ou utilisateurs ciblés, il faut tester cette GPO. Vous devrez vous connecter sur un PC et réaliser un "gpupdate /force". Lorsqu'une clé USB sera connectée sur le PC, un message accès refusé va s'afficher à l'écran.

III. Bloquer les clés USB sur un PC en Workgroup

Si vous avez un PC autonome, en workgroup notamment, sur lequel vous souhaitez bloquer l'utilisation des périphériques de stockage USB, il est possible de désactiver complètement le pilote USBSTOR qui correspondant aux périphériques de type "USB Mass Storage Driver".

Pour réaliser cette action facilement sur le PC, il suffit de modifier une clé de registre. PowerShell va nous permettre de le faire avec cette simple commande :

Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\services\USBSTOR" -Name Start -Value 4

Cela revient à modifier cette valeur dans le registre :

Note : pour revenir à l'état initial et réactiver le pilote, il est nécessaire de repasser la valeur sur 3 au lieu de 4.

Suite à l'exécution de cette commande, il faudra redémarrer le PC pour prendre en compte la modification. Dans le Gestionnaire de périphériques, il y aura une erreur sur l'USB suite à cette modification... Une autre manière de faire, c'est d'activer le paramètre que l'on a vu précédemment dans la stratégie de groupe locale. L'accès à la stratégie de groupe s'effectue via la commande suivante :

gpedit.msc

La suite vous la connaissez, c'est le même paramètre que pour la GPO du domaine.

Il ne vous reste plus qu'à prévenir vos utilisateurs et à préparer votre argumentaire, car il y a des chances qu'ils ne soient pas ravis par ce changement.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian a publié 2903 articlesVoir toutes les publications de cet auteur

One thought on “Comment bloquer les clés USB par GPO ?

  • Auriez-vous en complément une méthode pour libérer cet usage uniquement à des profils utilisateurs ?
    Tout en conservant ce blocage pour les stations par défaut. Genre un poste opérateur bloqué mais un « superutilisateur » non…

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.