11/12/2024

Astuces

Windows : comment bloquer les clés USB et les disques externes sur une machine locale ?

I. Présentation

Dans ce tutoriel, nous allons voir comment bloquer les ports USB d’un poste de travail Windows pour empêcher un utilisateur de connecter des périphériques de stockage USB : clés USB, disques durs externes USB, etc... !

La restriction configurée dans cet article s'appliquera à un utilisateur, sur l'ordinateur auquel l'utilisateur a l’habitude de se connecter. La configuration sera effectuée via une stratégie de groupe locale, avec la console Microsoft Management Console (MMC) de Windows !

Pour un besoin de sécurité ou de confidentialité, le propriétaire ou le responsable d'un poste de travail ou d'un serveur, peut vous solliciter afin de bloquer l'accès à tout périphérique de stockage USB sur une machine. Nous pouvons citer plusieurs raisons : se protéger contre les éventuels virus pouvant s'exécuter suite à l'exécution d'un fichier, se protéger contre le vol de données de l'entreprise ou données personnelles, etc.

Cependant, si cette machine n’est pas sous l’autorité d’un contrôleur de domaine Active Directory (le propriétaire des lieux n’ayant certainement pas les moyens de s’en offrir, n'en a pas le besoin, ou n’y ayant certainement pas pensé) : comment faire pour y parvenir ?

Eh bien, nous allons répondre à cette problématique dans ce tutoriel ! Si vous travaillez en environnement Active Directory, vous pouvez consulter ce tutoriel :

Remarque : la méthode présentée dans ce tutoriel fonctionne sur les différentes versions de Windows, y compris Windows 10 et Windows 11. Elle fonctionne sur toutes les éditions, sauf Famille / Home (ceci implique des manipulations supplémentaires).

II. Mise en oeuvre des restrictions

A. Prérequis

D’abord, on crée un compte Administrateur local protégé par mot de passe sur le poste de travail (seul compte autorisé à exécuter des tâches d’administration sur le poste). Ensuite, on crée un compte utilisateur local (protégé ou pas en fonction de la demande du propriétaire du poste) et on met ce compte dans le groupe local "Utilisateurs".

Pour cet exercice, l’administrateur du poste de travail s’appellera "Admin", et l’utilisateur s’appellera "Consultation2a". N’oubliez pas de les remplacer à chaque fois par des noms d’utilisateurs qui sont propres à votre environnement.

Commençons par brancher le périphérique sur l'un des ports USB du poste de travail pour être sûr qu’on y a effectivement accès pour le moment, avant d’engager les opérations de restriction.

Accès au stockage USB avant la mise en place des restrictions, depuis le compte utilisateur :

Accès au stockage USB avant la mise en place des restrictions, depuis le compte Admin :

B. Blocage des ports USB pour le compte utilisateur (non-administrateur)

On se connecte ensuite avec le compte Admin, on ouvre la MMC par la barre de recherche du menu Démarrer de Windows. Sinon, l'alternative consiste à utiliser le raccourci clavier « Windows + R » afin de saisir « mmc » dans la fenêtre Exécuter. Puis, on valide avec « oui ».

Une fois la console ouverte, on clique sur « Fichier » puis sur « Ajouter/Supprimer un composant logiciel enfichable ».

Ensuite, on clique sur « Éditeur d’objet de stratégie de groupe », puis sur « Ajouter ».

Une nouvelle fenêtre s’ouvre et on poursuit en cliquant sur « Parcourir ». 

Ici, on sélectionne l’utilisateur à restreindre par la stratégie (ici "Consultation2a") et on valide. Autrement dit, sélectionnez l'utilisateur qui ne doit pas pouvoir connecter de clés USB, disques externes, etc... sur la machine.

Une fois l’utilisateur sélectionné, on revient à la fenêtre précédente et on clique sur « Terminer ».

Enfin, on valide la stratégie.

On retourne à la fenêtre principale de la MMC pour démarrer la configuration de la stratégie comme suit :

  • Stratégie Ordinateur local/Consultation2a > Configuration utilisateur > Modèles d’administration > Système > Accès au stockage amovible

On peut désormais apercevoir les paramètres « Disques amovibles : refuser l’accès en lecture » et « Disques amovibles : refuser l’accès en écriture ».

On double-clique tour à tour sur les deux paramètres suscités pour les activer, puis valider comme sur les captures d’écran ci-dessous.

Nous bloquons l'accès en lecture :

Ainsi que l'accès en écriture :

Une image contenant texte, capture d’écran, logiciel, Page web

Description générée automatiquement

Une fois terminé, on enregistre la stratégie sous un emplacement au choix et bien sûr sécurisé pour une utilisation ultérieure, au besoin.

Désormais, on doit tester la stratégie ! Donc, on applique la GPO via une console CMD en exécutant la fameuse commande « gpupdate/force ».

C. Test de fonctionnement.

Une fois la stratégie appliquée, on voit qu’on a toujours accès aux dossiers et fichiers de la clé USB branchée sur le poste de travail lorsqu’on est connecté avec le compte Administrateur (Admin).

Une image contenant texte, capture d’écran, logiciel, Logiciel multimédia

Description générée automatiquement

Ce qui n’est cependant plus le cas une fois qu’on est connecté à l’aide du compte utilisateur standard (Consultation2a). On peut le voir à travers le message d’erreur « G:\ n’est pas accessible, Accès refusé ». La restriction s'applique correctement !

III. Conclusion

On vient de voir comment bloquer l’accès (Lecture/Écriture) à un stockage USB à un utilisateur précis sur un poste de travail Windows multi-utilisateurs ! Nous avons atteint notre objectif grâce à la configuration de la stratégie de groupe locale, par l'intermédiaire de la console MMC (Microsoft Management Console) de Microsoft.

Cette solution est pratique pour des restrictions de sécurité lorsqu’on n’a pas assez de moyen pour s’installer un contrôleur de Domaine Active Directory sous Windows Server. Ceci est utile aussi sur un poste de travail isolé.

Cependant, elle est accessible par défaut sur les éditions actuellement sous le support de Windows en édition Professionnel et Enterprise (Windows 10 et Windows 11). Pour le cas de l’édition Familiale, par exemple, il faudra encore activer des paramètres supplémentaires pour avoir accès aux GPO (car la fonction n'est pas disponible nativement).

author avatar
Emile Fabrice ATANGANA ADZABA Technicien Informatique et Réseau
Technicien Informatique et Réseau, Gérant et Directeur Technique chez MEISTER INFORMATIK, une entreprise de services numériques basée à Yaoundé au Cameroun, spécialisée dans l'installation, la maintenance et le suivi des parcs informatiques des PME et des particuliers.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

4 commentaires sur “Windows : comment bloquer les clés USB et les disques externes sur une machine locale ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.