GPO – Comment bloquer les clés USB aux utilisateurs sous Windows Server 2019 ?

Vous êtes administrateur système, ingénieur informatique, ou un passionné du domaine, vous n’avez jamais utilisé la stratégie de groupe qu’on appelle GPO pour bloquer les clés USB sur un système Windows, vous allez certainement aimer cet article.

Je vous parle ici du GPO appelé Group Policy Object qui est un service qui assure l’application des paramètres de restrictions aux ordinateurs, renforcer la sécurité au sein des entreprises sur les services de domaine Active Directory (AD DS).

Il est connu, utiliser une clés USB sans contrôle dans n’importe quel système est dangereux. C’est le chemin indiqué des virus ! Cela peut causer des dégâts irréversibles.

Petite histoire (bloquer clé usb…)

Pour pallier au minima ce souci, vous pouvez bloquer les clés USB sur vos machines. Je partage avec vous mon expérience là-dessus, vous allez voir comment bloquer des clés USB avec Windows server 2016 en utilisant le GPO.

Il y a quelques années, j’ai animé un séminaire de formation sur ce sujet. Je me rappelle encore l’engouement des étudiants sur ce thème qu’ils trouvent intéressant dans ce sens que cela s’applique dans le milieu professionnel en l’occurrence les entreprises.

J’ai mis l’accent dans cet article sur la sécurité d’un serveur qu’est Windows. Vous pouvez le faire sur un serveur physique HP Proliant Gen10 ou virtuelle. L’objectif est de pouvoir comprendre le mécanisme et de pouvoir s’en protéger si nécessaire.

Vous n’imaginez pas le nombre de machines infectées par des virus à cause des clés USB. C’est fréquent ! Cela efface les données de manière inattendue. Sans l’utilisation des systèmes de sauvegarde Backup, la perte serait énorme. Heureusement que la technologie est en constante évolution.

Pour rentrer dans le vif du sujet, allumez votre serveur qui a déjà une configuration basique avec la présence d’Active Directory.

Comment bloquer une clé USB sous Windows server avec le GPO ?

Pour bloquer l’utilisation des clés USB, rendez-vous dans Gestionnaire de serveur et cliquez sur Outils. Sur la liste qui s’affiche, cliquez sur Gestion de stratégie de groupe.

GPO - gestion de stratégie de groupe de windows server
GPO – gestion de stratégie de groupe

Il est important que vous ayez déjà créé des groupes d’utilisateurs ou des unités dans l’AD DS. Vous savez, la restriction en l’occurrence bloquer l’utilisation des clés USB s’applique aux utilisateurs.

Allons maintenant créer une restriction sur un groupe d’utilisateurs Réseaux par exemple.

Création d'un objet GPO windows server 2019
Création d’un objet GPO sous Windows Server

Pour un premier temps, déballez votre domaine et faites un clic droit sur l’unité d’organisation Réseaux afin de créer un objet GPO. Notre domaine est déjà indiqué. On va nommer l’objet Restriction clés USB.

Passons sur la configuration des paramètres. Pour ce faire, faites encore un clic droit sur l’objet créé puis cliquez sur modifier.

Editeur de gestion de stratégie de groupe windows server
Editeur de gestion de stratégie de groupe

Sur la barre latérale, rendez-vous dans Préférences puis Paramètres de configuration Windows. Choisissez Périphériques en effectuant un clic droit dessus puis Nouveau puis périphérique.

Choix du péripherique USB dans la stratégie de groupe
Choix périphérique GPO

Désactivez le périphérique usb

Dans la partie Action sur Nouvelles propriétés de périphérique, désactivez le périphérique en choisissant Ne pas utiliser ce périphérique.

Controleur usb à bloquer gpo

Voilà, temps pour vous de définir le périphérique en question. La partie classe de périphérique vous donne cette possibilité. Sélectionnez Contrôleurs de Bus USB puis appliquez. Le voyant du périphérique est au rouge, c’est bon signe. Cela veut dire que le mpériphérique USB est désactivé.

cable usb sous windows server

Maintenant, faites un clic droit sur l’objet GPO puis appliquez vos modifications. Vous devez appliquer cette restriction aux groupes d’utilisateurs indiqués.

Vous pouvez vous rendre au niveau de la machine cliente intégrée et tapez la commande gpupdate pour l’appliquer à l’utilisateur. A faire pour les autres utilisateurs du domaine.

gpupdate pour appliquer le GPO
Gpupdate

Dans votre entreprise, toutes les machines intégrées dans le domaine se trouvant dans ce groupe ne pourront pas utiliser de clés USB sur leurs postes.

Si cet article vous a été utile, donnez-moi vos impressions et n’hésitez pas à vous abonner pour plus de tutos.

Articles similaires :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *