Académique Documents
Professionnel Documents
Culture Documents
Introduction
Si vous regardez de plus près les personnes en entreprise, vous remarquerez que tout le
monde possède de nos jours une clé USB.
C'est un phénomène nouveau que vous devez connaître mais surtout prendre en compte
dans votre politique de sécurité en entreprise. La confidentialité des informations est donc
encore un peu plus mise en avant, et le niveau de sécurité a tendance à diminuer. En effet
les simples clés USB que l'on trouve absolument partout, et qui sont même offertes en
"goodies" le plus souvent se généralisent de plus en plus. C'est devenu un outil de transfert
de fichiers simple et rapide, ainsi qu'un lieu de stockage de documents personnels
transportables.
Concernant le premier point, il est important d'y ajouter une précision. En effet il ne sert à rien
de vouloir à tout prix désactiver l'accès au stockage amovible (donc les clés USB), si vos
utilisateurs peuvent accéder à Internet (donc envoyer des fichiers), accéder à un graveur ou
encore une imprimante ! Les habitués de notre forum auront entendu ce discours plus d'une
fois...
Nous allons donc dans cet article montrer comment mettre en place une politique efficace de
restriction d'accès aux périphériques USB pour vos utilisateurs.
Les systèmes d'exploitations actuels, comme Windows Server 2003 et Windows XP ne nous
permettent pas en l'état des choses de surveiller, autoriser et surtout restreindre l'accès aux
périphériques USB.
C'est pour cela que cet article se base sur les nouvelles versions des systèmes Microsoft à
savoir Windows Vista côté client et Longhorn Server (beta) côté serveur. Nous allons utiliser
DMI (Device Management and Installation) afin de contrôler si un utilisateur possède
l'autorisation ou non d'installer tel ou tel périphérique.
En guise de test, nous utiliserons une clé USB de marque Kingston DTI/512 Mo.
1
Introduction
Chaîne d'identification
Classe d'installation
Chaque périphérique possède une ou plusieurs chaînes d'identification qui sont définies par
le constructeur lors de sa fabrication. Ces mêmes chaînes vont se retrouver dans un fichier
.inf faisant partie du package de pilotes. Lorsque vous branchez un périphérique, celui-ci
envoie ses chaînes au système qui recherche le package de pilote possédant la ou les
mêmes chaînes.
Certains périphériques disposent en plus de leur chaîne d'identification d'une liste de chaînes
compatibles. Ils permettent ainsi leur installation au cas où les pilotes exacts ne seraient pas
trouvés. Le périphérique pourra se rabattre sur un pilote compatible généralement générique
offrant ainsi des performances moindres.
La deuxième chose qui définit un matériel amovible est sa classe. En effet chaque
périphérique est membre d'une classe regroupant tous les autres appareils du même type.
Cette classe possède un nom et un numéro d'identification appelé GUID. Ce numéro nous
sera utile dans la 3ème partie de cet article lorsque nous configurerons des restrictions au
niveau d'une classe.
Pour obtenir la liste des classes matériel et leur GUID, rendez-vous sur cette page du site
Microsoft : http://msdn2.microsoft.com/en-us/library/ms791134.aspx
Maintenant que vous connaissez comment est analysé et configuré un périphérique, vous
devez connaître quels sont les différents paramètres de restriction d'installation existants
dans Windows Vista.
2
1.2 Liste des stratégies de groupe
Le processus de gestion d'installation des périphériques USB s'effectue à l'aide des
stratégies. Soit des stratégies locales dans le cas de la configuration d'un ordinateur unique
soit des stratégies de groupe dans le cas d'un domaine.
Voici les différents paramètres que nous allons retrouver avec leurs explications, ils sont au
nombre de 9 :
3
Afficher un message personnalisé lorsqu'un l'installation est empêcher par une
stratégie (texte de bulle) : Spécifie un message personnalisé qui s’affiche pour
l’utilisateur dans le texte d’une bulle de notification lorsque la stratégie empêche
l’installation d’un périphérique. Si vous activez ce paramètre, ce texte apparaît alors
comme le texte du corps principal du message affiché par Windows chaque fois
qu’une installation de périphérique est empêchée par une stratégie. Si vous
désactivez ce paramètre ou si vous ne le configurez pas, Windows affiche alors un
message par défaut chaque fois que l’installation d’un périphérique est empêchée par
une stratégie.
Ainsi tous les périphériques seront pris en compte par un tel paramètre. Cette méthode
radicale, vous permettra de vous assurer qu'aucun utilisateur ne pourra soutirer des infos ou
introduire des virus du moins via ce biais.
Pour être certain de voir que l'installation de notre clé USB est bien bloquée par la stratégie
locale, nous allons activer les messages d'avertissement en configurant deux autres
stratégies :
A partir de ce moment là, dès qu'un périphérique amovible, de type clé USB est connecté à
un ordinateur le message suivant apparaît dans la barre des tâches :
4
Le titre de la bulle est : "Pas de clé USB sur le réseau !" et son contenu est : "Les clés USB
ne sont pas autorisées à être connectées". Bien évidemment ces deux paramètres sont
configurables à l'aide des deux stratégies citées plus haut.
Si l'on clique sur l'info bulle afin d'avoir plus de détails, on peut y lire un message intitulé :
"L'installation du périphérique est bloquée par la stratégie" et y voir le modèle exact du
périphérique concerné, dans notre cas : Kingston DataTraveler 2.0 USB Device.
Si nous nous rendons dans le gestionnaire de périphériques, on peut y voir notre clé USB,
avec comme logo le triangle jaune, indiquant un dysfonctionnement. Même à partir d'ici il ne
sera pas possible de contourner la stratégie de restriction.
Cette stratégie étant définie au niveau ordinateur elle s'applique à tous les comptes utilisateur
présent y compris les administrateurs. Ceci peut poser problème. En effet, dans certains cas,
les administrateurs peuvent avoir besoin d'intervenir sur un poste et de connecter un
périphérique USB. Il est alors possible de définir un paramètre afin de stipuler que les
restrictions ne s'appliquent pas aux administrateurs.
5
Pour cela il suffit d'activer le paramètre :
Ainsi dès le branchement du périphérique, Windows vous demande quelle action vous
souhaitez faire. Cliquez sur "Rechercher et installer le pilote logiciel (recommandé)". Le
système va ainsi scanner votre ordinateur pour trouver le pilote approprié à votre clé.
Après quelques secondes de configuration et d''installation, une info bulle (cette fois-ci
positive) s'affiche dans votre barre des tâches indiquant que le pilote logiciel de périphérique
a été correctement installé. Bien évidemment, ceci n'a été possible que grâce aux privilèges
administratifs de mon utilisateur.
Enfin l'écran d'exécution automatique s'ouvre. Choisissez votre action par défaut,
généralement : Ouvrir le dossier et afficher les fichiers dans le cas de périphérique USB.
6
Nous avons vu ici comment mettre en place une stratégie de restriction d'installation de
périphérique amovible de manière simple et sécurisé. La mise en place d'une telle stratégie
est identique dans le cadre d'un domaine, il suffit de configurer une GPO au niveau de votre
Longhorn Server (Windows Server 200X) et de la déployer. Pensez à personnaliser les
messages des infos bulles et à définir une exception pour les administrateurs si besoin est !
Dans la section 1 de cet article, nous avons vu que chaque périphérique était défini par une
Classe et un ID. Nous allons donc voir maintenant comment sélectionner les périphériques
qui auront le droit d'être installé. Il va s'agir de filtrer !
Je refuse l'installation de tous les périphériques amovibles sauf ceux que j'autorise
explicitement
J'accepte l'installation de tous les périphériques amovibles sauf ceux que je refuse
explicitement
Nous allons voir qu'il existe deux stratégies dédiées à ces deux problématiques.
7
Pour notre exemple nous allons utiliser un lecteur MP3 Transcend JetFlash 1Go en guise de
périphérique amovible USB.
Dans un premier temps nous allons récupérer ses identifiants. Pour cela il faut se rendre
dans le gestionnaire de périphérique puis dans les propriétés de celui-ci.
Maintenant ouvrez l'éditeur de stratégie de groupe, nous allons configurer deux paramètres :
Pour le deuxième paramètre vous devez ajouter en plus de l'activer, la liste des numéros de
périphériques que vous souhaitez autoriser sur votre ordinateur ! Il s'agit du code récupéré un
peu plus haut.
Une fois la mise à jour des stratégies effectuée, à l'aide de la commande : gpupdate / force
vous pouvez tester son fonctionnement.
8
Branchez sur votre ordinateur un périphérique correspond à l'un des numéros rentrés
précédemment et vous verrez que celui-ci s'installe sans encombre. Il vous suffit d'ouvrir
votre gestionnaire de périphériques, vous remarquerez que votre appareil est bien disponible
et opérationnel dans une section nommé : "Appareils mobiles".
Par contre n'importe quel autre périphérique ne faisant pas partie de la liste se verra
automatiquement bloqué lors du processus d'installation. En voici un exemple.
Bien évidemment le processus inverse fonctionne également très bien en utilisant la stratégie
:
Cependant il est beaucoup moins sécurisé. En effet il vaut mieux tout interdire sauf ce que
l'on veut explicitement autoriser plutôt que l'inverse... C'est l'éternelle question des pare-feu.
Nous pouvons donc utiliser ce paramètre plus large que les simples ID de matériel pour
bloquer l'installation de tous périphériques appartenant à une même classe.
9
Pour cela rendez-vous dans les propriétés du périphérique (ou sur le site de son
constructeur) pour récupérer le GUID de sa classe.
Ouvrez celle de votre choix, activez la puis ajoutez y le ou les GUID des classes que vous
souhaitez bloquer ou accepter.
10
Pour rappel, voici la liste des classes associées avec leurs GUIDs directement sur le site de
Microsoft : http://msdn2.microsoft.com/en-us/library/ms791134.aspx
Conclusion
Nous venons de voir dans cet article comment "protéger" votre réseau de l'utilisation des clés
USB ou autres périphériques amovibles.
Windows Vista et Longhorn Server intègrent donc tous deux un ensemble de stratégies
permettant de gérer cet accès aux périphériques USB. C'était un gros manque de Windows
XP qui était souvent pointé du doigt surtout lors de l'explosion des clés USB sur le marché.
Cette nouveauté de Windows Vista n'est qu'une infime partie des très nombreuses
améliorations apportées à ce système. Beaucoup d'autres articles suivront sur des thèmes
touchant aussi bien à la sécurité, qu'à la gestion des données ou encore l'environnement
utilisateur.
11