Dans ce tutoriel, je vais vous expliquer comment bloquer l’accès au périphérique de stockage USB avec une stratégie de groupe (GPO) dans un environnement Active Directory.
Par périphérique de stockage USB on entent :
- Clé USB
- Disque dur USB
- Téléphone
Aujourd’hui avec le risque de menace cyber, il est important de protéger son système d’information et le blocage des périphériques de stockage USB en fait partie.
Pour vous en convaincre, amuser vous à laisser une clé USB sur le parking où vous travaillez et vous verrez que celle-ci sera ramasser et brancher sur un ordinateur.
La mise en place d’un tel blocage, implique aussi une communication auprès des utilisateurs, car il y a fort à parier que des collaborateurs échange des documents avec des clés USB.
En solution alternative pour échanger des fichiers, il peut être intéressant de mettre en place une solution cloud contrôler comme un Nextcloud autohébergé afin que les utilisateurs puissant continuer d’échanger.
Si vous ne proposez pas d’alternative en interne, les utilisateurs se tourneront vers des solutions gratuites comme Onedrive, Googledrive ou Wetransfert, ce qui peut aussi poser des problèmes sécurités et de confidentialités d’informations.
Revenons au sujet principal, le blocage des périphériques de stockage USB, il peut être opérer à deux niveaux avec les stratégies de groupe :
- Niveau ordinateur : ce qui implique tous les utilisateurs seront bloqués
- Niveau utilisateur : en fonction de l’utilisateur connecté, il sera possible d’utiliser un périphérique USB si la stratégie de groupe n’est pas appliqué.
Si vous êtes perdu sur la configuration Ordinateurs / Utilisateurs, je vous invite à lire ce cours : Comprendre les stratégies de groupe.
Ouvrir la console Gestion de stratégie de groupe, depuis la console, faire un clic sur Objets de stratégie de groupe et cliquer sur Nouveau 1.
Nommer 1 la stratégie de groupe et cliquer sur OK 2 pour créer l’objet.
Faire un clic droit sur l’objet stratégie de groupe que l’on vient de créer et cliquer sur Modifier 1.
Dans le tutoriel, je vais appliquer les paramètres au niveau de la configuration Utilisateur, pour accéder aux paramètres voici les emplacements :
- Configuration ordinateur : Stratégies / Modèles d’administration / Système / Accès au stockage amovible
- Configuration utilisateur : Stratégies / Modèles d’administration / Système / Accès au stockage amovible
Aller à l’emplacement en fonction de comment vous souhaitez appliquer la stratégie de groupe (GPO).
Faire un double clic sur le paramètres : Toutes les classes de stockage amovibles : refuser tous les accès 1.
Activer 1 la paramètre puis cliquer sur Appliquer 2 et OK 3.
La stratégie de groupe est configurée, fermer l’éditeur de gestion des stratégie de groupe.
Pour appliquer notre GPO, nous allons maintenant lier l’objet pour qu’elle soit appliquée.
Dans l’exemple, je vais appliquer à l’OU Departements / Compta / Users afin que les utilisateurs qui se trouve dedans ne puissent pas utiliser de stockage amovible.
Faire un clic droit à l’emplacement souhaité et cliquer sur Lier un objet de stratégie de groupe existant 1.
Sélectionner l’objet 1 et cliquer sur OK 2.
La GPO pour bloquer l’accès aux clés USB est lié à l’unité d’organisation.
Maintenant, on va tester la stratégie, pour cela je vais me connecter sur un ordinateur avec l’utilisateur Pierre KiRoule, qui se trouve dans l’OU Departements / Compta / Users.
Comme vous pouvez le voir sur la capture ci-dessous, j’ai ouvert la session de Pierre KiRoule sur un ordinateur Windows 10.
Pour m’assurer de la prise en compte de la stratégie de groupe, je vérifie avec la commande gpresult /r.
Comme on peut le voir sur la capture, la stratégie est bien appliquée.
Je connecte une clé USB à ma machine.
Maintenant, on ouvre l’explorateur et on peut voir la clé USB.
Si on essaie de l’ouvrir, un message d’erreur s’affiche, indiquant : Accès refusé, la stratégie de groupe fonctionne.
Vous savez maintenant bloquer l’accès aux clés USB à l’aide d’une stratégie groupe.