logo rss

Comment restreindre les clés USB à l'aide des stratégies de groupe sous Windows

Illustration d'un agent de sécurité arrêtant l'utilisation non autorisée d'un dispositif USB, avec un panneau d'arrêt rouge en arrière-plan.

Pour améliorer la sécurité informatique en entreprise, il peut être utile d'interdire la connexion de périphériques non contrôlés comme les clés USB sur les postes utilisateurs. Ces périphériques peuvent être porteurs de virus s'ils ont été connectés à des machines non sécurisées. Il est donc pertinent de contrôler les périphériques autorisés à se connecter aux ordinateurs.

Certains antivirus proposent cette fonctionnalité, mais il est aussi possible de le faire via les stratégies de groupe de Windows.

Dans cet article, nous verrons comment mettre cela en place dans un environnement Active Directory.

Stratégie de Groupe

  • Pour configurer les restrictions sur les périphériques USB, ouvrez le Éditeur de gestion des stratégies de groupe et accédez à : Configuration Ordinateur > Modèles d'Administration > Système > Installation de périphériques > Restrictions d'installation de périphériques :
Capture d'écran de l'éditeur de stratégie de groupe montrant les paramètres de restriction d'installation de périphériques dans la stratégie de domaine par défaut.

Règles GPO

Pour contrôler l'accès aux clés USB, deux principales règles de stratégie de groupe sont disponibles. La première bloque tous les supports amovibles, tandis que la seconde bloque tout nouveau périphérique non explicitement autorisé. Voici une comparaison des deux ainsi que des conseils pour les configurer efficacement.

Bloquer tous les supports amovibles

  • Pour bloquer l'installation de tous les supports amovibles, activez la stratégie Empêcher l'installation de périphériques amovibles dans les stratégies de groupe :
Capture d'écran de l'éditeur de stratégie de groupe montrant le paramètre 'Empêcher l'installation de périphériques amovibles' dans la section des restrictions d'installation de périphériques, avec l'état défini sur 'Activé' et une mise en évidence rouge.
  • Effet de cette stratégie :
    • Clés USB déjà installées : restent fonctionnelles.
    • Nouvelles clés USB : leur installation est bloquée.
    • Autres nouveaux périphériques : leur installation est autorisée.
    • Autoriser les administrateurs à passer outre les stratégies de restriction d'installation de périphériques : cette règle s'appliquera quand même ; les administrateurs ne pourront pas la contourner.
    • Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphériques : sans effet avec cette règle ; les exceptions ne sont pas prises en compte.

Bloquer l'installation de nouveaux périphériques

  • Il est également possible de bloquer l'installation de tout nouveau périphérique :

⚠️ Attention : cette stratégie empêche l'installation de tous les nouveaux périphériques, pas uniquement des clés USB. Soyez prudent lors d'une restauration système sur un nouveau matériel, car Windows risque de ne pas démarrer s’il ne peut pas installer les pilotes nécessaires. ⚠️

Capture d'écran de l'éditeur de stratégie de groupe montrant le paramètre 'Empêcher l'installation de périphériques non décrits par d'autres paramètres de stratégie' dans la section des restrictions d'installation de périphériques, avec l'état défini sur 'Non configuré' et une mise en évidence rouge.
  • Effet de cette stratégie :
    • Clés USB déjà installées : restent fonctionnelles.
    • Nouvelles clés USB : leur installation est bloquée.
    • Autres nouveaux périphériques : leur installation est bloquée.
    • Autoriser les administrateurs à passer outre les stratégies de restriction d'installation de périphériques : les administrateurs pourront installer des périphériques.
    • Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphériques : les périphériques spécifiés seront autorisés.

Ajout d'exceptions

Contrairement à la règle Empêcher l'installation de périphériques amovibles, cette stratégie permet d’ajouter des exceptions (liste blanche) pour autoriser certains périphériques spécifiques. Pour cela, on peut utiliser des ID de périphériques ou des ID d’instances de périphériques.

Exceptions avec des ID de périphériques
  • Ouvrez le Gestionnaire de périphériques, faites un clic droit sur le périphérique, puis sélectionnez Propriétés :
Capture d'écran du gestionnaire de périphériques montrant le menu contextuel d'un disque flash USB avec l'option « Propriétés » en surbrillance.
  • Dans l’onglet Détails, sélectionnez Numéros d'identification du matériel et copiez la valeur de l’ID :
Capture d'écran des propriétés d'un dispositif de stockage USB dans le Gestionnaire de périphériques Windows, affichant les numéros d'identification du matériel avec la valeur 'USB\VID_1B1C&PID_1A09&REV_1A54' mise en évidence.
  • Modifiez la stratégie Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphériques et collez-y la valeur de l’ID :
Capture d'écran de l'éditeur de stratégie de groupe montrant la fenêtre « Allow installation of devices that match any of these device IDs » (Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphérique) avec un ID de matériel USB spécifique saisi et le bouton OK mis en surbrillance.
Exceptions avec les IDs d’instance
  • Dans le Gestionnaire de périphériques, sélectionnez votre périphérique et cliquez sur Propriétés :
Capture d'écran du gestionnaire de périphériques montrant le menu contextuel d'un disque flash USB avec l'option « Propriétés » en surbrillance.
  • Dans l’onglet Détails, sélectionnez Numéros d'identification du matériel et copiez la valeur de l’ID :
Capture d'écran des propriétés d'un périphérique USB Voyager GT 3.0 dans le Gestionnaire de périphériques Windows, affichant le chemin d'accès à l'instance du périphérique avec la valeur 'USB\VID_1B1C&PID_1A09\13380000000097781111' mise en évidence.
  • Modifiez la stratégie Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphériques et collez-y la valeur de l’ID :
Capture d'écran de l'éditeur de stratégie de groupe montrant la fenêtre 'Autoriser l'installation de périphériques correspondant à l'un de ces ID d'instance' avec un identifiant d'instance USB spécifique saisi et le bouton OK mis en évidence.

Supprimer les périphériques USB installés

Comme nous l'avons vu plus haut, les clés USB déjà installées resteront accessibles malgré les règles de stratégie. Pour éviter cela, il faut supprimer ces périphériques. Pour ce faire, deux méthodes sont possibles : via la console Gestionnaire de périphériques Windows ou en utilisant le logiciel USBDeview.

Méthode 1 : Utiliser le Gestionnaire de périphériques

  • Ouvrez la console Gestionnaire de périphériques de Windows :
Capture d'écran de la boîte de dialogue Exécuter de Windows avec « devmgmt.msc » saisi dans le champ Ouvrir et le bouton OK en surbrillance.
  • Affichez les périphériques cachés :
Capture d'écran du Gestionnaire de périphériques avec le menu Affichage ouvert et l'option « Afficher les périphériques cachés » en surbrillance.
  • Et supprimez les périphériques déjà installés :
Capture d'écran du gestionnaire de périphériques montrant le menu contextuel d'un périphérique de stockage de masse USB avec l'option « Désinstaller le périphérique » en surbrillance et une flèche pointant vers elle.

Méthode 2 : Utiliser USBDeview (NirSoft)

  • Vous pouvez également utiliser l’outil USBDeview de NirSoft, téléchargeable ici : https://www.nirsoft.net/. Son principal avantage est de permettre la suppression de plusieurs périphériques en même temps :
Capture d'écran de l'outil USBDeview montrant une liste de périphériques USB avec le menu contextuel ouvert et l'option « Désinstaller les périphériques sélectionnés » en surbrillance.
  • Il permet aussi d’obtenir des informations utiles, comme l’ID d’instance et le numéro de série :
Capture d'écran d'USBDeview montrant les propriétés détaillées d'un périphérique USB Voyager GT 3.0, y compris le numéro de série, l'ID du vendeur, l'ID du produit et les détails du pilote.