Vous êtes sur la page 1sur 20

Verrouillage des priphriques de

stockage USB

Cet article traite du verrouillage des priphriques de stockage USB sous Windows XP (cette
mthode fonctionne aussi sous Windows Vista/Seven).
Les priphriques de stockage USB sont actuellement le moyen le plus pratique pour
transfrer de gros volumes de donnes sans passer par un rseau. Cest aussi le moyen le
plus communment employ pour les vols de donnes, installation de logiciels pirates et
copies de contenus illicites. Enfin, on constate souvent que les attaques virales (ou pire,
linstallation volontaire de logiciels espions ou troyens) se font partir de clefs USB.
La solution la plus usite dans ce domaine consiste implmenter un dispositif logiciel de
contrle des priphriques connects aux postes (la dsactivation pure et simple de lusb est
une mthode trop radicale : Dans ce cas, impossible de connecter les indispensables souris,
claviers, imprimantes locales, scanner). Ce type de logiciel, qui doit tre dploy sur
lensemble du parc de postes de travail, est le plus souvent couteux, pas toujours fiable et
dispose de fonctions parfois inutiles (quelle utilit de pouvoir verrouiller le port parallle ou
les ports srie sur les postes actuels, alors que le plus souvent ils nen sont plus dots ?).
Or le besoin de base consiste interdire le recourt aux priphriques de stockage USB
Cest dire : Empcher le chargement du pilote USBSTOR . Idalement il convient de
conserver la possibilit dutiliser les clefs USB pour les utilisateurs expressment autoriss
utiliser ce support de stockage et pour les techniciens et administrateurs. Cest ce que je
vous propose de raliser laide de ce tutoriel. Et ce, sans faire appel un logiciel ddi,
simplement en utilisant Active Directory et les GPOs.

1_Cration du modle dadministration du driver USBSTOR :
Sous Windows XP, aucun modle dadministration natif ne permet la gestion des pilotes.
Nous allons donc en crer un nouveau.
Voici le contenu de ce modle dadministration (ADM), notez que ce dernier sapplique
exclusivement la classe machine : On appliquera donc la GPO cre partir de cet ADM
des objets machine.
[...]
CLASS MACHINE
CATEGORY USBSTOR Disabled
KEYNAME SYSTEM\ControlSet001\Services\USBSTOR
POLICY Start
PART Start NUMERIC
VALUENAME Start
DEFAULT 4
END PART
END POLICY
END CATEGORY
CLASS USER
[...]
Copiez-collez le contenu situ entre les guillemets dans un fichier que vous nommerez
GPO_MASS-STORAGE.ADM . Stockez ce fichier sur un poste de travail dot des
consoles dadministration Active Directory Users and Computers et Group Policy
Management ou sur un contrleur de domaine.
2_Contrlez le bon fonctionnement du pilote USBSTOR sur un poste de test :
NB : Le poste de test qui sera utilis ici, se nomme DESKTOP1.
En tant quadministrateur du poste, insrez une clef USB. Patientez durant le chargement du
pilote (cela prend un peu de temps, si cest la premire fois que vous utilisez un tel
priphrique sur ce poste, cela deviendra instantan par la suite).


Puis, lancez REGEDIT et contrlez la valeur de la clef
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\USBSTOR\Start]. Si celle-
ci pour valeur 3, le dmarrage du pilote USBSTOR est autoris, si la valeur est 4, son
utilisation est proscrite. Notez que vous pouvez modifier la valeur de cette clef en lditant :
Vous pouvez faire des tests en retirant la clef USB entre chaque modification.


Notez que la clef USB insre (ici F: ) est bien disponible dans lexplorateur de fichiers.
En fin de test, retirez la clef USB du poste utilis pour les tests.
3_Cration de la GPO permettant de dsactiver lUSB sur vos postes de travail :
Nous allons maintenant crer la GPO qui va permettre la dsactivation du pilote USBSTOR
sur lensemble du parc : Ouvrez la console Group Policy Management .


Crez une GPO nomme USB_DISABLE dans le magasin GPOs, puis ditez la.


Ajoutez le modle dadministration (ADM) cr prcdemment cette GPO : GPO_MASS-
STORAGE.ADM


Modifiez laffichage afin de faire apparatre notre nouveau modle dadministration.


Pour cela, dcochez loption Afficher uniquement les paramtres de stratgie pouvant tre
entirement grs .



Les paramtres disponibles dans le modle dadministration GPO_MASS-
STORAGE.ADM sont maintenant disponibles et peuvent tre modifis.


Passez le paramtrage en Activ avec 4 comme code de dmarrage (cest dire :
Dmarrage du pilote USBSTOR proscrit). Puis fermez lditeur.
NB : Attention, ce modle dadministration ntant pas natif, les modifications quil apporte ne
sont pas rversibles simplement en cochant Non configur . Pour annuler ses effets, il
faut maintenir active cette GPO et rtablir loption dorigine (cest dire loption 3).
Procdez toujours la mise en place dun pilote avant de mettre en fonction une nouvelle
GPO.


Nous allons ensuite modifier les privilges pour lcriture sur les clefs situes sous
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\USBSTOR]. Ceci afin de
permettre un groupe global de scurit constitu de comptes de techniciens et
dadministrateurs (nomm ADMIN_TECHS dans ce tutoriel) de pouvoir temporairement
outrepasser cette GPO.


Saisissez le chemin MACHINE\SYSTEM\CurrentControlSet\services\USBSTOR (sans
guillemets).


Ajoutez le groupe ADMIN_TECHS . Supprimez les groupes inutiles. ATTENTION : Ne
supprimez pas le groupe SYSTEM , les membres de ce groupe sont chargs dappliquer
cette GPO.
Donnez Contrle total au groupe ADMIN_TECHS . Ce privilge tant trop lev, nous
allons limiter les droits accords : Cliquez sur paramtres avancs.


Cliquez sur Modifier .


Appliquez les droits lists ci-dessus.



Vrifiez que les droits dsormais accords sont corrects.


Autorisez la propagation des privilges aux sous-clefs.


Les droits qui seront appliqus la branche
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\USBSTOR] de la base de
registre ont maintenant t mis en place.


Contrlez que la GPO USB_DISABLE t correctement paramtre.


Modifiez ensuite le filtrage appliqu cette GPO : Appliquez la uniquement au groupe global
Ordinateurs du domaine .
Liez la GPO USB_DISABLE lunit organisationnelle contenant les micro-ordinateurs
sur lesquels elle devra sappliquer.




Notez que nous crerons des exceptions par la suite, inutile de remanier lourdement votre
annuaire pour mettre en place ce paramtrage si une partie de vos postes doivent tre en
mesure de charger le pilote pour le support des priphriques de stockage USB.


Les paramtres apports par cette nouvelle GPO tant exclusivement appliqus aux postes
de travail, inutile de maintenir activ le traitement des paramtres utilisateurs : Dsactivez
les.
4_Cration de la GPO permettant dactiver lUSB sur les postes de travail de votre
choix :



Nommez la nouvelle GPO USB_ENABLE .
Une fois cette nouvelle GPO cre, modifiez son filtrage de scurit afin que celle-ci ne
sapplique aucun objet de lannuaire (cest temporaire).



Comme la prcdente, cette GPO contient des paramtres exclusivement appliqus au
contexte machine : Dsactivez les paramtres utilisateurs.
Ensuite, ditez la GPO USB_ENABLE .

Puis, ajoutez cette GPO le modle dadministration GPO_MASS-STORAGE.ADM .




Puis, modifiez laffichage afin de pouvoir diter les paramtres lis au modle
dadministration GPO_MASS-STORAGE.ADM .





Afin de permettre le dmarrage du pilote USBSTOR , vous devez activer ce modle
dadministration et positionner le code de dmarrage sur 3.


Contrlez ensuite le paramtrage de la GPO USB_ENABLE .
5_Contrlez le bon fonctionnement de lapplication de la GPO USB_DISABLE sur
un poste de test :
Redmarrez le poste de test afin que les GPOs puissent sappliquer. Puis, ouvrez une
session en tant quadministrateur (nutilisez pas le compte de ladministrateur du domaine,
nous avons donn les privilges ce dernier pour quil puisse modifier la valeur de la clef de
registre [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\USBSTOR], ni
celui dun membre du groupe ADMIN_TECHS ). Puis, insrez une clef USB.
Ouvrez regedit et allez jusqu la clef
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\USBSTOR].
Notez que le compte dutilisateur utilis pour ce test est ladministrateur local du poste.


Notez que la clef START bien pour valeur 4.
Essayez maintenant de modifier la valeur de cette clef.

La modification est refuse : Seuls les utilisateurs autoriss peuvent modifier la valeur de
cette clef (cest dire : Ladministrateur du domaine et les membres du groupe de
techniciens/administrateurs ADMIN_TECHS ).

Ouvrez ensuite le gestionnaire de priphriques du poste de test.


Notez que la clef USB apparat bien, mais son pilote ne peut pas tre charg par le systme
: La dsactivation fonctionne. En fin de test, retirez la clef USB du poste.
6_Activation de la GPO USB_ENABLE :
Nous devons maintenant mettre en place la GPO USB_ENABLE : Celle-ci permettra
dactiver le support des priphriques de stockage USB sur les postes des utilisateurs
habilits.


Liez la GPO USB_ENABLE dans lunit organisationnelle dj utilise pour
USB_DISABLE .


Modifiez ensuite lordonnancement des GPOs afin qu USB_DISABLE (lien en seconde
position, CF capture) soit appliqu avant USB_ENABLE (lien en premire position, CF
capture).
Il convient maintenant de crer un nouveau groupe de scurit global qui contiendra les
comptes des ordinateurs sur lesquels on souhaite pouvoir utiliser les priphriques de
stockage USB.

Le groupe global de scurit utilis pour ce tutoriel se nomme USB_ENABLED .


Slectionnez ensuite les comptes des postes partir desquels on pourra utiliser les
priphriques de stockage USB.

Notez que le compte du poste de test Desktop1 est membre de ce groupe.


Enfin, modifiez le filtrage afin que la GPO USB_ENABLE ne soit applique quaux postes
lists dans le groupe global de scurit cr prcdemment ( USB_ENABLED ).
7_Contrlez le bon fonctionnement de lapplication des GPOs :
Redmarrez le poste de test (ici DESKTOP1). Puis ouvrez une session en tant que simple
utilisateur. Insrez ensuite une clef USB.


La clef USB est disponible, le gestionnaire de priphrique ne montre aucun problme : Le
pilote USBSTOR est correctement charg.


Pour vrifier si ce paramtrage est rversible : Supprimez le compte DESKTOP1 du
groupe global USB_ENABLED et redmarrez le poste de test.
Ouvrez une session sur le poste de test (celui dont le compte t supprim du groupe
USB_ENABLED videmment), utilisez nimporte quel compte local ou non (hormis
ladministrateur du domaine ou les membres du groupe ADMIN_TECHS , qui sont
habilits modifier la valeur de la clef qui contrle le chargement du pilote USBSTOR ) :
Vous constaterez que la clef USB nest pas disponible.

Pour conclure :
Cette solution prsente un dfaut majeur : La gestion des habilitations ne se fait pas par
utilisateurs mais par postes et implique le redmarrage du poste en cas de changement
(activation/dsactivation du stockage USB). Toutefois, elle devrait vous permettre de mettre
en place une gestion centralise de laccs aux priphriques de stockage USB et ainsi,
limiter les risques lis lutilisation de ces priphriques (pour les priphriques de stockage
firewire, je suppose que lon peut procder de faon similaire).

Vous aimerez peut-être aussi