Reg | Blog de Hicham KADIRI | Just Another IT Guy

Archives de la catégorie ‘Reg’

[OS Hardening] : Restreindre l’accès aux clés USB via GPO (Group Policy Objects) et Script (Batch)

Publié: 06/10/2018 dans Group Policy Objects, Reg, Windows Client, Windows Sever, Windows Tips & Tricks
Tags:Désactiver accès clé USB, Désactiver accès clé USB via GPO, Désactiver accès clé USB via Script, Désactiver Port USB, Hicham KADIRI, Reg.exe, USBSTOR, Windows 10, Windows Server 2016, Windows Server 2019, Windows Tips & Tricks

Introduction

Dans le cadre d’un projet de Hardening/Sécurisation d’infrastructures systèmes (Windows Server ou Client), vous pouvez avoir comme exigence « La désactivation des ports USB /Accès aux USB Devices ».

Cela peut concerner sur les serveurs (Physiques ou Virtuels) et/ou Postes de travail.

Pour répondre à cette exigence, Microsoft fourni par défaut dans ses OS (Client & Server) des paramètres de Stratégie de Groupe vous permettant de mettre en place cette restriction.

Alors, comment ça marche ?

Avant l’application de la procédure décrite ci-dessous, Notez que dans l’exemple ci-dessous, mon Laptop (un WS10 > 1803) permet toujours l’accès à mes devices USB :

Maintenant lancez l’outil GPMC.msc si vous souhaitez appliquer cette restriction sur plusieurs machines jointes à un domaine AD, ou GPEdit.msc si vous souhaitez d’abord tester et valider la procédure sur une machine localement.

Développez ensuite :

Configuration Ordinateur > Stratégies > Modèles d’Administration > Système > Accès au stockage amovible > Toutes les classes de stockage amovible : refuser tous les accès

Pour désactiver l’accès aux devices USB, il suffit de cochez « Activé » :

Après application/refresh des stratégies de groupe (GpUpdate /Target:Computer), l’accès aux USB devices (USB Keys, External Disks…etc) devient interdit (accès refusé) :

Astuce : Désactiver les ports USB via Script

La désactivation des ports USB peut également se faire via Script.

Dans l’exemple suivant, un simple script Batch basé sur le Command-Line Tool « REG.exe » vous permet de réaliser cette opération en changeant la valeur de la Clé « Start » et la positionnant à 4 (au lieu de 3).

REM ==== Important : vous devez exécuter le script en tant qu’Administrateur !
REM ===================================================

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR /v Start /t REG_DWORD /d 4 /f

Information utile

Si vous souhaitez ré-activer l’accès aux ports USB, il suffit d’éditer le fichier (Script Batch) et positionnez la valeur de la clé « Start » à 3

Téléchargez le script

Ce script est disponible en téléchargement gratuit depuis la Gallery TechNet.

Téléchargez le script ici.

Reg.exe | Guide pas à pas

Publié: 13/05/2014 dans Reg

L’outil Reg.exe est natif dans les systèmes d’exploitation Windows Server et Windows Client.

Il permet d’effectuer des opérations sur le Registre Windows (BDR), comme l’ajout, suppression, modification et affichage des informations des sous-clés de Registre ou valeurs.

Vous avez sûrement eu l’occasion d’utiliser l’outil graphique Regedit.exe, qui est fourni /installé aussi avec Windows Server ou Windows Client, eh bien Reg.exe permet de faire la même chose et présente en plus l’avantage d’être directement utilisable dans les scripts, e.i script Batch (fichier .bat).

Article en cours de rédaction …

Blog de Hicham KADIRI | Just Another IT Guy

Stats du Site

eBook Azure Advisor

eBook Azure CLI 2.0

eBook RDS 2016

Suivez-moi sur Twitter

Catégories

Archives

Articles récents