Restreindre l’accès à certains périphériques USB
IntroductionLimiter l’accès aux périphériques USB est essentiel dans les environnements professionnels où les risques de vol de données ou d’introduction de logiciels malveillants sont élevés. Windows 11 permet de restreindre ces accès via les stratégies de groupe (GPO), la gestion des pilotes, ou l’identification des périphériques par ID matériel. Cette méthode permet d’autoriser uniquement les périphériques approuvés tout en bloquant les autres automatiquement.
Prérequis• Windows 11 Pro ou Enterprise
• Droits administrateurs sur le poste ou via GPMC.msc
• Périphérique USB cible connecté pour en extraire l’ID matériel
• (Optionnel) Outil USBDeview pour identifier les périphériques autorisés
Procédure complète• Étape #1 : Identifier l’ID matériel des périphériques USB à autoriser
• Étape #2 : Activer la stratégie de blocage général des périphériques de stockage
• Étape #3 : Autoriser explicitement certains périphériques USB
• Étape #4 : Appliquer la stratégie via GPO ou localement
• Étape #5 : Tester le comportement sur différents périphériques
Niveau de difficulté• Étape #1 : Intermédiaire
• Étape #2 : Facile
• Étape #3 : Avancé
• Étape #4 : Facile
• Étape #5 : Facile
Les Avantages• Étape #1 : Identification précise des périphériques
• Étape #2 : Blocage global efficace
• Étape #3 : Autorisation sélective d’USB approuvés
• Étape #4 : Application centralisée via GPO
• Étape #5 : Facilité de validation opérationnelle
Les Inconvénients• Étape #1 : Extraction manuelle de l’ID matériel
• Étape #2 : Risque de bloquer des périphériques utiles
• Étape #3 : Requiert un suivi constant des exceptions
• Étape #4 : GPO non disponibles sur Windows 11 Famille
• Étape #5 : Détection tardive si non testée avant déploiement
Étape #1
Connecter le périphérique USB à autoriser
Ouvrir le Gestionnaire de périphériques
Double-cliquer sur l’appareil > onglet Détails > Chemin d’accès à l’instance du périphérique
Copier la valeur du type :
Code:
USBSTOR\DiskVendorModel_REV_1234\XXXXXXXXXXXXXX
Code:
Configuration ordinateur > Modèles d'administration > Système > Accès amovible
Code:
Toutes les classes de stockage : refuser l’accès en lecture
Code:
Toutes les classes de stockage : refuser l’accès en écriture
Code:
HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions\AllowDeviceIDs
Code:
gpupdate /force
Code:
Observateur d’événements > Journaux Windows > Système
AstuceUtilisez USBDeview pour extraire rapidement tous les identifiants USB connectés précédemment au poste afin d’autoriser ou bloquer des modèles spécifiques en masse.
Mise en gardeUne stratégie trop restrictive peut empêcher l’utilisation de périphériques critiques (clavier, imprimante, scanner USB). Testez toujours sur un environnement de préproduction.
ConseilCombinez ces règles à un système de journalisation de l’accès amovible et à une solution de DLP (Data Loss Prevention) pour un contrôle complet et granulaire des flux USB.
Solutions alternatives• GPO USB whitelist
• Intune device restrictions USB
• Endpoint Protector (DLP)
Références utiles• Support Microsoft
• Microsoft Learn
• Recherche GitHub
ConclusionRestreindre l’accès aux périphériques USB via les stratégies de groupe et les ID matériels permet un contrôle rigoureux et ciblé sur les connexions amovibles. Ce mécanisme renforce la sécurité des postes Windows 11 en bloquant les périphériques non autorisés tout en conservant la compatibilité avec les équipements validés.
