Table des matières
Ce guide contient des instructions étape par étape sur la façon de bloquer les périphériques de stockage USB sur l'ensemble du domaine ou sur des utilisateurs de domaine spécifiques en utilisant la stratégie de groupe dans un domaine AD 2016 ou 2012. Plus précisément, après avoir lu les instructions de ce guide, vous apprendrez comment empêcher l'accès à tout périphérique de stockage USB (clés USB, disques durs externes, smartphones, tablettes, etc.dans le domaine, ou refuser l'accès au stockage USB uniquement à des utilisateurs spécifiques du domaine.
Aujourd'hui, beaucoup d'entre nous utilisent un périphérique de stockage USB pour transférer des données. Cependant, pour une organisation, la possibilité pour ses employés d'utiliser des périphériques de stockage externes peut comporter des risques de sécurité, tels que la propagation de logiciels malveillants ou l'interception de données sensibles. Pour éviter ces risques, vous pouvez lire les instructions suivantes pour bloquer l'accès aux périphériques de stockage USB à tous les utilisateurs et ordinateurs de votre domaine ou à certainsles utilisateurs du domaine uniquement, en utilisant la stratégie de groupe. *
Notes :
1) Dans ce post, pour bloquer les clés USB via la stratégie de groupe, nous avons utilisé un contrôleur de domaine Active Directory 2016 pour créer la nouvelle stratégie de groupe et des postes de travail Windows 10 Pro & Windows 7 Pro pour l'appliquer.
2) La politique de "blocage de l'accès USB" n'affectera pas les administrateurs de domaine ou tout autre périphérique USB connecté, comme les claviers USB, les souris, les imprimantes, etc.
Après avoir appliqué la stratégie de groupe, les utilisateurs n'auront plus accès à aucun type de périphérique de stockage USB et recevront l'un des messages d'erreur suivants lorsqu'ils tenteront d'accéder à un périphérique de stockage USB sur leur PC.
Comment utiliser la stratégie de groupe pour empêcher l'accès aux périphériques de stockage USB (Server 2012/2012R2/2016)
- Partie 1 : bloquer l'accès en lecture/écriture à tous les utilisateurs du domaine. Partie 2 : bloquer l'accès en lecture/écriture à certains utilisateurs du domaine.
Partie 1. Comment bloquer l'accès aux périphériques de stockage USB sur l'ensemble du domaine 2016.
Pour désactiver l'accès à tout périphérique de stockage USB connecté à tout ordinateur (utilisateur) du domaine :
1. Dans le contrôleur de domaine AD de Server 2016, ouvrez le Gestionnaire de serveur et ensuite de Outils ouvrez le menu Gestion des politiques de groupe. *
En outre, naviguez vers Panneau de contrôle -> Outils administratifs -> Gestion des politiques de groupe.
2. Sous Domaines sélectionnez votre domaine, puis clic droit à l'adresse Politique de domaine par défaut et choisissez Modifier .
3. Dans "Group Policy Management Editor", naviguez jusqu'à :
- Configuration Utilisateur > Politiques > Modèles administratifs > Système > Accès au stockage amovible
4. Dans le volet de droite, double-cliquez sur à : Disques amovibles : refuser l'accès en lecture. *
* Notes :
1. de nombreux tutoriels suggèrent à ce stade de Activer le Toutes les classes de stockage amovible : refuser tout accès'. mais lors de nos tests, nous avons découvert que cette politique ne s'applique pas (ne fonctionne pas) pour les smartphones ou les tablettes.
Si vous voulez bloquer l'accès à l'écriture USB, sélectionnez l'option de blocage de l'écriture. Disques amovibles : Refuser l'accès en écriture.
5. Vérifiez Activé et cliquez sur OK.
6. fermer l'éditeur de stratégie de groupe.
7. redémarrer le serveur et les machines clientes, ou exécutez le programme gpupdate /force pour appliquer les nouveaux paramètres de stratégie de groupe (sans redémarrage) au serveur et aux clients.
Partie 2. Comment empêcher l'accès aux périphériques de stockage USB à des utilisateurs de domaines spécifiques.
Pour désactiver l'accès aux périphériques de stockage USB à des utilisateurs spécifiques uniquement à l'aide d'une stratégie de groupe, vous devez créer un groupe avec des utilisateurs qui ne veulent pas accéder aux périphériques de stockage USB, puis appliquer la nouvelle stratégie à ce groupe :
Étape 1. Créez un groupe avec les utilisateurs USB désactivés. *
Remarque : si vous avez déjà créé un groupe avec les utilisateurs USB désactivés, passez à l'étape 2.
1. Ouvrir Active Directory Users and Computers.
2. Cliquez avec le bouton droit de la souris sur l'icône " Utilisateurs "dans le volet de gauche, puis sélectionnez Nouveau > Groupe
3. Tapez un nom pour le nouveau groupe (par exemple "USB Disabled Users") et cliquez sur OK . *
Note : Laissez les options "Global" et "Sécurité" cochées.
4. Ouvrez le groupe nouvellement créé, sélectionnez le Membres et cliquez sur Ajouter
5. Sélectionnez maintenant le(s) utilisateur(s) du domaine pour lequel vous souhaitez bloquer les périphériques de stockage USB puis cliquez sur OK.
6. Cliquez sur OK pour fermer les propriétés du groupe.
Étape 2 : créer un nouvel objet de stratégie de groupe pour désactiver les périphériques de stockage USB.
1. Ouvrez le Gestion des politiques de groupe.
2. Sous l'objet "Domaines", cliquez avec le bouton droit de la souris sur votre domaine et sélectionnez Créez une GPO dans ce domaine et liez-la ici.
3. Tapez un nom pour la nouvelle GPO (par exemple "USB Disabled") et cliquez sur OK.
4. Cliquez avec le bouton droit de la souris sur la nouvelle GPO et cliquez sur Edit.
5. Dans "Group Policy Management Editor", naviguez jusqu'à :
- Configuration Utilisateur > Politiques > Modèles administratifs > Système > Accès au stockage amovible
4. Dans le volet de droite, double-cliquez sur à : Disques amovibles : Refuser l'accès en lecture. *
* Note :
1. de nombreux tutoriels suggèrent à ce stade de Activer le Toutes les classes de stockage amovible : refuser tout accès'. mais lors de nos tests, nous avons découvert que cette politique ne s'applique pas (ne fonctionne pas) pour les smartphones ou les tablettes.
Si vous voulez bloquer l'accès à l'écriture USB, sélectionnez l'option de blocage de l'écriture. Disques amovibles : Refuser l'accès en écriture.
5. Vérifiez Activé et cliquez sur OK.
6. fermer le site Éditeur de gestion des politiques de groupe fenêtre.
7. Revenez à la gestion des stratégies de groupe, sélectionnez la GPO "USB désactivé" et, dans l'onglet "Portée", cliquez sur l'icône de l'ordinateur. Ajouter (sous les paramètres du "Filtrage de sécurité").
Tapez le nom du groupe "Utilisateurs handicapés de l'USB" (par exemple "Utilisateurs handicapés de l'USB" dans ce document), puis cliquez sur le bouton "Envoyer". OK .
9. Lorsque vous avez terminé, sélectionnez le Délégation onglet.
10. Dans l'onglet "Délégation", sélectionnez le site Utilisateurs authentifiés et cliquez sur Avancé.
11 . aux options de sécurité, sélectionnez le site Utilisateurs authentifiés et décochez le site Appliquer une politique de groupe Lorsque vous avez terminé, cliquez sur OK.
6. fermer l'éditeur de stratégie de groupe.
7. redémarrer le serveur et les machines clientes, ou exécutez le programme " gpupdate /force "(en tant qu'administrateur), pour appliquer les nouveaux paramètres de stratégie de groupe (sans redémarrage) au serveur et aux clients.
C'est tout ! Dites-moi si ce guide vous a aidé en laissant un commentaire sur votre expérience. Merci d'aimer et de partager ce guide pour aider les autres.
Andy Davis
Blog d'un administrateur système sur Windows
