Comment bloquer les clés USB par GPO ?
Sommaire
I. Présentation
Dans ce tutoriel, nous allons apprendre à résoudre à la problématique suivante avec une stratégie de groupe (GPO) : comment bloquer les clés USB sur les machines Windows ?
Les périphériques USB, et notamment les clés USB, représentent un vrai danger, car on y stocke tout et n'importe quoi, et surtout, elles trainent d'un PC à l'autre. C'est un excellent moyen de propager des logiciels malveillants (virus, malware, etc). Certaines entreprises préfèrent tout simplement les bloquer. Pour y parvenir sur un parc de machines Windows, l'utilisation des stratégies de groupe s'avère être un bon moyen pour bloquer les clés USB, les disques durs externes, etc.
➡ Même si vous ne déployez pas ce paramètre sur vos postes de travail, c'est également une manière de sécuriser vos serveurs physiques.
L'utilisation de cette GPO nécessite de cibler au minimum Windows 7 et d'avoir un Active Directory avec un schéma en version 44 au minimum. Cette version correspond à Windows Server 2008. Bien entendu, puisque ça fonctionne pour Windows 7, ça fonctionnera pour Windows 10 et Windows 11.
II. Bloquer tous les périphériques de stockage USB par GPO
Sur votre contrôleur de domaine, ouvrez la console "Editeur de gestion des stratégies de groupe" et créez une nouvelle GPO via un clic droit.
Nommez cette nouvelle GPO... puis modifiez-la une fois que c'est fait.
Il y a deux façons de voir les choses :
- Configurer le paramètre au niveau ordinateur pour appliquer la restriction sur l'intégralité des sessions utilisateur sur le PC
- Configurer le paramètre au niveau utilisateur pour appliquer la restriction seulement sur les utilisateurs sur lesquels s'applique la GPO (liaison sur les OUs)
Voici le chemin vers le dossier qui contient tous les paramètres (idem pour les utilisateurs dans "Configuration utilisateur") :
- Configuration ordinateur > Stratégies > Modèles d'administration > Système > Accès au stockage amovible
Ici, nous pouvons voir qu'il y a de nombreux paramètres pour la gestion de l'accès aux périphériques de stockage amovibles. On peut bloquer seulement le lecteur CD/DVD, seulement les disques amovibles (clé USB / disque externe), etc...
Il y a un paramètre radical qui se nomme "Toutes les classes de stockage amovible : refuser tous les accès" (All Removable Storage Classes: Deny All Access) et qui permet tout simplement de bloquer tous les périphériques de stockage : CD, DVD, disquette, clé USB, carte mémoire, disque externe, etc.
Vous devez l'activer si c'est ce que vous souhaitez.
Il y a une autre possibilité, certes, elle n'offre pas le même niveau de protection, mais elle est pertinente : Disques amovibles : refuser l'accès en exécution (Removable Disk: Deny write access). Ce paramètre vous permet d'autoriser les clés USB, mais seulement pour le transfert de données. Autrement dit, il n'est pas possible d'exécuter un script ou un programme qui serait stocké sur la clé USB.
Dès lors que la GPO est prête et appliquée sur vos postes ou utilisateurs ciblés, il faut tester cette GPO. Vous devrez vous connecter sur un PC et réaliser un "gpupdate /force". Lorsqu'une clé USB sera connectée sur le PC, un message accès refusé va s'afficher à l'écran.
III. Bloquer les clés USB sur un PC en Workgroup
Si vous avez un PC autonome, en workgroup notamment, sur lequel vous souhaitez bloquer l'utilisation des périphériques de stockage USB, il est possible de désactiver complètement le pilote USBSTOR qui correspondant aux périphériques de type "USB Mass Storage Driver".
Pour réaliser cette action facilement sur le PC, il suffit de modifier une clé de registre. PowerShell va nous permettre de le faire avec cette simple commande :
Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\services\USBSTOR" -Name Start -Value 4
Cela revient à modifier cette valeur dans le registre :
Note : pour revenir à l'état initial et réactiver le pilote, il est nécessaire de repasser la valeur sur 3 au lieu de 4.
Suite à l'exécution de cette commande, il faudra redémarrer le PC pour prendre en compte la modification. Dans le Gestionnaire de périphériques, il y aura une erreur sur l'USB suite à cette modification... Une autre manière de faire, c'est d'activer le paramètre que l'on a vu précédemment dans la stratégie de groupe locale. L'accès à la stratégie de groupe s'effectue via la commande suivante :
gpedit.msc
La suite, vous la connaissez, c'est le même paramètre que pour la GPO du domaine.
Il ne vous reste plus qu'à prévenir vos utilisateurs et à préparer votre argumentaire, car il y a des chances qu'ils ne soient pas ravis par ce changement.
IV. Conclusion
Grâce à la mise en œuvre de cette stratégie, vous pouvez renforcer la sécurité de vos postes de travail si votre politique de sécurité consiste à prohiber l'utilisation des clés USB, disques externes USB, etc.
Auriez-vous en complément une méthode pour libérer cet usage uniquement à des profils utilisateurs ?
Tout en conservant ce blocage pour les stations par défaut. Genre un poste opérateur bloqué mais un « superutilisateur » non…
bonsoir,
serait-il possible de bloquer les clé usb si l’utilisateur et connecté par le VPN ?
Il y a des logiciels tierces (comme DeviceLock DLP, ApexOne et d’autres) qui permettent de définir une politique plus fine de gestion des clés USB. Après, sur le cas spécifique du VPN, je ne sais pas si elles le font.
Bonjour à tous,
Il me semble que le mieux c’est de bloquer et clé USB via GPO forcément sur les PC qui sont dans le domaine.
Les PC externes ne devrait pas se connecter en VPN, puisqu’ils ne sont pas protégés par votre société.
Le mieux est d’utiliser un système de bastion qui passe par une page Web.
Elle est cette manière de faire les utilisateurs externes sont cloisonné dans la page Web du Bastion (exp : Guacamole)
Cela règle le problème de clé USB.
Si ça peut servir à certain…