Bonjour à tous,
Voila un petit tuto que j’ai mis en place puisque j’ai du faire cela dans mon entreprise et j’ai bien galéré à trouver donc si cela peut servir à quelqu’un!!!
Si vous avez des conseils des remarques… n’hésitez pas à m’en parler. (Même si vous avez réussi vous pouvez le dire 
)
Pour bloquer l’usb au niveau d’une session et non plus sur la machine il faut mettre en place deux stratégies.
Une stratégie machine et une stratégie utilisateur.
Il faudra tout dabord commencer par la stratégie machine qui autorise seulement la modification du dossier ou la valeur sera changé. Puisque un utilisateur “X” n’a aucun droit sur une modification du registre. Puis la stratégie utilisateur avec un script qui modifiera cette valeur.
Stratégie Ordinateur :
Il faut créer une GPO ordinateur qui indique que n’importe quel utilisateur a les droits de modification sur le dossier USBSTOR
Configuration Ordinateur/Paramètre de sécurité/Registre, et ajouter la clé de registre : HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\USBSTOR
Cette stratégie doit être placée le plus haut possible sur les unités dorganisation puisque cela doit concerner toute les machines du domaine.
Stratégie Utilisateur :
La stratégie utilisateur est un script batch qui démarrera à l’ouverture de session qui permettra de changer la valeur dans le registre
Voici le script d’activation :
set k=HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR
REG ADD “%k%” /v Start /t REG_DWORD /d 3 /f
Voici le script de désactivation :
set k=HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR
REG ADD “%k%” /v Start /t REG_DWORD /d 4 /f
La valeur 3 indique à la machine quelle est autorisé à ouvrir un périphérique de stockage, la valeur 4 indique donc le contraire.
Il faut créer deux GPO, un utilisateur doit obligatoirement lune ou lautre pour ne pas causer de problème.
Ex : Un utilisateur (usb desactiver) se logue sur un pc, la valeur du registre est donc modifié. Si le prochain utilisateur ne dispose pas de la GPO activé, la clé usb ne sera pas activé.
Cas Particulier :
Si un utilisateur qui était dans une Unité d’Organisation désactiver mais que vous voulez l’activer temporairement, il suffit d’aller chercher le script d’activation et de le lancer depuis la session utilisateur.
Un simple débranchement re-branchement de la clé permettra la détection de la clé usb.
Bonsoir,
Vu que l’application d’une GPO n’est rien d’autre qu’une modification de la base de registre, pourquoi ne pas faire un fichier .adm définissant cette entrée de la base de registre et permettant de paramétrer à loisir la valeur via GPO plutôt que de lancer un script ?
Cette remarque est valable dans ton cas mais je ne la limite pas à celui-ci.
En tout cas merci à toi de faire profiter de ton travail.
Koin-Koin
PS: il faut que je vérifie mais il me semble qu’il y a déja une GPO native pour ton cas de figure (ou du moins approchant)
Bonjour Koin-Koin
Après avoir fait de nombreuse recherche sur différent forum qui évoqué le fait de bloquer l’usb, j’ai eu le choix entre différente proposition :
- “Cela ne peut pas marcher”
- “Il faut acheter un logiciel”
- Test de fichier .adm qui ne fonctionne pas
J’ai fais ce tuto en essayant de faire avec mes connaissances mais je suis preneur si tu as un tuto mieux expliqué (qui fonctionne )
Pour le fichier .adm je ne sais pas comment en faire un mais je vais chercher. Si tu en as un bien expliqué je le veux bien.
J’espèrais avoir le temps de voir tout cela hier mais comme on dit, vieux motard que jamais.
Alors pour commencer:
- Cette GPO n’existe pas nativement (en tout cas je ne l’ai pas trouvé :ane:)
- Je confondait avec la restriction en écriture qui était en place à une époque dans mon environnement et je ne suis même plus certain qu’elle fut native
Voila pour le mea culpa.
Maintenant en ce qui concerne la création de fichiers .adm/
Je ne connais pas de tutoriel, juste des exemples qui trainent ici ou là mais voici déja quelques ressources intéressante:
GPO Masters[/url] qui a au moins le mérite d’être en français et sur lequel on trouvera par exemple [url=http://www.gpomasters.com/Dossiers%20Publics/Forms/AllItems.aspx?RootFolder=%2fDossiers%20Publics%2fGroup%20Policy%20Settings%20References%20for%20Windows%20and%20Windows%20Server&View=%7bD4A0468A%2dBEAB%2d4FB5%2d925D%2d3EDE35F150FD%7d]des tableaux reprenant la liste des GPOs disponible par OS.
Sur le site de Yzhar Hurwitz est disponible (entre autre) un utilitaire qui génère un fichier adm à partir d’un fichier .reg (RegToADM).
Comme tu le suggère je vais faire un tutoriel sur le sujet mais, pour plus de lisibilité, je vais le séparer de ce post.
Voila, c’est fait ici.
J’espère que cela te permettra de tenter de faire ton propre fichier .adm.
Tiens nous au courant de tes progrès.
Je viens de trouver un problème à ma GPO mais je ne trouve pas pour le moment un moyen de le régler peut-etre auras-tu une idée.
Lorsque la clé usb est pour la première fois branché sur le poste elle s’installe et réactive automatiquement la valeur 3 sur la clé Start alors qu’elle était en valeur 4 avant le branchement.
Mais après une fermeture et réouverture de session la clé ne se lance plus puisqu’elle a déjà été installé juste avant.
En fait la solution de la clé de registre n’est valable que dans le cas ou le dispositif est DEJA installé.
C’est très clairement expliqué sur le site de Microsoft ainsi que la méthode pour empêcher l’installation d’un stockage USB.
Edit:
Un article (en anglais) qui reprend toute ta problématique et fourni également le fichier .adm
Edité le 18/10/2010 à 19:46
J’ai déja regardé ce site mais pour ma part il ne m’a pas apporté se que je souhaitais c’est à dire le blocage de l’usb.
Mais voilà ce que j’ai fais pour permettre le bon fonctionnement de la clé.
J’ai modifier l’access list du fichier USBSTOR.inf j’ai supprimé toute les autorisations qui si trouvé et j’ai juste rajouté mon groupe de sécurité qui à qui j’autorise l’accès au usb.
Et même avec ces restrictions tu peux toujours ajouter une nouvelle clé?
Oui maintenant si l’utilisateur qui fait parti de mon groupe qui est autorisé a installé une clé usb cela se fait normalement.
Par contre si ce n’est pas un utilisateur autorisé cela lui demande un login et mot de passe puis quand on les a rentré il demande le chemin d’installation de la clé et il faut lui indiquer C:\WINDOWS\inf
Et ensuite la clé s’installe.