Ce guide contient des instructions étape par étape sur la façon de bloquer les périphériques de stockage USB sur l'ensemble du domaine ou sur des utilisateurs de domaine spécifiques à l'aide de la stratégie de groupe dans un domaine AD 2016 ou 2012. Plus précisément, après avoir lu les instructions de ce guide, vous apprendrez comment empêcher l'accès à tout périphérique de stockage USB (lecteurs flash, disques durs, smartphones, tablettes, etc.), qui peuvent se connecter à n'importe quel ordinateur du domaine, ou refuser l'accès au stockage USB uniquement à des utilisateurs spécifiques du domaine.
Aujourd'hui, beaucoup d'entre nous utilisent un périphérique de stockage USB pour transférer des données. Cependant, pour une organisation, la capacité de ses employés à utiliser des périphériques de stockage externes peut comporter des risques de sécurité, tels que la propagation de logiciels malveillants ou l'interception de données sensibles. Pour éviter ces risques, vous pouvez lire les instructions suivantes pour bloquer l'accès aux périphériques de stockage USB à tous les utilisateurs et ordinateurs de votre domaine ou à certains utilisateurs de domaine uniquement, en utilisant la stratégie de groupe
* Remarques:
1.Dans cet article, pour bloquer les clés USB via la stratégie de groupe, nous avons utilisé un contrôleur de domaine Active Directory 2016 pour créer la nouvelle stratégie de groupe et des postes de travail Windows 10 Pro et Windows 7 Pro pour l'appliquer.
2. La politique "Bloquer l'accès USB" n'affectera pas les administrateurs de domaine ou tout autre périphérique USB connecté, tel que les claviers USB, la souris, l'imprimante, etc.
3.Après avoir appliqué la stratégie de groupe, les utilisateurs n'auront accès à aucun type de périphérique de stockage USB, et recevra l'un des messages d'erreur suivants lors de la tentative d'accès à un périphérique de stockage USB sur leur PC.
Comment utiliser la stratégie de groupe pour empêcher l'accès aux périphériques de stockage USB (Serveur 2012/2012R2/2016)
- Partie 1. Bloquez l'accès en lecture/écriture USB sur tous les utilisateurs du domaine.
- Partie 2. Bloquer l'accès en lecture/écriture USB pour certains utilisateurs de domaine.
Partie 1. Comment bloquer l'accès aux périphériques de stockage USB sur l'ensemble du domaine 2016.
Pour désactiver l'accès à tout périphérique de stockage USB connecté à tout ordinateur (utilisateur) du domaine :
1. Dans le contrôleur de domaine AD Server 2016, ouvrez le Gestionnaire de serveur puis de Outils menu, ouvrez le Gestion des politiques de groupe. *
* De plus, accédez à Panneau de commande -> Outils administratifs -> Gestion des politiques de groupe.
2. En dessous de Domaines, sélectionnez votre domaine puis clic-droit à Stratégie de domaine par défaut et choisissez Éditer.
3. Dans « Éditeur de gestion des stratégies de groupe », accédez à :
- Configuration utilisateur > Stratégies > Modèles d'administration > Système > Accès au stockage amovible
4. Dans le volet de droite, double-cliquez sur: Disques amovibles: refusez l'accès en lecture. *
* Remarques:
1. De nombreux tutoriels à ce stade suggèrent de Activer la 'Toutes les classes de stockage amovible: refuser tout accès' politique, mais lors de nos tests, nous avons découvert que cette politique n'est pas applicable (travail) pour les smartphones ou les tablettes.
2. Si vous souhaitez bloquer l'accès en écriture USB, sélectionnez le Disques amovibles: refusez l'accès en écriture.
5. Vérifier Activée et cliquez D'ACCORD.
6. Fermer l'éditeur de stratégie de groupe.
7. Redémarrage le serveur et les machines clientes, ou exécutez le gpupdate /force pour appliquer les nouveaux paramètres de stratégie de groupe (sans redémarrage) au serveur et aux clients.
Partie 2. Comment empêcher l'accès aux périphériques de stockage USB sur des utilisateurs de domaine spécifiques.
Pour désactiver l'accès aux périphériques de stockage USB à des utilisateurs spécifiques uniquement à l'aide d'une stratégie de groupe, vous devez créer un groupe avec les utilisateurs qui ne souhaitent pas accéder aux périphériques de stockage USB, puis appliquer la nouvelle politique à ce grouper. Pour faire ça:
Étape 1. Créez un groupe avec les utilisateurs USB désactivés. *
* Noter: Si vous avez déjà créé un groupe avec les utilisateurs USB désactivés, continuez à étape 2.
1. Ouvert Utilisateurs et ordinateurs Active Directory.
2. Faites un clic droit sur le "Utilisateurs" dans le volet de gauche et choisissez Nouvelle > Grouper
3. Tapez un nom pour le nouveau groupe (par exemple "Utilisateurs désactivés USB") et cliquez sur d'accord. *
* Noter: Laissez les options « Global » et « Sécurité » cochées.
4. Ouvrez le groupe nouvellement créé, sélectionnez le Membres onglet et cliquez Ajouter
5. Sélectionnez maintenant dans quel(s) utilisateur(s) de domaine vous souhaitez bloquer les périphériques de stockage USB, puis cliquez sur D'ACCORD.
6. Cliquez sur d'accord pour fermer les propriétés du groupe.
Étape 2. Créez un nouvel objet de stratégie de groupe pour désactiver les périphériques de stockage USB.
1. Ouvrez le Gestion des politiques de groupe.
2. Sous l'objet 'Domaines', faites un clic droit sur votre domaine et sélectionnez Créez un GPO dans ce domaine et associez-le ici.
3. Tapez un nom pour le nouveau GPO (par exemple, « USB désactivé ») et cliquez sur D'ACCORD.
4. Cliquez avec le bouton droit sur le nouveau GPO et cliquez sur Éditer.
5. Dans « Éditeur de gestion des stratégies de groupe », accédez à :
- Configuration utilisateur > Stratégies > Modèles d'administration > Système > Accès au stockage amovible
4. Dans le volet de droite, double-cliquez sur: Disques amovibles: refusez l'accès en lecture. *
* Noter:
1. De nombreux tutoriels à ce stade suggèrent de Activer la 'Toutes les classes de stockage amovible: refuser tout accès' politique, mais lors de nos tests, nous avons découvert que cette politique n'est pas applicable (travail) pour les smartphones ou les tablettes.
2. Si vous souhaitez bloquer l'accès en écriture USB, sélectionnez le Disques amovibles: refusez l'accès en écriture.
5. Vérifier Activée et cliquez D'ACCORD.
6. Fermer la Éditeur de gestion des stratégies de groupe la fenêtre.
7. De retour à « Gestion des stratégies de groupe », sélectionnez l'objet de stratégie de groupe « USB désactivé » et dans l'onglet « Portée », cliquez sur le bouton Ajouter (sous les paramètres « Filtrage de sécurité »).
8. Tapez le nom du groupe "Utilisateurs désactivés USB" (par exemple, "Utilisateurs désactivés USB" dans ce message), et cliquez sur d'accord.
9. Une fois terminé, sélectionnez le Délégation languette.
10. Dans l'onglet 'Délégation', sélectionner la Utilisateurs authentifiés et cliquez Avancée.
11. Dans Options de sécurité, sélectionner la Utilisateurs authentifiés et décocher la Appliquer la politique de groupe case à cocher. Une fois terminé, cliquez sur D'ACCORD.
6. Fermer l'éditeur de stratégie de groupe.
7. Redémarrage le serveur et les machines clientes, ou exécutez le "gpupdate /force" (en tant qu'administrateur), pour appliquer les nouveaux paramètres de stratégie de groupe (sans redémarrage) au serveur et aux clients.
C'est ça! Faites-moi savoir si ce guide vous a aidé en laissant votre commentaire sur votre expérience. Aimez et partagez ce guide pour aider les autres.