Sécuriser les ports USB sous Windows avec les GPO
IntroductionCe tutoriel explique comment appliquer des règles strictes pour les appareils USB via les politiques de groupe (GPO) dans un environnement Active Directory sous Windows 11. Vous apprendrez à configurer des restrictions d'accès pour améliorer la sécurité de votre système et prévenir les risques liés à l'utilisation de périphériques USB non autorisés.
Prérequis• Un ordinateur sous Windows 11 avec les droits d'administrateur
• Un environnement Active Directory avec un schéma en version 44 minimum (Windows Server 2008)
• Connaissance de base de l'éditeur de gestion des stratégies de groupe (gpedit.msc)
Méthode 1 : Bloquer tous les périphériques de stockage USB via la console gpedit.mscCette méthode utilise l'éditeur de gestion des stratégies de groupe (gpedit.msc) pour configurer une GPO qui bloque l'accès à tous les périphériques de stockage USB.
Étapes à suivre pour la méthode 1• Ouvrez l'éditeur de gestion des stratégies de groupe en exécutant la commande
Code:
gpedit.msc• Naviguez vers "Configuration ordinateur" > "Stratégies" > "Modèles d'administration" > "Système" > "Accès au stockage amovible".
• Double-cliquez sur "Disques amovibles : refuser l'accès en lecture".
• Sélectionnez "Activé" puis cliquez sur "Appliquer" et "OK".
• Répétez les étapes 3 et 4 pour "Disques amovibles : refuser l'accès en écriture".
Méthode 2 : Bloquer des périphériques USB spécifiques avec PowerShellCette méthode utilise PowerShell pour bloquer des périphériques USB spécifiques en fonction de leurs identifiants matériels.
Étapes à suivre pour la méthode 2• Identifiez l'identifiant matériel du périphérique USB à bloquer (voir Astuce).
• Ouvrez PowerShell en tant qu'administrateur.
• Exécutez la commande suivante pour créer une nouvelle règle de restriction :
Code:
$rule = New-GPODeviceInstallationRule -DeviceId "USB\VID_XXXX&PID_YYYY" -Deny• Remplacez "USB\VID_XXXX&PID_YYYY" par l'identifiant matériel du périphérique.
• Exécutez la commande suivante pour appliquer la règle à une GPO existante :
Code:
Add-GPODeviceInstallationRule -GpoId "GUID de la GPO" -DeviceInstallationRule $rule• Remplacez "GUID de la GPO" par le GUID de la GPO que vous souhaitez modifier.
Avantages des 2 méthodes Avantage de la méthode 1Simple et rapide à mettre en place pour bloquer tous les périphériques de stockage USB.
Avantage de la méthode 2Permet un contrôle plus granulaire en bloquant des périphériques spécifiques.
Inconvénients des 2 méthodes
Inconvénient de la méthode 1Bloque tous les périphériques de stockage USB sans distinction.
Inconvénient de la méthode 2Nécessite l'identification de l'identifiant matériel de chaque périphérique à bloquer.
AstucePour trouver l'identifiant matériel d'un périphérique USB, utilisez le Gestionnaire de périphériques :
• Cliquez avec le bouton droit sur le périphérique et sélectionnez "Propriétés".
• Allez dans l'onglet "Détails" et sélectionnez "Identifiants matériels" dans la liste déroulante "Propriété".
Mise en gardeL'application de GPO peut avoir un impact sur les performances du système et les utilisateurs. Assurez-vous de tester les GPO dans un environnement de test avant de les déployer en production.
ConseilUtilisez des noms descriptifs pour vos GPO afin de faciliter leur gestion.
Solution alternativeDes solutions de sécurité tierces, telles que McAfee Drive Encryption ou Sophos Endpoint Security, offrent des fonctionnalités avancées de contrôle des périphériques USB, notamment le chiffrement et la gestion des accès.
• https://support.google.com/websearc...lème-url-non-valide-supprimée-de-gemini?hl=fr
• https://support.google.com/websearc...lème-url-non-valide-supprimée-de-gemini?hl=fr
ConclusionEn appliquant des règles strictes pour les appareils USB via les GPO, vous renforcez la sécurité de votre environnement Windows et limitez les risques liés aux périphériques amovibles. N'oubliez pas de tester vos GPO et de les adapter à vos besoins spécifiques.
