[WINDOWS][USB] Windows 7 pro + USB = NAWAK

Bonjour à vous tous ,

alors voila le topo hypra simple :

1 client utilise une table sous Windows7 , avec des ports USB.
Il exige que : aucun port usb ne soit accessible SAUF 1 seul sur lequel il plug 1 clé USB particulière.

Est-ce que c’est techniquement possible de filtrer :

  1. Les ports USB ( désactivez tout sauf celui ci )
  2. Les composants rattachés ( avec une sorte d’UID comme sous unix ) ?

A vot’ bon coeur !
Merci :smile:

Quelque chose comme ça ?
Sinon comme dit dans la shoutbox, ici les admins utilisent la suite symantec endpoint protection qui est capable de filtrer les périphériques et qui a un système de liste blanche.

ouaip mais je voulais savoir si il y a un moyen interne à windows, sans outils externe.

un peu pareil, ma boite utilise une suite (concurrente à symantec: mcafee) qui permet une gestion fine des périphériques, et d’avoir des logs.
Par défaut windows te permet d’activer/désactiver le périphérique, donc il faut esperer que ce n’est pas le même hub usb controller pour tous tes ports USB.

1 « J'aime »

en effet , je vais regarder ça.
J’avais des éléments que l’on pouvait modifier la base de registre, mais c’est tout ou rien.
Il n’y a de gestion indépendante de chaque port USB ???

Tu as discuté du besoin réel avec le client ?
Parce que le combo “un seul port” + “une seule clé”, c’est hyper restrictif tout de même…
En un poil moins restrictif (mais du coup peut-être pas adapté au besoin), il y a possibilité de limiter l’accès aux ports USB à certains utilisateurs.

en fait c’est hyper restrictif, et c’est voulu
C’est une tablette , utilisable dans un cas bien particulier, dans un environnement bien particulier ( aéroport tout ça ).

1 « J'aime »

Pour en avoir installer quelques une en clientèle, à chaque fois dans le cadre d’une solution de sécurité complète (antivirus, gestion des périphériques, gestion centralisée, …)
Symantec Endpoint Protection (assez lourd pour ne faire que de la gestion de périphérique). Le contrôle des périphérique est faisable, mais ce n’est pas le but principal de la solution. Du coup c’est pas forcément évident à mettre en place, mais une fois configurer ça fonctionne bien.
McAfee : Avant tu pouvais installer uniquement le module contrôle de périphérique, je sais pas si c’est encore possible. C’est le plus pousser sur le contrôle des périphérique mais aussi la plus "usine à gaz"
Sophos Endpoint : Assez basique comme configuration, tu n’as pas énormément de logs mais à l’avantage d’etre simple à configurer.

Après je ne connais pas les solutions “dédiées” au contrôle des périphériques.

Sinon pour la question - “Est il possible de bloquer uniquement certains port ?”, j’avoue aucune idée mais je ne vois pas trop ou est l’intérêt.

Ah OK, oui là c’est vraiment compréhensible… bonne chance du coup ! :wink:

Pour continuer dans la clarification des spécs :

  • c’est pour une tablette bien précise ou bien un ensemble de tablettes ? (si c’est le deuxième cas, ça risque d’être chiant pour généraliser la démarche puisque ce ne sera pas le « même » port USB sur chacune)
  • si c’est pour un ensemble de tablettes, ce sera pour la même clé pour toutes les tablettes ou bien chaque tablette sa clé spécifique ?

La super glue ça marche pas mal sinon pour “neutraliser” certain ports et pas d’autres.

4 « J'aime »

Mais te fait pas chier, c’est possible avec des GPO.

oui ,mais ce sont des machines non reliés à un AD …

Ben si c’est des machines non reliés a un AD et que l’user est admin dessus, tu l’as dans le cul hein.
Si le le user est pas admin, tu dois pouvoir appliquer des GPO quand meme. (Mais bon, j’y connais queud).
(Et sinon, ptet qu’avec ce genre de besoin, un AD serait a envisager, meme ultra light)

1 « J'aime »

ben oui voila

sauf que je ne trouve pas comment, via les gpo , dire ce port USB OK, les autres NOK !!

Salut,
Je n’ai pas tout lu mais cela semble répondre à ton besoin : Block all Make/Model of USB devices except for One

Apres vu que tu n’as pas d’AD positionné sur tes machines, tu peux retrouver les parametrages dans les policies local. A savoir que les GPO GPP sont de toute façon des paramétrages dans la base de registre que tu peux éditer à la main ou via des scripts.

edit : Oh j’ai pas repondu à la problematique. Tu ne vas pas filtrer par port USB mais par rapport à ce que tu as le droit de mettre dedans. C’est plus simple :wink:

1 « J'aime »

Ouais, tu peux pas filtrer “par port usb” mais par rapport a ce que tu vas connecter dessus. Filtrer par port usb, c’est juste complètement débile. Tu fous de la colle dedans, c’est aussi efficace et pas moins débile.

“Nan monsieur, vous n’utiliserez que CE port la !”

2 « J'aime »

Bon ok ok je vais étudier ça

Oui je me dis la même chose : pourquoi vouloir n’autoriser qu’un port USB, ça n’a pas beaucoup de sens…

Pas forcément, @mono explique que le matériel est mis à dispo du public dans un aéroport. On peut imaginer que certains ports soient accessible de tous, du coup on les bloque et les autres ne le sont que par un “admin” (dans un meuble, ou que sais-je) et par ce port là il veut pouvoir appliquer des MAJ.

Donc ça peut avoir du sens…

Je ne connais pas ton cas d’usage exact mais c’est pas envisageable de gérer ça avec des users? Le user “public” n’a pas l’usb et tu reboot/change d’user/passe en admin pour dévérouiller les ports et mettre LA clé?

Comment ca peut avoir du sens si peu importe ce que tu branches c’est pas utilisable ?
Si le probleme est que le mec peut nuker le pc, une protection physique sera plus a meme d’etre efficace.
Si c’est pour une autre raison, je vois VRAIMENT pas l’interet.
Le principe, c’est qu’il n’y ait QU’UNE clé usb qui marche sur ce pc. Rien d’autre d’usb.