Gestion des périphériques USB sous Windows Vista

Introduction
Si vous regardez de plus près les personnes en entreprise, vous remarquerez que tout le
monde possède de nos jours une clé USB.

C'est un phénomène nouveau que vous devez connaître mais surtout prendre en compte
dans votre politique de sécurité en entreprise. La confidentialité des informations est donc
encore un peu plus mise en avant, et le niveau de sécurité a tendance à diminuer. En effet
les simples clés USB que l'on trouve absolument partout, et qui sont même offertes en
"goodies" le plus souvent se généralisent de plus en plus. C'est devenu un outil de transfert
de fichiers simple et rapide, ainsi qu'un lieu de stockage de documents personnels
transportables.

Dans le monde professionnel, l'utilisation de ces

clés USB par les utilisateurs soulève trois
problèmes majeurs :

 1 - La confidentialité des données qui

est mise en péril. Les utilisateurs peuvent
ainsi copier des documents confidentiels
sur un support non sécurisé.
 2 - La sécurité du réseau : les clés USB étant une source de virus supplémentaires
et donc un fléau pour les administrateurs.
 3 - La validité des fichiers : en effet certaines personnes n'hésitent pas à distribuer
des fichiers illégaux sur le réseau

Concernant le premier point, il est important d'y ajouter une précision. En effet il ne sert à rien
de vouloir à tout prix désactiver l'accès au stockage amovible (donc les clés USB), si vos
utilisateurs peuvent accéder à Internet (donc envoyer des fichiers), accéder à un graveur ou
encore une imprimante ! Les habitués de notre forum auront entendu ce discours plus d'une
fois...

Nous allons donc dans cet article montrer comment mettre en place une politique efficace de
restriction d'accès aux périphériques USB pour vos utilisateurs.

Les systèmes d'exploitations actuels, comme Windows Server 2003 et Windows XP ne nous
permettent pas en l'état des choses de surveiller, autoriser et surtout restreindre l'accès aux
périphériques USB.

C'est pour cela que cet article se base sur les nouvelles versions des systèmes Microsoft à
savoir Windows Vista côté client et Longhorn Server (beta) côté serveur. Nous allons utiliser
DMI (Device Management and Installation) afin de contrôler si un utilisateur possède
l'autorisation ou non d'installer tel ou tel périphérique.

Nous allons développer trois scénarios au cours de cet article :

 Empêcher l'installation de n'importe quel périphérique USB.

 Autoriser l'installation uniquement des périphériques validés.
 Empêcher l'installation uniquement des périphériques refusés.

En guise de test, nous utiliserons une clé USB de marque Kingston DTI/512 Mo.

1
Introduction

1. Vue d'ensemble des composants

1.1 Présentation du processus d'installation
1.2 Liste des stratégies de groupe
2. Empêcher l'installation de tous les périphériques USB

3. Sélectionnez les périphériques qui pourront être installés

3.1 A l'aide des ID de périphérique
3.2 A l'aide des GUID de la classe de périphérique
Conclusion

1. Vue d'ensemble des composants

1.1 Présentation du processus d'installation
Avant de rentrer dans les détails sur la possibilité de bloquer l'installation de périphériques
USB sur un ordinateur exécutant Windows Vista, il est important de connaître quel est le
processus mis en œuvre par le système en arrière plan.
Pour installer un périphérique, Windows doit d'abord le détecter puis reconnaître son type et
enfin rechercher le pilote approprié.

Un périphérique possède deux types d'identifiants :

 Chaîne d'identification
 Classe d'installation

Chaque périphérique possède une ou plusieurs chaînes d'identification qui sont définies par
le constructeur lors de sa fabrication. Ces mêmes chaînes vont se retrouver dans un fichier
.inf faisant partie du package de pilotes. Lorsque vous branchez un périphérique, celui-ci
envoie ses chaînes au système qui recherche le package de pilote possédant la ou les
mêmes chaînes.

Certains périphériques disposent en plus de leur chaîne d'identification d'une liste de chaînes
compatibles. Ils permettent ainsi leur installation au cas où les pilotes exacts ne seraient pas
trouvés. Le périphérique pourra se rabattre sur un pilote compatible généralement générique
offrant ainsi des performances moindres.

La deuxième chose qui définit un matériel amovible est sa classe. En effet chaque
périphérique est membre d'une classe regroupant tous les autres appareils du même type.
Cette classe possède un nom et un numéro d'identification appelé GUID. Ce numéro nous
sera utile dans la 3ème partie de cet article lorsque nous configurerons des restrictions au
niveau d'une classe.

Pour obtenir la liste des classes matériel et leur GUID, rendez-vous sur cette page du site
Microsoft : http://msdn2.microsoft.com/en-us/library/ms791134.aspx

Maintenant que vous connaissez comment est analysé et configuré un périphérique, vous
devez connaître quels sont les différents paramètres de restriction d'installation existants
dans Windows Vista.

2
1.2 Liste des stratégies de groupe
Le processus de gestion d'installation des périphériques USB s'effectue à l'aide des
stratégies. Soit des stratégies locales dans le cas de la configuration d'un ordinateur unique
soit des stratégies de groupe dans le cas d'un domaine.

Tous les paramètres de configurations sont rassemblés dans un fichier d'administration

nommé : devinst.adm. Les deux nouveaux systèmes (Client et Serveur) l'intègrent par défaut
dans la console d'édition des stratégies.

Il suffit d'aller dans Configuration Ordinateur / Modèles d'administration / Système /

Installation de périphériques / Restrictions d'installation de périphériques.

Voici les différents paramètres que nous allons retrouver avec leurs explications, ils sont au
nombre de 9 :

 Empêcher l'installation de périphériques amovibles : Si vous activez ce

paramètre, les périphériques amovibles ne peuvent pas être installés et la mise à jour
des périphériques amovibles existants n’est pas autorisée. Si vous désactivez ce
paramètre ou ne le configurez pas, les périphériques amovibles peuvent être installés
et les périphériques amovibles existants peuvent être mis à jour conformément aux
autorisations prévues par d’autres paramètres de stratégie pour l’installation de
périphériques.

Ce paramètre de stratégie prévaut sur tout autre paramètre de stratégie permettant

l’installation d’un périphérique. Si ce paramètre de stratégie empêche l’installation
d’un périphérique, le périphérique ne peut pas être installé ou mis à jour, même s’il
correspond à un autre paramètre de stratégie qui en autoriserait l’installation. Pour
cette stratégie, un périphérique est considéré comme étant amovible lorsque les
pilotes du périphérique auxquels il est connecté indiquent que le périphérique est
amovible.

 Empêcher l'installation de périphériques non décrits par d'autres paramètres

de stratégie : Ce paramètre contrôle la stratégie d’installation des périphériques qui
ne sont pas spécifiquement décrits par une autre stratégie. Si vous activez ce
paramètre, tout périphérique qui n’est pas défini par le paramètre « Autoriser
l’installation de périphériques correspondant à ces ID de périphériques » ou
« Autoriser l’installation de périphériques pour ces classes de périphériques » ne peut
pas être installé ou bénéficier de la mise à jour de son pilote.

 Empêcher l'installation de périphérique correspondant à l'un de ces ID de

périphérique : Spécifie une liste d’ID de matériel Plug-and-Play et d’ID compatibles
de périphériques ne pouvant pas être installés. Si vous activez ce paramètre, un
périphérique ne peut pas être installé ou mis à jour si son ID de matériel ou son ID
compatible figure dans cette liste.

 Autoriser l'installation de périphérique correspondant à l'un de ces ID de

périphérique : Spécifie une liste d’ID de matériel Plug-and-Play et d’ID compatibles
qui décrivent les périphériques pouvant être installés.

 Afficher un message personnalisé lorsqu'un l'installation est empêcher par une

stratégie (titre de bulle) : Spécifie un message personnalisé qui s’affiche pour
l’utilisateur dans le titre de la bulle de notification lorsque la stratégie empêche
l’installation d’un périphérique. Si vous activez ce paramètre, ce texte apparaît alors
comme le texte du titre du message affiché par Windows chaque fois qu’une
installation de périphérique est empêchée par une stratégie. Si vous désactivez ce
paramètre ou si vous ne le configurez pas, Windows affiche alors un titre par défaut
chaque fois que l’installation d’un périphérique est empêché par une stratégie.

3
  Afficher un message personnalisé lorsqu'un l'installation est empêcher par une
stratégie (texte de bulle) : Spécifie un message personnalisé qui s’affiche pour
l’utilisateur dans le texte d’une bulle de notification lorsque la stratégie empêche
l’installation d’un périphérique. Si vous activez ce paramètre, ce texte apparaît alors
comme le texte du corps principal du message affiché par Windows chaque fois
qu’une installation de périphérique est empêchée par une stratégie. Si vous
désactivez ce paramètre ou si vous ne le configurez pas, Windows affiche alors un
message par défaut chaque fois que l’installation d’un périphérique est empêchée par
une stratégie.

 Permettre l'installation de périphériques à laide de pilotes correspondant à ces

classes d'installation de périphérique : Spécifie une liste de GUID de classe
d’installation de périphériques décrivant les périphériques pouvant être installés.

 Empêcher l'installation de périphériques à laide de pilotes correspondant à ces

classes d'installation de périphérique : Spécifie une liste de GUID de classe
d’installation de périphériques Plug-and-Play pour les périphériques ne pouvant pas
être installés.

 Autoriser les administrateurs à passer outre les stratégies de restriction

d'installation de périphériques : Permet aux membres du groupe Administrateurs
d’installer et de mettre à jour les pilotes de tout périphérique, quels que soient les
autres paramètres de stratégie. Si vous activez ce paramètre, les administrateurs
peuvent utiliser l’« Assistant Ajout de matériel » ou l’« Assistant Mise à jour de
pilote » pour installer et mettre à jour les pilotes de tout périphérique.

2. Empêcher l'installation de tous

les périphériques USB
Dans le cas où vous souhaitez empêcher l'installation de tous les périphériques USB sur
votre poste il vous faut configurer uniquement une stratégie :

 Empêcher l'installation de périphériques amovibles

Ainsi tous les périphériques seront pris en compte par un tel paramètre. Cette méthode
radicale, vous permettra de vous assurer qu'aucun utilisateur ne pourra soutirer des infos ou
introduire des virus du moins via ce biais.

Pour être certain de voir que l'installation de notre clé USB est bien bloquée par la stratégie
locale, nous allons activer les messages d'avertissement en configurant deux autres
stratégies :

 Afficher un message personnalisé lorsqu'une l'installation est empêchée par une

stratégie (titre de bulle)
 Afficher un message personnalisé lorsqu'une l'installation est empêchée par une
stratégie (texte de bulle)

A partir de ce moment là, dès qu'un périphérique amovible, de type clé USB est connecté à
un ordinateur le message suivant apparaît dans la barre des tâches :

4
Le titre de la bulle est : "Pas de clé USB sur le réseau !" et son contenu est : "Les clés USB
ne sont pas autorisées à être connectées". Bien évidemment ces deux paramètres sont
configurables à l'aide des deux stratégies citées plus haut.

Si l'on clique sur l'info bulle afin d'avoir plus de détails, on peut y lire un message intitulé :
"L'installation du périphérique est bloquée par la stratégie" et y voir le modèle exact du
périphérique concerné, dans notre cas : Kingston DataTraveler 2.0 USB Device.

Si nous nous rendons dans le gestionnaire de périphériques, on peut y voir notre clé USB,
avec comme logo le triangle jaune, indiquant un dysfonctionnement. Même à partir d'ici il ne
sera pas possible de contourner la stratégie de restriction.

Cette stratégie étant définie au niveau ordinateur elle s'applique à tous les comptes utilisateur
présent y compris les administrateurs. Ceci peut poser problème. En effet, dans certains cas,
les administrateurs peuvent avoir besoin d'intervenir sur un poste et de connecter un
périphérique USB. Il est alors possible de définir un paramètre afin de stipuler que les
restrictions ne s'appliquent pas aux administrateurs.

5
Pour cela il suffit d'activer le paramètre :

 Autoriser les administrateurs à passer outre les stratégies de restriction d'installation

de périphériques

Ainsi dès le branchement du périphérique, Windows vous demande quelle action vous
souhaitez faire. Cliquez sur "Rechercher et installer le pilote logiciel (recommandé)". Le
système va ainsi scanner votre ordinateur pour trouver le pilote approprié à votre clé.

Après quelques secondes de configuration et d''installation, une info bulle (cette fois-ci
positive) s'affiche dans votre barre des tâches indiquant que le pilote logiciel de périphérique
a été correctement installé. Bien évidemment, ceci n'a été possible que grâce aux privilèges
administratifs de mon utilisateur.

Enfin l'écran d'exécution automatique s'ouvre. Choisissez votre action par défaut,
généralement : Ouvrir le dossier et afficher les fichiers dans le cas de périphérique USB.

6
Nous avons vu ici comment mettre en place une stratégie de restriction d'installation de
périphérique amovible de manière simple et sécurisé. La mise en place d'une telle stratégie
est identique dans le cadre d'un domaine, il suffit de configurer une GPO au niveau de votre
Longhorn Server (Windows Server 200X) et de la déployer. Pensez à personnaliser les
messages des infos bulles et à définir une exception pour les administrateurs si besoin est !

3. Sélectionnez les périphériques

qui pourront être installés
3.1 A l'aide des ID de périphérique
Dans la partie précédente, nous avons vu comment bloquer l'installation de tous les
périphériques amovibles sur un ordinateur exécutant Windows Vista.

Dans la section 1 de cet article, nous avons vu que chaque périphérique était défini par une
Classe et un ID. Nous allons donc voir maintenant comment sélectionner les périphériques
qui auront le droit d'être installé. Il va s'agir de filtrer !

Comme d'habitude deux possibilités pour cela :

 Je refuse l'installation de tous les périphériques amovibles sauf ceux que j'autorise
explicitement
 J'accepte l'installation de tous les périphériques amovibles sauf ceux que je refuse
explicitement

Nous allons voir qu'il existe deux stratégies dédiées à ces deux problématiques.

7
Pour notre exemple nous allons utiliser un lecteur MP3 Transcend JetFlash 1Go en guise de
périphérique amovible USB.

Dans un premier temps nous allons récupérer ses identifiants. Pour cela il faut se rendre
dans le gestionnaire de périphérique puis dans les propriétés de celui-ci.

Dans l'onglet Détails, choisissez dans la longue liste déroulante le paramètre :

 Numéros d'identification du matériel; ici : USB\VID_066F&PID_8244&REV_1001

Maintenant ouvrez l'éditeur de stratégie de groupe, nous allons configurer deux paramètres :

 Empêcher l'installation de périphériques non décrits par d'autres paramètres de

stratégie : Activer
 Autoriser l'installation de périphériques correspondants à l'un de ces ID de
périphérique : Activer

Pour le deuxième paramètre vous devez ajouter en plus de l'activer, la liste des numéros de
périphériques que vous souhaitez autoriser sur votre ordinateur ! Il s'agit du code récupéré un
peu plus haut.

Une fois la mise à jour des stratégies effectuée, à l'aide de la commande : gpupdate / force
vous pouvez tester son fonctionnement.

8
Branchez sur votre ordinateur un périphérique correspond à l'un des numéros rentrés
précédemment et vous verrez que celui-ci s'installe sans encombre. Il vous suffit d'ouvrir
votre gestionnaire de périphériques, vous remarquerez que votre appareil est bien disponible
et opérationnel dans une section nommé : "Appareils mobiles".

Par contre n'importe quel autre périphérique ne faisant pas partie de la liste se verra
automatiquement bloqué lors du processus d'installation. En voici un exemple.

Bien évidemment le processus inverse fonctionne également très bien en utilisant la stratégie
:

 Empêcher l'installation de périphérique correspondant à l'un de ces ID de

périphérique

Cependant il est beaucoup moins sécurisé. En effet il vaut mieux tout interdire sauf ce que
l'on veut explicitement autoriser plutôt que l'inverse... C'est l'éternelle question des pare-feu.

3.2 A l'aide des GUID de la classe de périphérique

Une autre façon de gérer l'utilisation et la connexion de périphériques amovibles sur vos
ordinateurs est d'utiliser la restriction au niveau des classes de périphériques. En effet
comme nous l'avons vu dans la première partie de cet article, chaque appareil est identifié en
tant que membre d'une classe, et chaque classe est définie par un GUID : Global Unique
IDentifier.

Nous pouvons donc utiliser ce paramètre plus large que les simples ID de matériel pour
bloquer l'installation de tous périphériques appartenant à une même classe.

9
Pour cela rendez-vous dans les propriétés du périphérique (ou sur le site de son
constructeur) pour récupérer le GUID de sa classe.

Dans la liste déroulante de l'onglet détails, sélectionnez : GUID de la classe de

périphérique. Copiez la valeur inscrite au dessous. Dans notre cas : {eec5ad98-8080-425f-
922a-dabf3de3f69a}

Rendez-vous maintenant dans la console d'édition des stratégies de groupe, puis

sélectionnez l'une des deux stratégies suivantes :

 Permettre l'installation de périphériques à laide de pilotes correspondant à ces

classes d'installation de périphérique
 Empêcher l'installation de périphériques à laide de pilotes correspondant à ces
classes d'installation de périphérique

Ouvrez celle de votre choix, activez la puis ajoutez y le ou les GUID des classes que vous
souhaitez bloquer ou accepter.

10
Pour rappel, voici la liste des classes associées avec leurs GUIDs directement sur le site de
Microsoft : http://msdn2.microsoft.com/en-us/library/ms791134.aspx

Conclusion
Nous venons de voir dans cet article comment "protéger" votre réseau de l'utilisation des clés
USB ou autres périphériques amovibles.

En effet pour de nombreuses personnes le fait

d'interdire l'accès à ces types d'appareils
constitue la parade ultime à tout problème de
sécurité.

Attention encore une fois, le fait de bloquer

l'utilisation des périphériques amovibles n'est
pas le remède miracle pour lutter contre le vol
d'information ! Cela sert plutôt à protéger l'état
de santé de vos ordinateurs contre l'intrusion
de virus et/ou de données pirates pouvant
circuler sur votre réseau. Encore une fois il en
faut bien plus pour protéger la sortie
d'informations : pas d'accès à Internet ni aux
mails, pas d'accès à une imprimante ni à un
graveur. Seules ces mesures strictes sont
efficaces pour ce problème !

Windows Vista et Longhorn Server intègrent donc tous deux un ensemble de stratégies
permettant de gérer cet accès aux périphériques USB. C'était un gros manque de Windows
XP qui était souvent pointé du doigt surtout lors de l'explosion des clés USB sur le marché.

Le fait de pouvoir distinguer la restriction entre les utilisateurs normaux et administrateurs,

même au niveau locale, sera très appréciable. En effet on peut imaginer que ces dernières
possèdent de nombreux outils et/ou scripts sur une clé USB et qu'ils auront besoin d'y
accéder lors du dépannage d'un ordinateur.

Cette nouveauté de Windows Vista n'est qu'une infime partie des très nombreuses
améliorations apportées à ce système. Beaucoup d'autres articles suivront sur des thèmes
touchant aussi bien à la sécurité, qu'à la gestion des données ou encore l'environnement
utilisateur.

11