[TUTO] Blocage USB par GPO et Par utilisateur

Le Forum Windows Server 2003

[TUTO] Blocage USB par GPO et Par utilisateur

Messagepar farai14 » 14 Oct 2010, 14:37

Bonjour à tous,

Voila un petit tuto que j'ai mis en place puisque j'ai du faire cela dans mon entreprise et j'ai bien galéré à trouver donc si cela peut servir à quelqu'un!!!
Si vous avez des conseils des remarques... n'hésitez pas à m'en parler. (Même si vous avez réussi vous pouvez le dire :) )

Pour bloquer l'usb au niveau d'une session et non plus sur la machine il faut mettre en place deux stratégies.
Une stratégie machine et une stratégie utilisateur.
Il faudra tout d’abord commencer par la stratégie machine qui autorise seulement la modification du dossier ou la valeur sera changé. Puisque un utilisateur "X" n'a aucun droit sur une modification du registre. Puis la stratégie utilisateur avec un script qui modifiera cette valeur.

Stratégie Ordinateur :

Il faut créer une GPO ordinateur qui indique que n'importe quel utilisateur a les droits de modification sur le dossier USBSTOR

Configuration Ordinateur/Paramètre de sécurité/Registre, et ajouter la clé de registre : HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\USBSTOR
Cette stratégie doit être placée le plus haut possible sur les unités d’organisation puisque cela doit concerner toute les machines du domaine.

Stratégie Utilisateur :

La stratégie utilisateur est un script batch qui démarrera à l'ouverture de session qui permettra de changer la valeur dans le registre

Voici le script d'activation :

set k=HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR
REG ADD "%k%" /v Start /t REG_DWORD /d 3 /f




Voici le script de désactivation :

set k=HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR
REG ADD "%k%" /v Start /t REG_DWORD /d 4 /f

La valeur 3 indique à la machine quelle est autorisé à ouvrir un périphérique de stockage, la valeur 4 indique donc le contraire.
Il faut créer deux GPO, un utilisateur doit obligatoirement l’une ou l’autre pour ne pas causer de problème.
Ex : Un utilisateur (usb desactiver) se logue sur un pc, la valeur du registre est donc modifié. Si le prochain utilisateur ne dispose pas de la GPO activé, la clé usb ne sera pas activé.

Cas Particulier :
Si un utilisateur qui était dans une Unité d'Organisation désactiver mais que vous voulez l'activer temporairement, il suffit d'aller chercher le script d'activation et de le lancer depuis la session utilisateur.
Un simple débranchement re-branchement de la clé permettra la détection de la clé usb.
farai14
 
Messages: 3
Inscrit le: 14 Oct 2010, 14:28

Re: [TUTO] Blocage USB par GPO et Par utilisateur

Messagepar Kejin » 17 Oct 2010, 06:27

Bonjour,

Très intéressant, merci.
Ce que vous appelez l'enfer, Rambo il appelle ça chez lui...
Avatar de l’utilisateur
Kejin
Modérateur
 
Messages: 4651
Inscrit le: 31 Oct 2004, 11:59

Re: [TUTO] Blocage USB par GPO et Par utilisateur

Messagepar msce-nabil » 30 Oct 2010, 10:50

merci cette idee tres importante merci
msce-nabil
 
Messages: 3
Inscrit le: 28 Oct 2010, 13:49

Re: [TUTO] Blocage USB par GPO et Par utilisateur

Messagepar kais_msalmi » 24 Déc 2010, 10:33

c'est génial :good: !!! merci
kais_msalmi
 
Messages: 2
Inscrit le: 24 Déc 2010, 09:39


Retour vers Windows Server 2003

Qui est en ligne ?

Utilisateurs parcourant actuellement ce forum : Aucun utilisateur inscrit et 2 invités

  •  Liens commerciaux