Comment restreindre l'utilisation des clés USB à l'aide des stratégies de groupe dans Windows

Mise à jour le 07 déc. 2024

En vue d'améliorer la sécurité informatique d'une entreprise, il peut être intéressant de pouvoir interdire la connexion de périphériques non contrôlés tels que des clés USB sur les postes utilisateurs. En effet, des virus peuvent provenir de ces dispositifs s'ils ont été utilisés sur des ordinateurs non sécurisés. Il peut donc être judicieux de pouvoir contrôler les périphériques que vous souhaitez autoriser à se connecter à vos machines.

Certains programmes antivirus offrent cette fonctionnalité, mais il est également possible de le faire via les stratégies de groupe Windows.

Dans cet article, nous verrons comment configurer cela dans un environnement Active Directory.

Stratégie de Groupe

Tout ce dont on a besoin ici se trouve dans Configuration Ordinateur > Modèles d'Administration > Système > Installation de périphériques > Restrictions d'installation de périphériques :

Les stratégies

Nous pouvons utiliser au choix deux stratégies pour gérer nos clés USB. Voyons ici les principales différences entre les deux et comment les mettre en place.

Interdire les périphériques amovibles

Si l'on souhaite interdire tous les médias amovibles on peut activer la règle Empêcher l'installation de périphériques amovibles :

Capture d'écran de l'éditeur de stratégie de groupe montrant le paramètre 'Empêcher l'installation de périphériques amovibles' dans la section des restrictions d'installation de périphériques, avec l'état défini sur 'Activé' et une mise en évidence rouge.

Qu'est ce que cela fait?
- Les clés USB déjà installées : elles continueront à être utilisables
- Les nouvelles clés USB : elles seront bloquées
- Ajout d'autres périphériques : ils pourront être installés
- Activer la stratégie Autoriser les administrateurs à passer outre les stratégies de restriction d'installation de périphériques : n'aura pas d'effet, les nouvelles clés USB seront bloquées
- Ajout d'ids dans la stratégie Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphériques : n'aura pas d'effet, les nouvelles clés USB seront bloquées

Interdire les nouveaux périphériques

On peut également interdire l'installation de nouveau périphériques :

⚠️ Important à savoir, cela impactera les périphériques en général, donc à prendre en considération lors de la sauvegarde et restauration du système sur un nouveau matériel le système pourra ne pas démarrer.⚠️

Capture d'écran de l'éditeur de stratégie de groupe montrant le paramètre 'Empêcher l'installation de périphériques non décrits par d'autres paramètres de stratégie' dans la section des restrictions d'installation de périphériques, avec l'état défini sur 'Non configuré' et une mise en évidence rouge.

Qu'est ce que cela fait?
- Les clés USB déjà installées : elles continueront à être utilisables
- Les nouvelles clés USB : elles seront bloquées
- Ajout d'autres périphériques : ils seront bloqués
- Activer la stratégie Autoriser les administrateurs à passer outre les stratégies de restriction d'installation de périphériques : les administrateurs pourront installer les périphériques
- Ajout d'ids dans la stratégie Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphériques : permettra d'autoriser des clés USB avec des ids précises

Ajouter des exceptions

Contrairement à la règle Empêcher l'installation de périphériques amovibles, il est possible ici d'ajouter des exceptions (ou liste blanche) des périphériques que l'on souhaite pouvoir utiliser. Pour ce faire nous pouvons utiliser l'ID de périphérique ou l'ID d'instance de périphérique.

Exceptions avec l'ID de périphérique

Depuis le gestionnaire de périphériques, choisir le périphérique à autoriser et cliquer sur Propriétés :

Capture d'écran du gestionnaire de périphériques montrant le menu contextuel d'un disque flash USB avec l'option « Propriétés » en surbrillance.

Depuis le Numéros d'identification du matériel, copier l'Id :

$Capture d'écran des propriétés d'un dispositif de stockage USB dans le Gestionnaire de périphériques Windows, affichant les numéros d'identification du matériel avec la valeur 'USB\VID_1B1C&PID_1A09&REV_1A54' mise en évidence.$

Éditer la règle Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphériques et coller l'Id :

Capture d'écran de l'éditeur de stratégie de groupe montrant la fenêtre « Allow installation of devices that match any of these device IDs » (Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphérique) avec un ID de matériel USB spécifique saisi et le bouton OK mis en surbrillance.

Exceptions avec l'ID d'instance de périphérique

Depuis le gestionnaire de périphériques, choisir le périphérique à autoriser et cliquer sur Propriétés :

Depuis le Chemin d'accès à l'instance du périphérique, copier l'Id :

$Capture d'écran des propriétés d'un périphérique USB Voyager GT 3.0 dans le Gestionnaire de périphériques Windows, affichant le chemin d'accès à l'instance du périphérique avec la valeur 'USB\VID_1B1C&PID_1A09\13380000000097781111' mise en évidence.$

Éditer la règle Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphériques et coller l'Id :

Capture d'écran de l'éditeur de stratégie de groupe montrant la fenêtre 'Autoriser l'installation de périphériques correspondant à l'un de ces ID d'instance' avec un identifiant d'instance USB spécifique saisi et le bouton OK mis en évidence.

Supprimer les périphériques USB installés

Comme vu précédement les clés USB installées avant l'application des règles seront toujours utilisables. Pour empécher cela, nous aurons besoin de les supprimer ces périphériques du système. Pour ce faire nous avons deux possibilités, depuis le gestionnaire de périphériques Windows ou via le logiciel USBDview.

Gestionnaire de périphérique Windows

Ouvrir le gestionnaire de périphériques Windows :

Capture d'écran de la boîte de dialogue Exécuter de Windows avec « devmgmt.msc » saisi dans le champ Ouvrir et le bouton OK en surbrillance.

Cliquer sur afficher Afficher les périphériques cachés :

Capture d'écran du Gestionnaire de périphériques avec le menu Affichage ouvert et l'option « Afficher les périphériques cachés » en surbrillance.

Et supprimer les périphériques déjà installés :

Capture d'écran du gestionnaire de périphériques montrant le menu contextuel d'un périphérique de stockage de masse USB avec l'option « Désinstaller le périphérique » en surbrillance et une flèche pointant vers elle.

USBDview

Nous pouvons également utiliser le logiciel USBDeview de l'éditeur NirSoft téléchargeable ici : https://www.nirsoft.net. L'avantage principal est qu'il est possible de supprimer plusieurs périphériques en même temps :

Capture d'écran de l'outil USBDeview montrant une liste de périphériques USB avec le menu contextuel ouvert et l'option « Désinstaller les périphériques sélectionnés » en surbrillance.

Nous pouvons aussi obtenir des informations utiles, comme l'instance id et le nuémro de série :

Capture d'écran d'USBDeview montrant les propriétés détaillées d'un périphérique USB Voyager GT 3.0, y compris le numéro de série, l'ID du vendeur, l'ID du produit et les détails du pilote.

Informatique

Zik

Autres