[Windows 11] Empêcher l'accès aux ports USB

Ça me trotte depuis quelques années mais je m’y étais jamais penché sérieusement : empêcher l’accès aux ports USB de mon PC. La config : PC familial que je suis quasiment seul à utiliser mais auquel femme et enfants peuvent avoir accès. Les enfants étant à un âge où il serait possible qu’ils finissent par brancher une clé USB venue d’on ne sait où, j’aimerai éviter que le PC se fasse pourrir par un malware (bien que tout ce qui est important soit répliqué via NAS/cloud).

Au début j’avais pensé à un blocage physique des ports via des petits trucs dans ce genre. Mais bon, ça m’a l’air un peu clunky et on pourrait toujours réussir à les enlever si on s’y met sérieusement.

J’ai aussi trouvé quelques logiciels mais certains ne sont plus à jour et d’autres n’inspirent pas spécialement confiance. Au final, je me suis dit que si on pouvait éviter de passer par un soft tiers, ça ne serait pas plus mal.

C’est suite à cette réflexion que je suis tombé sur les stratégies de groupe dans Windows. Après quelques recherche, j’ai l’impression que ça correspond parfaitement à mes attentes sauf que les différentes stratégies semblent assez compliquées à mettre en place (interdépendances, description vague…). Par exemple, je vois bien qu’il existe une stratégie « Toutes les classes de stockage amovible : refuser tous les accès » mais à quoi cela correspond exactement ? Tous les périphériques USB ? Seulement les clés USB avec stockage ? Si je branche un dongle USB pour ma souris, il se passe quoi ?

Je demande car j’ai effectué des tests mais les résultats sont inconstants : j’ai au choix, le son de notification de branchement et le lecteur qui s’affiche dans l’explorateur mais un message d’erreur à l’ouverture, le son mais aucun lecteur qui s’affiche, rien du tout mais le périphérique qui apparait dans le gestionnaire.

En gros, je veux que n’importe quel périphérique USB soit bloqué dès le branchement sauf une liste que j’aurai prédéfini (casque VR, dongle souris, etc). Il y a une manière simple de faire ça ?

Pour le coup, au boulot, l’exécution de programme sur la clé est bloquée. Il est indispensable de copier le programme sur l’ordi pour pouvoir le lancer, et à cette occasion, il est contrôlé par l’antivirus.

Je ne sais pas si c’est suffisant comme sécurité, mais ça permet déjà de tout passer par ton antivirus avant de l’exécuter.

Ca n’empêche pas de faire fonctionner les dongles et consorts.

Il y a quelques pistes dans cet article (surtout 1.2, par la partie par l’éditeur de stratégie locale).

https://www.malekal.com/bloquer-cles-usb-disque-dur-externe-windows/

J’espère que tu y trouveras ce qu’il te faut !

Si tu as une version de windows pro (ce qu’il faut avoir, vu que la version familiale est une merde bridée sans nom)
Voici le chemin pour les options de gpo disponibles (lancement par gpedit.msc)
Stratégie Ordinateur locale->Configuration ordinateur->Modèle d’administration-> Système->Accès au stockage amovible.
Tu auras le loisir de changer ces paramètres:

Classes personnalisées : refuser l’accès en lecture
Classes personnalisées : refuser l’accès en écriture
Disques amovibles : refuser l’accès en exécution
Disques amovibles : refuser l’accès en lecture
Disques amovibles : refuser l’accès en écriture
Toutes les classes de stockage amovible : refuser tous les accès

Regarde également dans la politique « Accès au stockage étendu »…

La classe de stockage amovible c’est la notion de « mass storage », en gros si un périphérique contient du mass storage, comme un téléphone, une clé usb ou un appareil photo, seule cette fonctionnalité sera bloquée

tips qui a son importance: les modifications ne sont prises en compte qu’à l’ouverture de session, donc en gros il faut rebooter ou à minima se delogger

une piste pour éviter l’installation de devices avec whitelist:

Parfait merci, je vais regarder ça.