Avec la frénésie USB actuelle cela peut être utile en entreprise de vouloir protéger certains postes du vol de données ou de quelqu'un qui apporterait tout et n'importe quoi de chez lui sur sa propre clé usb.
Vous pouvez rendre impossible sous Windows l'utilisation d'un périphérique de stockage de masse USB (comprenez clé USB ou disque dur externe USB).
Il existe plusieurs méthodes (dont certaines ne sont pas encore citées ci-dessous) :
- bloquer tous les ports USB à partir du BIOS et protéger l'accès au BIOS par un mot de passe
- bloquer la détection des périphériques tels qu'une clé USB sous Windows
- bloquer l'installation d'un nouveau périphérique USB, mais laisser fonctionnelle la détection des périphériques USB déjà installés.
- bloquer la détection et l'installation de périphériques USB
Bloquer tous les ports USB à partir du BIOS
Je ne me pencherai pas sur cette solution car je n'ai pour le moment pas abordé la question "Qu'est ce que le BIOS ," sur ce blog.
De plus, cette méthode n'est pas la plus efficace dans le sens où même si vous bloquer l'accès au BIOS, il est facile de remettre à zéro tous les paramètres du BIOS.
Bloquer la détection des périphériques de stockage de masse USB sous Windows
Un
périphérique de stockage de masse USB est un périphérique externe qui vous permet de stocker des données comme un disque dur externe, une clé usb ...
Quand vous insérez une clé USB dans un des ports de votre ordinateur équipé de Windows, le système d'exploitation la détecte.
On peut tout simplement
empêcher qu'elle soit detectée, ainsi il ne sera pas possible d'y naviguer.
Pour ce faire, il faut utiliser
la base de registre (ou regedit) et
avoir des droits d'Administrateur.
Ouvrez la base de registre.
Rendez vous sur la clé "
Start" contenue dans
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
ServicesUSBSTOR
La valeur de "Start" doit être normalement de
3.
Double-cliquez dessus et saisissez
4.
Validez. A présent fermez la base de registre.
Connecter une clé USB et vous verrez qu'elle ne sera plus détectée.
Inconvénient de cette méthode :
Plus aucun périphérique USB de stockage ne sera détécté, même votre clé d'administrateur.
Bloquer l'installation de nouveaux périphériques de stockage de masse USB
En modifiant les droits d'accès de certains fichiers Windows, vous pourrez faire en sorte que l'installation de ce type de périphériques ne soit autorisé qu'à l'administrateur.
Si un simple utilisateur connecte une clé USB de marque "TOTO" qui n'a jamais été installé sur ce poste, Windows la détectera, affichera la fenêtre de l'Assistant d'Ajout de périphériques et indiquera à l'utilisateur que l'installation de périphérique a échouée.
De ce fait, impossible d'utiliser sa clé USB.
Si vous venez ensuite sur ce poste avec votre clé USB que vous aviez déjà connectée et installée avant de faire ces réglages de sécurité, elle sera détectée et elle fonctionnera parfaitement.
Pour ce faire :
Les deux fichiers se nomment :
Ils se situent sous
C:Windowsinf
La manipulation consiste retirer des droits à certains utilisateurs ou groupes d'utilisateur.
Vous ne devriez
Autoriser que la lecture sur ces deux fichiers (il est impératif que les paramètres
Modification et
Ecriture soit réglés sur
Refuser).
Vous pouvez tester rapidement que cela fonctionne en faisant sur chacun de ces 2 fichiers :
- Clique droit > Propriétés
- Onglet Sécurité
- Dans la partie Nom d'utilisateur ou de groupe vous devriez avoirune liste d'utilisateurs et de groupes d'utilisateurs connus sur votre ordinateur. Sélectionnez l'utilisateur ou le groupe pour lequel vous voulez effectuer la manipulation
- Juste en dessous apparaît une liste d'actions avec deux colonnes : Autoriser et Refuser. Suivant l'utilisateur que vous avez choisi les cases cochées pour 'Autoriser' et 'Refuser' peuvent être différentes. Cocher Refuser pour Ecriture et Modification.
Et ceci sur chacun des
2 fichiers (usbstor.inf et usbstor.pnf).
Comme vous avez retiré les droits d'accès à ces fichiers à certains utilisateurs, ceux-ci ne pourront pas modifier les droits d'accès à ces 2 fichiers.
Pour vérifier que la manipulation a bien fonctionné, vous devrez être connecter en tant que l'utilisateur choisi précèdemment et brancher une clé USB qui n'a jamais été installé sur cet ordinateur.
Inconvénient de cette méthode :
Cette méthode bloque l'installation de nouvelles clés USB mais ne bloquera pas le fonctionnement d'une clé que vous aviez installée avant de faire ces règlages de sécurité.
Bloquer les ports USB avec un logiciel
Il existe des logiciels spécialisés dans le blocage des ports USB et destinés à des administrateurs de parc informatique. Leurs besoins sont les mêmes que ceux que j'évoquais plus haut : un contrôle sur les possibilités d'entrées-sorties qu'offrent les ports USB et tout ce qui peut s'y connecter.
En effet, tout devient de plus en plus petit et les capacités des périphériques de stockage augmentent à une vitesse folle. Le vol de données est, je pense, craint par beaucoup en entreprise alors il faut y remédier.
Si mes deux premières méthodes ne vous suffisent pas, si vous n'avait pas le temps de vous pencher dessus, si vous ne comprenez pas (il y a toujours le forum !) ou si vous préférez les logiciels payants (et oui c'est payant!) alors suivez le guide !
DeviceLock
Edité par
Smartline ce logiciel payant et disponible en version d'évaluation vous permettra de bloquer non seulement les ports USB mais aussi toutes les autres connections comme le Bluetooth, l'infra rouge, le Firewire, le Wifi, le série et le parallèle. Il peut donc convenir beaucoup d'autres situtations que le simple blocage de clés USB.
Voici quelques fonctionnalités intéresantes de ce logiciel :
- blocage suivant l'utilisateur
- blocage suivant l'heure
- Mettre les périphériques en mode lecture seule
- Etablissement d'une liste blanche : périphériques toujours autorisés, même sur un poste bloqué
- Assignation des paramétrages par stratégies de groupe dans un environnement ActiveDirectory
- et encore d'autres possibilités
Ce logiciel est très complet. Sur le site internet vous trouverez une démo flash (en anglais) qui vous expliquera bien l'enjeu de la question
Dois je vraiment bloquer les ports USB dans mon entreprise ?.
