GPO Windows autoriser uniquement certains peripheriques USB
  • 25 juin 2025
  • ComputaSYS
  • 0


I. Présentation

Dans ce tutoriel, nous allons apprendre à limiter le nombre de périphériques autorisés à s’installer sur un poste ou un serveur Windows en utilisant des stratégies de groupe (GPO).

Par défaut, la plupart des périphériques USB (comme les clés USB, disques durs externes, imprimantes, etc.) peuvent être installés et reconnus par Windows, à condition que le système d’exploitation dispose du pilote nécessaire. Ces actions peuvent même être entièrement automatisées, l’utilisateur ou l’administrateur n’ayant plus qu’à profiter de la ressource installée.

Les cybercriminels peuvent cependant se servir de ces périphériques USB comme point d’entrée ou vecteurs d’attaques pour compromettre un système ou tout un parc informatique entier.

Dans ce cas, l’une des méthodes de protection native pour se protéger de ces attaques, serait de bloquer l’installation ou la lecture des périphériques via une GPO sur tous les PC.

Les tutoriels ci-dessous expliquent d’ailleurs comment y parvenir.

Cette approche peut néanmoins paraître quelque peu radicale, qu’il s’agisse d’une GPO d’ordinateur ou d’utilisateur. Une autre approche, un peu moins drastique, consiste à créer une liste blanche des périphériques autorisés à être installés ou utilisés sur nos postes de travail et serveurs.

On verra donc ici comment utiliser les stratégies de groupe pour créer une liste blanche de périphériques USB autorisés à se connecter à nos équipements.

Rappel : la méthode exposée ici est applicable aussi bien aux environnements Active Directory (Windows Server) qu’aux environnements locaux (Windows 10 et 11). Il faudrait par ailleurs être administrateur du PC ou du domaine pour effectuer cette configuration.

II. Principe d’installation d’un périphérique USB sous Windows

Lorsqu’on branche un périphérique USB à un PC pour la première fois, le système d’exploitation le détecte et l’identifie. Ensuite, il cherche le pilote approprié pour établir la connexion et communiquer avec le périphérique. Mais, comment procède-t-il pour trouver le pilote correspondant au périphérique ?

En fait, chaque périphérique contient un ou plusieurs identifiants au sein d’une chaîne d’identification. C’est précisément cette chaîne que Windows obtient lorsqu’il interroge un périphérique nouvellement connecté à l’ordinateur.

Windows recherchera alors le pilote correspondant à l’un des identifiants de la chaîne d’identification du périphérique. Une fois trouvé, il l’installera et créera une instance ou un identifiant unique dans son sous-système Plug and Play.

Cette action permettra l’automatisation de la reconnaissance et de la lecture du périphérique aux connexions futures.

Les identificateurs essentiels utilisés par Windows pour effectuer ces opérations sont :

ID d’instance d’appareil : nouvel identifiant de périphérique attribué par le sous-système Plug and Play de Windows.

ID de l’appareil : identifiant natif attribué à l’équipement par son fabricant. Les deux sous-types sont les ID matériels et les ID compatibles.

Classes de configuration de l’appareil : regroupe un ensemble d’équipement soumis au même mode de configuration ou d’installation.

Type d’appareil « Appareils amovibles »

C’est justement sur ces éléments qu’on va s’appuyer pour créer une liste de blocage ou d’autorisation de périphériques. Pour récupérer ces informations, on ouvre le Gestionnaire de périphériques de Windows. On fait un clic droit sur le ou les périphériques concernés, puis on sélectionne Propriétés. Dans la fenêtre qui s’affiche, on va dans l’onglet Détails pour trouver les informations souhaitées.

Remarque : Gardez à l’esprit que cette restriction pourrait impacter l’installation de périphériques essentiels comme les claviers et souris. Le blocage ne se limite donc pas aux imprimantes et autres stockages USB. Par conséquent, il est préférable de n’activer cette configuration qu’après avoir installé le nécessaire pour faire machine arrière en cas de problème, surtout si l’installation se fait en local.

III. GPO : restreindre l’installation de périphériques Windows

Pour aller éditer les stratégies de restriction ou d’autorisation d’installation de périphériques sous Windows, on suit le chemin d’accès ci-dessous :

Configuration d’ordinateur > Modèles d’administration > Système > Installation de périphériques > Restrictions d’installation.

On peut y retrouver plusieurs types de stratégies (restrictions et autorisations), qu’on peut d’ailleurs combiner en fonction de sa stratégie et de l’objectif visé.

La lecture de ces stratégies de groupe par le système suit cependant un ordre prédéfini :

La stratégie de groupe qui bloque l’installation d’un périphérique non autorisé prime sur toute stratégie autorisant l’installation.

Si la stratégie de groupe permettant d’appliquer un ordre superposé de niveau d’évaluation pour autoriser et empêcher les stratégies d’installation d’appareils sur tous les critères de correspondance des appareils est activée, celles permettant d’empêcher ou autoriser un périphérique à partir de son ID d’instance priment sur les autres.

Pour ce tutoriel, nous allons appliquer la stratégie ci-dessous :

Pour toutes les tâches de maintenance et d’installation logicielle, une seule clé USB est supportée par le système : la SanDisk 3.2 Gen1. Cette dernière est bien sûr détenue par le service informatique ou l’administrateur système.

Bloquer ensuite l’installation de tout autre périphérique (clé USB, disque dur externe, imprimantes, etc.)

A. Lister les périphériques USB autorisés à s’installer

Pour lister les périphériques autorisés à s’installer sur notre PC, il faut d’abord brancher les périphériques en question (ici la clé SanDisk). C’est ainsi qu’on va aller récupérer son ID d’instance de périphérique depuis le Gestionnaire de périphériques.

Plusieurs stratégies de groupe peuvent nous aider dans ce sens, mais on ira plutôt éditer celle-ci : Autoriser l’installation des périphériques correspondant à l’un de ces ID d’instance de périphériques.

Une fois ouvert, on sélectionne Activé. On clique ensuite sur Afficher. Une nouvelle fenêtre s’ouvre. Dans la section Valeur, on rentre la valeur de l’ID d’instance de périphérique correspondant à la clé SanDisk et on sauvegarde le tout.

B. Bloquer l’installation de tous les autres périphériques USB

Après avoir listé les périphériques autorisés à se connecter au système, il faut dorénavant penser à interdire l’accès à tout autre périphérique. La stratégie de groupe la plus appropriée est la suivante : Empêcher l’installation des périphériques non décrits par d’autres paramètres de stratégies. Il suffit de l’activer et de sauvegarder le tout.

C. Paramètres optionnels

On peut également aller éditer d’autres stratégies de groupe, comme celle consistant à empêcher l’installation des périphériques amovibles, bien que cela n’ait pas un grand effet sur notre configuration. Rappelons que la règle visant à empêcher l’installation de périphériques non définis par d’autres stratégies prévaut sur toutes les autres.

On peut aussi aller éditer la stratégie Afficher un message personnalisé lorsque l’installation est empêchée par un paramètre de stratégie. Naturellement, elle signale à l’utilisateur l’impossibilité d’installer certains périphériques USB sur son poste.

Pour cela, il suffit d’aller l’activer, d’insérer un petit message personnalisé de 128 caractères maximum et de sauvegarder le tout. Notre petit message personnalisé ici sera alors « Installation USB bloquée ! Contactez l’administrateur ! ».

Une fois l’édition des stratégies terminée et la GPO liée à une ou plusieurs unités d’organisation, on va forcer la mise à jour des GPO sur une machine de test, via la commande habituelle.

gpudate /force

D. Test de la configuration

On peut aller tester tout cela en branchant une seconde clé USB au PC et cette dernière ne devrait pas en principe s’installer sur le PC.

Si on se rend, par exemple, ensuite dans Paramètres, puis Bluetooth et appareils et enfin sur Périphériques, on peut bien lire dans la section Autres appareils que l’installation de la nouvelle clé est bloquée par la stratégie de groupe.

Si on se rend aussi dans le Gestionnaire de périphériques de Windows et qu’on essaye de forcer l’installation du pilote de la nouvelle clé, le système renverra une erreur.

IV. Conclusion

Ce tutoriel touche à sa fin. On vient de voir ici comment créer une liste blanche de périphériques autorisés à se connecter à un système sous Windows. Aucun équipement USB non autorisé n’aura dorénavant plus accès à notre serveur ou PC.

Bien que cette option soit intéressante pour nous prémunir contre certaines menaces, il faut avouer qu’elle est particulièrement restrictive. Elle ne conviendra pas à tous les environnements (lourd à gérer), mais peut s’avérer utile et adaptée, y compris sur un sous-ensemble de machines.

À vous d’essayer ça chez vous et de nous faire un retour en commentaire.

Pensez aussi à aller vous abonner massivement à la chaine YouTube de IT-Connect pour soutenir notre travail ! 🙂

Technicien Informatique et Réseau, Gérant et Directeur Technique chez MEISTER INFORMATIK, une ESN basée à Yaoundé au Cameroun, spécialisée dans l’installation, la maintenance et le suivi des parcs informatiques des PME et des particuliers. Je partage aussi mes découvertes de recherche via mes articles, ici et ailleurs.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *