• Article

Sécurité

Gestions des restrictions de matériel à l’aide de la Stratégie de groupe

Jeremy Moskowitz

 

Vue d'ensemble:

  • Restriction des installations de matériel
  • Restriction de périphériques spécifiques
  • Restriction de classes de périphériques

Cela ne fait aucun doute : ces clés/disques USB au format de poche et autres gadgets multimédia amovibles peuvent faciliter votre vie personnelle mais rendre votre vie professionnelle plus difficile. Vous voulez disposer d’un moyen permettant de contrôler

les périphériques matériels pouvant être installés ou non. Heureusement, avec la Stratégie de groupe de Windows Vista™ et la prochaine version de Windows Server®, nom de code « Longhorn », vous avez la possibilité d’autoriser les souris USB et de rejeter les disques USB sur clé, autoriser les lecteurs de CD-ROM, mais pas les graveurs de DVD, ou encore d’autoriser Bluetooth mais pas PCMCIA.

Deux sections de la stratégie de groupe peuvent vous aider à rendre votre matériel plus sûr : Configuration de l’ordinateur | Modèles d’administration | Système | Accès au stockage amovible (voir la figure 1) et Configuration de l’ordinateur | Modèles d’administration | Système | Installation de périphérique | Restrictions d’installation de périphérique (voir la figure 2).

Figure 1 Restrictions matérielles prédéfinies de la Stratégie de groupe

Figure 1** Restrictions matérielles prédéfinies de la Stratégie de groupe **(Cliquer sur l'image pour l'agrandir)

Figure 2 Personnaliser les types de matériels dont vous voulez restreindre l’utilisation

Figure 2** Personnaliser les types de matériels dont vous voulez restreindre l’utilisation **(Cliquer sur l'image pour l'agrandir)

Le premier ensemble (Accès au stockage amovible) est assez explicite : Si vous activez un paramètre de stratégie pour ce type de stockage amovible (CD/DVD, disquette, etc.), vous pouvez, si vous le souhaitez, interdire ensuite la lecture et/ou l’écriture sur l’ensemble de ce type de périphérique. Mais il ne dispose pas tout à fait des super-pouvoirs dont dispose Restrictions d’installation de périphérique.

Il existe dans Accès au stockage amovible des groupes de paramètres de stratégie nommés Classes personnalisées : Refuser les Classes personnalisées et l’accès de lecture : Refuser l’accès en écriture. Ceci semble parfait, mais la stratégie Accès au stockage amovible n’empêche en fait pas l’installation des pilotes (le pilote de la classe est déjà installé lorsque le matériel est détecté). La stratégie empêche en fait la lecture ou l’écriture sur le périphérique. Dans la section suivante, lorsque je détaillerai les paramètres de la stratégie Restrictions d’installation de périphérique, je verrouillerai l’utilisation de l’intégralité du pilote.

Obtenir un descripteur des classes et des numéros d’identification

Commençons par le commencement : Vous devez savoir ce que vous voulez restreindre. Vous pouvez avoir les idées larges ou commencer petit. C’est-à-dire que vous pouvez limiter une « classe » spécifique de périphériques ou être extrêmement spécifique et restreindre un seul type de matériel. Vous pouvez également faire le contraire et autoriser uniquement des classes de périphériques spécifiques, comme les souris USB. Voici l’astuce, toutefois : pour être vraiment efficace, vous devrez traquer le matériel à restreindre.

Par conséquent, si vous voulez qu’aucun des pilotes de joystick ne puisse être installé et que seules les souris USB puissent être installées, vous devrez vous procurer un joystick et une souris USB. Une autre solution consiste à utiliser Internet pour rechercher le numéro d’identification de matériel, le numéro d’identification compatible ou la classe de périphérique. Cependant, il vous sera beaucoup plus facile de disposer physiquement de l’un des périphériques. Ainsi, vous pourrez le présenter à votre ordinateur et constater par vous-même le numéro d’identification de matériel, le numéro d’identification compatible ou la classe de périphérique. Une fois que vous posséderez ces informations, vous saurez précisément comment l’interdire (ou le laisser disponible).

Dans l’exemple suivant, j’interdis une famille spécifique de cartes audio : la famille Creative AutoPCI ES1371/ES1373. Si vous voulez interdire quelque chose d’autre (comme des périphériques USB spécifiques, des ports USB, etc.), inspirez-vous de cet exemple et remplacez la carte par le périphérique de votre choix.

Démarrez le gestionnaire de périphériques sur un ordinateur sur lequel les périphériques matériels sont déjà installés. Lorsque vous aurez trouvé le périphérique, cliquez dessus avec le bouton droit et sélectionnez Propriétés, puis l’onglet Détails. Vous verrez par défaut une « Description du périphérique ». Bien qu’elle soit intéressante, celle-ci n’est pas utile. Sélectionnez la liste déroulante Propriétés et choisissez « Numéros d’identification du matériel » comme à la figure 3.

Figure 3 Onglet Détails du périphérique

Figure 3** Onglet Détails du périphérique **(Cliquer sur l'image pour l'agrandir)

La page Numéros d’identification du matériel vous indique, de haut en bas, le numéro d’identification le plus spécifique au moins spécifique. Si vous observez de près l’élément le plus haut dans la liste Numéros d’identification du matériel, vous verrez que cette carte audio est plus particulièrement une carte audio ES1371 Rev 2. Ces informations sont plutôt détaillées. En descendant dans la liste, la description devient moins spécifique, pour englober toute la famille.

Qui plus est, vous pouvez modifier Propriété pour utiliser Numéros d’identification compatible. Ces derniers décrivent également le matériel et sont considérés comme moins spécifiques que ce que vous trouverez dans Numéros d’identification du matériel. Vous pourriez choisir d’utiliser les informations de Numéros d’identification compatible pour essayer de capturer davantage de périphériques similaires dans votre liste d’interdiction (car elles sont moins spécifiques et peuvent en fait offrir un plus grand nombre de résultats). En contrepartie, il est possible que vous restreigniez quelque chose que vous ne souhaitez pas restreindre.

Pour terminer, vous trouverez la catégorie la moins spécifique en sélectionnant Classe de périphérique dans la liste déroulante Propriété. Dans mon cas, la carte audio est indiquée comme étant simplement Multimédia. Toutefois, de nombreux éléments peuvent être considérés comme Multimédia et, ici encore, moins vous serez spécifique et plus vous devrez être prudent.

Une fois que vous aurez décidé de la valeur à utiliser, cliquez dessus avec le bouton droit, sélectionnez Copier et collez-le dans le Bloc-notes pour le sauvegarder. Il est important de le copier tel qu’il est affiché, car la valeur devra être entrée avec précision dans les étapes suivantes. Les caractères majuscules et minuscules de la valeur doivent être transférés avec exactitude.

Pour ceux qui préfèrent le style commando de ligne de commande au lieu de l’utilisation du Gestionnaire de périphériques pour la capture des numéros d’identification du matériel ou des classes de périphérique, l’utilitaire de ligne de commande Devcon est disponible à l’adresse support.microsoft.com/kb/311272. Notez par ailleurs que Microsoft possède de nombreux numéros d’identification de classes courantes pouvant être utiles si vous ne disposez pas de l’accès physique au périphérique. Vous trouverez des informations sur ceux-ci à l’adresse go.microsoft.com/fwlink/?LinkId=52665.

Contrôle de l’accès au matériel à l’aide de la Stratégie de groupe

Bien que nous nous apprêtions à explorer tous les paramètres de stratégie de Configuration de l’ordinateur | Modèles d’administration | Système | Installation de périphérique | Restrictions d’installation de périphérique (voir la figure 2), un seul sera véritablement nécessaire pour terminer cet exemple initial.

Pour commencer, créez un Objet de Stratégie de groupe (GPO) et liez-le à l’unité d’organisation (UO) (ou un domaine, etc.) contenant les ordinateurs exécutant Windows Vista et que vous voulez contrôler. Modifiez maintenant le GPO et accédez à Configuration de l’ordinateur | Modèles d’administration | Système | Installation de périphérique | Restrictions d’installation de périphérique | Empêcher l’installation de périphériques correspondant à l’un de ces numéros d’identification de périphériques. Sélectionnez Activé dans le paramètre de stratégie, cliquez sur Afficher (également dans le paramètre de stratégie) et sélectionnez Ajouter dans la boîte de dialogue « Afficher le contenu ». Ensuite, dans la boîte de dialogue « Ajout d’élément », collez les informations que vous avez enregistrées auparavant sur le périphérique, comme indiqué à la figure 4.

Figure 4 Collez le numéro d’identification de périphérique pour capturer avec précision la description

Figure 4** Collez le numéro d’identification de périphérique pour capturer avec précision la description **(Cliquer sur l'image pour l'agrandir)

Il existe toutefois un inconvénient. Si le périphérique est déjà installé sur un ordinateur, ce dernier ne le désinstallera pas et n’y restreindra pas l’accès comme par magie. Par conséquent, si vous devez restreindre l’accès à un matériel, il est souhaitable de l’effectuer tôt au cours du déploiement de Windows Vista. Notez cependant que Windows Vista effectue une vérification chaque fois qu’un périphérique est supprimé puis réinstallé. Les éléments tels que les lecteurs USB de poche (qui sont enlevés puis réinsérés) sont ainsi d’excellents exemples pour ce processus. Puisque Windows Vista effectue uniquement la revérification lorsque le périphérique est réintroduit, le périphérique est restreint à ce moment-là (même si le pilote de périphérique a été initialement chargé sur l’ordinateur). Un problème plus difficile a trait aux périphériques livrés avec un ordinateur et n’étant pas enlevés puis réintroduits. Pour ces périphériques, il n’existe aucune solution évidente à première vue.

Lorsque vous allumez un ordinateur sur lequel un périphérique matériel n’a auparavant jamais été connecté, Windows essaie d’installer le pilote et fournit des informations sur son état pendant sa progression. Si vous avez configuré une stratégie restreignant de tels périphériques, vous obtiendrez un résultat tel que celui de la figure 5.

Figure 5 Une installation de périphérique est empêchée

Figure 5** Une installation de périphérique est empêchée  **(Cliquer sur l'image pour l'agrandir)

Autres restrictions de matériel

Dans l’exemple ci-dessus, nous avons interdit un seul périphérique. Si vous l’aviez souhaité, vous auriez pu prendre le chemin inverse et restreindre par défaut tous les matériels puis en autoriser quelques-uns. Encore une fois, vous pouvez voir une liste de ces paramètres de stratégie à la figure 2, qui illustre la branche Configuration de l’ordinateur | Modèles d’administration | Installation de périphérique | Restrictions d’installation de périphérique de Stratégie de groupe. Vous pouvez choisir parmi plusieurs paramètres.

Vous trouverez tout d’abord « Autoriser les administrateurs à passer outre les stratégies de restriction d’installation de périphériques ». Par défaut, les administrateurs locaux de Windows Vista doivent observer les restrictions qui sont mises en place. Si vous activez ce paramètre, les administrateurs locaux peuvent outrepasser les restrictions et installer tous les matériels de leur choix.

L’option « Permettre l’installation de périphériques à l’aide de pilotes correspondant à ces classes d’installation de périphériques » est la suivante. En entrant des descriptions de périphériques dans ce paramètre de stratégie, vous autorisez expressément ces périphériques matériels à être installés sur le système. Notez que ce paramètre de stratégie s’applique seulement aux classes d’installation, pas aux numéros d’identification de périphériques (tels que ceux utilisés dans l’exemple).

Pour obtenir l’effet inverse, vous pouvez définir « Empêcher l’installation de périphériques à l’aide de pilotes correspondant à ces classes d’installation de périphériques ».

Les deux paramètres « Afficher un message personnalisé lorsque l’installation est empêchée par une stratégie (texte de bulle) et (titre de bulle) » vous aident à personnaliser le message, comme à la figure 5.

Comme mentionné plus haut, la méthode la moins spécifique pour la description du matériel est basée sur la classe de matériel. Notez par ailleurs que le paramètre de stratégie « Autoriser l’installation de périphériques correspondant à l’un de ces numéros d’identification de périphériques » ne tient pas compte des descriptions de numéros d’identification de classe. Pour utiliser les descriptions de numéros d’identification de classe, utilisez « Permettre l’installation de périphériques à l’aide de pilotes correspondant à ces classes d’installation de périphériques » ou « Empêcher l’installation de périphériques à l’aide de pilotes correspondant à ces classes d’installation de périphériques ». Cette dernière stratégie s’utilisera de préférence avec le paramètre « Empêcher l’installation de périphériques non décrits par d’autres paramètres de stratégie ». En empêchant tout (par défaut) et en utilisant ensuite ce paramètre, vous pouvez spécifier précisément les périphériques que vous voulez autoriser.

Dans l’exemple, j’ai utilisé la stratégie « Empêcher l’installation de périphériques correspondant à l’un de ces numéros d’identification de périphériques » pour interdire un type spécifique de matériel en fonction du numéro d’identification de périphérique. Si vous vouliez implémenter des restrictions en utilisant les classes de périphérique, vous devriez tirer parti d’autres paramètres de stratégie spécifiques tels que « Permettre l’installation de périphériques à l’aide de pilotes correspondant à ces classes d’installation de périphériques » ou « Empêcher l’installation de périphériques à l’aide de pilotes correspondant à ces classes d’installation de périphériques ».

« Empêcher l’installation de périphériques amovibles » est une méthode rapide, générique pour interdire tout périphérique se décrivant comme amovible, y compris les périphériques USB. Ce paramètre est plutôt général. Il est donc préférable de ne pas l’utiliser trop souvent. Utilisez plutôt les techniques décrites plus haut pour obtenir des numéros d’identification de périphériques modérément restrictifs et les verrouiller de manière spécifique.

Enfin, « Empêcher l’installation de périphériques non décrits par d’autres paramètres de stratégie » est le paramètre de stratégie fourre-tout qui interdit fondamentalement tout matériel, à moins que vous n’ayez décidé en particulier que tel ou tel élément puisse être installé. Cette stratégie, conjointement aux diverses stratégies « Autoriser » (telles qu’« Autoriser l’installation de périphériques correspondant à l’un de ces numéros d’identification de périphériques ») forme un outil vraiment puissant pour autoriser uniquement le matériel que vous voulez dans votre environnement.

Conclusion

La Stratégie de groupe de Windows Vista possède plusieurs nouveaux super-pouvoirs, qui sont extrêmement utiles pour autoriser uniquement le matériel que vous voulez dans votre environnement. Implémentez simplement vos paramètres de stratégie tôt au cours de votre déploiement, pour que le matériel que vous ne voulez pas sur votre réseau ne réussisse jamais à se connecter.

Interview de Michael Dennis, responsable de programme de la Stratégie de groupe chez Microsoft

J’ai récemment eu l’opportunité d’interviewer Michael Dennis, qui est à la barre chez Microsoft du vaisseau Stratégie de groupe, depuis ses débuts. Michael va quitter l’équipe Stratégie de groupe pour poursuivre d’autres opportunités chez Microsoft. Je me suis entretenu avec Michael pour réfléchir aux neuf dernières années de la Stratégie de groupe, ce qu’il en a été et ce qu’il en adviendra.

Jeremy Moskowitz Michael, je pense que beaucoup de gens aimeraient savoir ce que vous avez accompli de meilleur durant votre temps passé à la tête de l’équipe Stratégie de groupe de Microsoft.

Michael Dennis Mes plus grands accomplissements ne sont pas récents, ils datent de l’époque à laquelle nous nous concentrions sur ce qui allait porter le nom de Stratégie de groupe. Nous avions déjà la Stratégie système dans Windows NT® 4.0 ; nous l’avons donc examinée et nous nous sommes penchés sur ses problèmes. Puisque cela se passait pendant la période de développement d’Active Directory®, nous avons cherché comment améliorer la gérabilité des clients et des serveurs.

Le fait que cette Stratégie de groupe allait être intégrée dans une hiérarchie et que cela n’avait jamais été fait auparavant était pour nous particulièrement important. Nous nous sommes donc concentrés sur l’infrastructure fondamentale, les processus clients et l’intégration à Active Directory.

Le produit dérivé de notre meilleur accomplissement a également été notre pire accomplissement. Ceci parce que l’interface utilisateur graphique que nous avons livrée avec Windows 2000 était problématique. Il fallait littéralement avoir un doctorat en Stratégie de groupe pour l’utiliser efficacement, car les administrateurs devaient connaître l’intégralité de son fonctionnement. Il aurait été mieux, à cette époque, de créé la Console de gestion des stratégies de groupe (GPMC) et le Jeu de stratégie résultant (RSoP) et de les livrer (c’était ce qui était prévu).

JM Quels éléments auriez vous souhaité inclure dans l’environnement de Stratégie de groupe ?

MD La bonne nouvelle est que les éléments que je voulais depuis la sortie de la version Windows 2000 sont maintenant dans Windows Vista (comme RSoP, la GPMC, les paramètres augmentés, etc.). J’aurais préféré avoir mis ces choses en place beaucoup plus tôt.

En outre, je souhaiterais que l’infrastructure de Stratégie de groupe puisse facilement être étendue par les partenaires. Notre modèle d’extension côté serveur/côté client nécessite une bonne quantité de travail de la part des développeurs. Cependant, on peut également considérer que notre structure de modèle d’ADM/ADMX fournit une infrastructure facilement extensible. Toutefois, il serait encore mieux que cette partie du système permette aux gens d’étendre plus de types de paramètres.

J’aurais également souhaité que les rapports de GPMC soient plus extensibles pour les partenaires et les développeurs d’outils tiers. Il s’agit d’un sujet sur lequel les fournisseurs d’outils tiers se sont beaucoup exprimés.

JM Pouvez-vous nous donner des informations que les gens ne savent pas sur l’équipe Stratégie de groupe ?

MD La position de l’équipe Stratégie de groupe dans l’environnement global n’est pas toujours claire dans l’esprit des gens. On pense généralement que nous créons l’infrastructure, le transport et les éléments côté serveur et client. En fait, dans Windows Vista seul, nous avons fait équipe avec environ 120 équipes différentes de Microsoft pour mettre en place les nouveaux paramètres pour cette version.

Les lecteurs doivent prendre note du fait que cette Stratégie de groupe n’est pas responsable des problèmes de ralentissement de système au démarrage ou à l’ouverture de session. C’est la charge utile de la Stratégie de groupe qui est la cause d’un possible ralentissement. Si vous ordonnez à la Stratégie de groupe d’effectuer une tâche extrêmement lourde, elle le fera. Par exemple, si vous lui ordonnez d’installer Microsoft Office sur les ordinateurs au cas par cas, pas de problème. Mais sachez qu’elle fera exactement ce que vous lui avez demandé, c’est-à-dire installer l’intégralité d’Office avant que vous obteniez une invite d’ouverture de session. Est-ce qu’il s’agit d’un ralentissement ? Sans aucun doute, mais du point de vue de l’administrateur qui l’a déployé, c’est précisément ce qui est attendu du système.

JM Quelle est la chose dont vous êtes le plus fier en ce qui concerne l’utilisation de la Stratégie de groupe ?

MD Ces jours-ci, j’aime particulièrement montrer certains nouveaux paramètres qui ont été intégrés à Windows Vista. Les paramètres des périphériques amovibles (pour restreindre des éléments tels que les clés USB, etc.) sont des paramètres qui ont été vivement demandés. Il existe à peu près 2 400 paramètres disponibles dans Windows Vista, ce qui permet un niveau significatif de contrôle pour les administrateurs. J’aime demander aux clients ce qu’ils veulent contrôler et leur montrer ensuite comment le faire.

JM Pourquoi êtes-vous passés des fichiers ADM aux fichiers ADMX ?

MD Techniquement, nous n’avions pas besoin de le faire pour profiter de la nouvelle fonctionnalité de magasin central de Windows Vista. La raison principale de la conversion vers ADMX était de nous permettre de prendre en charge plusieurs langues de manière appropriée.

Auparavant, dans les environnements multilingues, le contenu des fichiers ADM d’un GPO était souvent remplacé par inadvertance par celui d’un autre langage. Du point de vue historique, nous avons emprunté le format ADM à Windows NT 4.0, qui l’avait emprunté à Windows 98, qui l’avait à son tour emprunté à Windows 95. Si XML avait alors existé, il aurait été pratique pour notre format de fichier.

Cependant, maintenant que nous avons XML, il est devenu plus facile de prendre en charge de multiples langages, et celui-ci présente des opportunités futures pour apporter des améliorations au Registre et aux paramètres avec notre schéma de langage.

JM Quel a été le plus grand défi interne que vous avez eu à surmonter pendant votre travail avec l’équipe GP ?

MD Le plus grand problème continu de l’équipe est de faire en sorte que d’autres composants de Windows aient des fonctionnalités utilisables avec la stratégie.

L’équipe X pourrait répondre &« Nous avons tout juste créé cette nouvelle fonctionnalité géniale. Pourquoi est-ce que quelqu’un voudrait la désactiver ? »&, ce que nous comprenons. Mais nous avons travaillé sur beaucoup de ces problèmes.

Il existe également des défis techniques en ce qui concerne l’activation de certaines choses par la stratégie, comme par exemple le nouveau Pare-feu Windows avec fonctions avancées de sécurité (WFAS). WFAS a été particulièrement difficile. Il n’est pas facile ou évident de lui permettre d’utiliser correctement la stratégie. L’interface que l’équipe WFAS a créée pour Windows Vista est superbe, mais il a été difficile de la créer correctement.

Dans les versions de Windows antérieures à Windows Vista, les équipes produit n’ont pas toujours réfléchi à l’utilisation de la stratégie avec leurs composants. Toutefois, durant le développement de Windows Vista, de nombreuses équipes nous ont demandé comment y parvenir. Incroyable !

JM Que vous réserve l’avenir ?

MD Je vais faire partie de l’équipe &Mobile Information Worker&, qui est responsable des Smartphones, des Pocket PC, etc. Mon rôle sera d’étendre certaines technologies d’administration de Windows Server System aux périphériques Windows Mobile®.

Je tâcherai de mettre en œuvre la même vision et la même passion envers la gérabilité et de les appliquer à ce nouvel environnement. En attendant, je laisse l’équipe Stratégie de groupe dans une situation remarquable pour que les choses continuent à avancer sans moi.

JM Voulez-vous ajouter quelque chose d’autre à l’attention des lecteurs ?

MD Tout au long du développement de la Stratégie de groupe, rencontrer les clients et comprendre véritablement ce qu’ils souhaitaient faire a constitué une étape importante. Si les clients ont une opinion bien structurée des scénarios qu’ils aimeraient que la Stratégie de groupe adopte et possèdent une raison commerciale pour leur utilisation, ils doivent nous en faire part.

Nous avons un bon mécanisme de commentaires disponible pour tous à l’adresse WindowsServerFeedback.com. Cherchez le bouton de la Stratégie de groupe (Group Policy).

Si vos collègues peuvent vous indiquer&« Voici mon problème, voici mon argumentation commerciale, voici ce que je veux que le système fasse et pourquoi je le veux... »&, ce genre d’information nous est très, très utile. Les preneurs de décisions quant au futur de la Stratégie de groupe consultent tous les commentaires qui proviennent de cette source.

Encore une fois, si vous souhaitez que la Stratégie de groupe progresse, faites-nous connaître vos besoins. Mais, s’il vous plaît, ne nous dites pas simplement &« Nous avons besoin d’un paramètre de stratégie qui effectue ceci... »& sans nous dire pourquoi. La partie &« Comment faire ? »& est notre travail. Ce que l’équipe de la Stratégie de groupe doit vraiment connaître est le &« Pourquoi »&.

JM Merci d’avoir pris le temps de discuter avec nous de votre expérience dans l’équipe de la Stratégie de groupe de Microsoft. Bonne continuation !

MD Merci Jeremy.

Jeremy Moskowitz, MCSE et MVP de Group Policy, administre GPanswers.com, un forum communautaire sur la Stratégie de groupe. Il est responsable d’un ensemble d’ateliers de formation intensive sur la Stratégie de groupe. Son dernier ouvrage est Group Policy : Management, Troubleshooting and Security (Sybex, 2007). Vous pouvez contacter Jeremy à l’adresse www.GPanswers.com.

© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.