Partager via

Gérer l’installation de l’appareil avec la stratégie de groupe

À l’aide des systèmes d’exploitation Windows, les administrateurs peuvent déterminer quels appareils peuvent être installés sur les ordinateurs qu’ils gèrent. Ce guide résume le processus d’installation de l’appareil et présente plusieurs techniques de contrôle de l’installation des appareils à l’aide de stratégie de groupe.

Introduction

Général

Ce guide pas à pas décrit comment contrôler l’installation des appareils sur les ordinateurs que vous gérez, notamment en désignant les appareils que les utilisateurs peuvent et ne peuvent pas installer. Ce guide s’applique à toutes les versions de Windows à partir de Windows 10, version 1809. Le guide comprend les scénarios suivants :

  • Empêcher les utilisateurs d’installer des appareils qui figurent sur une liste « interdite ». Si un appareil ne figure pas dans la liste, l’utilisateur peut l’installer.
  • Autoriser les utilisateurs à installer uniquement les appareils qui figurent sur une liste « approuvée ». Si un appareil ne figure pas dans la liste, l’utilisateur ne peut pas l’installer.

Ce guide décrit le processus d’installation de l’appareil et présente les chaînes d’identification d’appareil que Windows utilise pour faire correspondre un appareil aux packages de pilotes de périphérique disponibles sur un ordinateur. Le guide illustre également deux méthodes de contrôle de l’installation des appareils. Chaque scénario montre, étape par étape, une méthode que vous pouvez utiliser pour autoriser ou empêcher l’installation d’un appareil spécifique ou d’une classe d’appareils.

L’exemple d’appareil utilisé dans les scénarios est un périphérique de stockage USB. Vous pouvez effectuer les étapes décrites dans ce guide à l’aide d’un autre appareil. Toutefois, si vous utilisez un autre appareil, les instructions du guide ne correspondent pas exactement à l’interface utilisateur qui apparaît sur l’ordinateur.

Il est important de comprendre que les stratégies de groupe présentées dans ce guide sont appliquées uniquement aux machines/groupes de machines, et non aux utilisateurs/groupes d’utilisateurs.

Important

Les étapes fournies dans ce guide sont destinées à être utilisées dans un environnement de laboratoire de test. Ce guide pas à pas n’est pas destiné à être utilisé pour déployer les fonctionnalités de Windows Server sans documentation connexe et doit être utilisé avec discrétion en tant que document autonome.

Qui doit utiliser ce guide ?

Ce guide s’adresse aux publics suivants :

  • Planificateurs et analystes des technologies de l’information qui évaluent Windows 10, Windows 11 ou Windows Server 2022
  • Planificateurs et concepteurs de technologies de l’information d’entreprise
  • Architectes de sécurité chargés de l’implémentation de l’informatique digne de confiance dans leur organization
  • Administrateurs qui souhaitent se familiariser avec la technologie

Avantages du contrôle de l’installation de l’appareil à l’aide de stratégie de groupe

La restriction des appareils que les utilisateurs peuvent installer réduit le risque de vol de données et le coût du support.

Réduire le risque de vol de données

Il est plus difficile pour les utilisateurs d’effectuer des copies non autorisées des données de l’entreprise si les ordinateurs des utilisateurs ne peuvent pas installer des appareils non approuvés qui prennent en charge les supports amovibles. Par exemple, si les utilisateurs ne peuvent pas installer un périphérique usb, ils ne peuvent pas télécharger des copies des données d’entreprise sur un stockage amovible. Cet avantage ne peut pas éliminer le vol de données, mais il crée un autre obstacle à la suppression non autorisée des données.

Réduire les coûts de support

Vous pouvez vous assurer que les utilisateurs installent uniquement les appareils que votre équipe de support technique est formée et équipée pour prendre en charge. Cet avantage réduit les coûts de support et la confusion des utilisateurs.

Vue d’ensemble du scénario

Les scénarios présentés dans ce guide illustrent comment contrôler l’installation et l’utilisation des appareils sur les ordinateurs que vous gérez. Les scénarios utilisent stratégie de groupe sur un ordinateur local pour simplifier l’utilisation des procédures dans un environnement lab. Dans un environnement où vous gérez plusieurs ordinateurs clients, vous devez appliquer ces paramètres à l’aide de stratégie de groupe. Avec stratégie de groupe déployées par Active Directory, vous pouvez appliquer des paramètres à tous les ordinateurs membres d’un domaine ou d’une unité d’organisation dans un domaine. Pour plus d’informations sur la création d’un objet de stratégie de groupe pour gérer vos ordinateurs clients, consultez Créer un objet stratégie de groupe.

Scénario Description
Scénario n°1 : Empêcher l’installation de toutes les imprimantes Dans ce scénario, l’administrateur souhaite empêcher les utilisateurs d’installer des imprimantes. Il s’agit donc d’un scénario de base pour vous présenter la fonctionnalité « empêcher/autoriser » des stratégies d’installation d’appareil dans stratégie de groupe.
Scénario n°2 : Empêcher l’installation d’une imprimante spécifique Dans ce scénario, l’administrateur autorise les utilisateurs standard à installer toutes les imprimantes tout en les empêchant d’en installer une spécifique.
Scénario 3 : Empêcher l’installation de toutes les imprimantes tout en autorisant l’installation d’une imprimante spécifique Dans ce scénario, vous combinez ce que vous avez appris à la fois dans le scénario n° 1 et le scénario n° 2. L’administrateur souhaite autoriser les utilisateurs standard à installer uniquement une imprimante spécifique tout en empêchant l’installation de toutes les autres imprimantes. Ce scénario est plus réaliste et vous permet de mieux comprendre les stratégies de restrictions d’installation des appareils.
Scénario 4 : Empêcher l’installation d’un périphérique USB spécifique Ce scénario, bien que similaire au scénario n°2, apporte une autre couche de complexité : comment fonctionne la connectivité des appareils dans l’arborescence PnP. L’administrateur souhaite empêcher les utilisateurs standard d’installer un périphérique USB spécifique. À la fin du scénario, vous devez comprendre la façon dont les appareils sont imbriqués dans les couches sous l’arborescence de connectivité des appareils PnP.
Scénario n°5 : Empêcher l’installation de tous les périphériques USB tout en autorisant l’installation d’une seule clé USB autorisée Dans ce scénario, en combinant les quatre scénarios précédents, vous apprenez à protéger une machine contre tous les périphériques USB non autorisés. L’administrateur souhaite autoriser les utilisateurs à installer uniquement un petit ensemble de périphériques USB autorisés tout en empêchant l’installation de tout autre périphérique USB. En outre, ce scénario inclut une explication de la façon d’appliquer la fonctionnalité « empêcher » aux périphériques USB existants qui ont déjà été installés sur l’ordinateur, et l’administrateur aime empêcher toute interaction plus grande avec eux (les bloquer tous ensemble). Ce scénario s’appuie sur les stratégies et la structure que nous avons introduites dans les quatre premiers scénarios. Par conséquent, il est préférable de les parcourir avant d’essayer ce scénario.

Examen de la technologie

Les sections suivantes fournissent une brève vue d’ensemble des technologies de base abordées dans ce guide et fournissent des informations générales nécessaires pour comprendre les scénarios.

Installation de l’appareil dans Windows

Un appareil est un élément matériel avec lequel Windows interagit pour effectuer une fonction ou, dans une définition plus technique, il s’agit d’un seul instance d’un composant matériel avec une représentation unique dans le sous-système windows Plug-and-Play. Windows peut communiquer avec un appareil uniquement par le biais d’un logiciel appelé pilote de périphérique (également appelé pilote). Pour installer un pilote, Windows détecte l’appareil, reconnaît son type, puis recherche le pilote qui correspond à ce type.

Lorsque Windows détecte un appareil qui n’a jamais été installé sur l’ordinateur, le système d’exploitation interroge l’appareil pour récupérer sa liste de chaînes d’identification d’appareil. Un appareil a généralement plusieurs chaînes d’identification d’appareil, que le fabricant de l’appareil attribue. Les mêmes chaînes d’identification d’appareil sont incluses dans le fichier .inf (également appelé INF) qui fait partie du package de pilotes. Windows choisit le package de pilotes à installer en faisant correspondre les chaînes d’identification de périphérique récupérées à partir de l’appareil aux chaînes incluses dans les packages de pilotes.

Windows utilise quatre types d’identificateurs pour contrôler l’installation et la configuration des appareils. Vous pouvez utiliser les paramètres stratégie de groupe dans Windows pour spécifier les identificateurs à autoriser ou bloquer.

Les quatre types d’identificateurs sont les suivants :

  • ID d’instance d’appareil
  • ID de l’appareil
  • Classes de configuration de l’appareil
  • Type d’appareil « Appareils amovibles »

ID d’instance d’appareil

Un ID de instance d’appareil est une chaîne d’identification d’appareil fournie par le système qui identifie de façon unique un appareil dans le système. Le gestionnaire Plug-and-Play (PnP) attribue un ID de instance d’appareil à chaque nœud d’appareil (devnode) dans l’arborescence d’appareils d’un système.

ID de l’appareil

Windows peut utiliser chaque chaîne pour faire correspondre un appareil à un package de pilotes. Les chaînes vont du spécifique, correspondant à une seule fabrique et modèle d’un appareil, au général, éventuellement s’appliquant à une classe entière d’appareils. Il existe deux types de chaînes d’identification d’appareil : les ID matériels et les ID compatibles.

ID matériels

Les ID matériels sont les identificateurs qui fournissent la correspondance exacte entre un appareil et un package de pilotes. La première chaîne de la liste des ID matériels est appelée ID d’appareil, car elle correspond à la fabrique, au modèle et à la révision exactes de l’appareil. Les autres ID matériels de la liste correspondent moins exactement aux détails de l’appareil. Par exemple, un ID matériel peut identifier la fabrique et le modèle de l’appareil, mais pas la révision spécifique. Ce schéma permet à Windows d’utiliser un pilote pour une révision différente de l’appareil si le pilote pour la révision correcte n’est pas disponible.

ID compatibles

Windows utilise ces identificateurs pour sélectionner un pilote si le système d’exploitation ne trouve pas de correspondance avec l’ID de l’appareil ou l’un des autres ID matériels. Les ID compatibles sont répertoriés dans l’ordre décroissant d’adéquation. Ces chaînes sont facultatives et, lorsqu’elles sont fournies, elles sont génériques, telles que Disque. Lorsqu’une correspondance est établie à l’aide d’un ID compatible, vous pouvez généralement utiliser uniquement les fonctions les plus basiques de l’appareil.

Lorsque vous installez un appareil, tel qu’une imprimante, un périphérique de stockage USB ou un clavier, Windows recherche des packages de pilotes qui correspondent à l’appareil que vous essayez d’installer. Au cours de cette recherche, Windows attribue un « rang » à chaque package de pilotes qu’il découvre avec au moins une correspondance avec un id matériel ou compatible. Le classement indique à quel point le pilote correspond à l’appareil. Des numéros de rang inférieurs indiquent de meilleures correspondances entre le pilote et l’appareil. Un rang égal à zéro représente la meilleure correspondance possible. Une correspondance avec l’ID d’appareil à un dans le package de pilotes entraîne un rang inférieur (meilleur) qu’une correspondance à l’un des autres ID matériels. De même, une correspondance avec un ID matériel donne un meilleur classement qu’une correspondance à l’un des ID compatibles. Une fois que Windows a classé tous les packages de pilotes, il installe celui qui a le rang global le plus bas. Pour plus d’informations sur le processus de classement et de sélection des packages de pilotes, consultez Comment Windows sélectionne un package de pilotes pour un appareil.

Remarque

Pour plus d’informations sur le processus d’installation du pilote, consultez la section « Révision technologique » du Guide pas à pas pour la signature et la préproduction des pilotes.

Certains appareils physiques créent un ou plusieurs appareils logiques lorsqu’ils sont installés. Chaque appareil logique peut gérer une partie des fonctionnalités de l’appareil physique. Par exemple, un appareil à fonctions multiples, tel qu’un scanneur/télécopie/imprimante tout-en-un, peut avoir une chaîne d’identification d’appareil différente pour chaque fonction.

Lorsque vous utilisez des stratégies d’installation d’appareil pour autoriser ou empêcher l’installation d’un appareil qui utilise des appareils logiques, vous devez autoriser ou empêcher toutes les chaînes d’identification d’appareil pour cet appareil. Par exemple, si un utilisateur tente d’installer un appareil multifonction et que vous n’avez pas autorisé ou empêché toutes les chaînes d’identification pour les appareils physiques et logiques, vous pouvez obtenir des résultats inattendus de la tentative d’installation. Pour plus d’informations sur les ID matériels, consultez Chaînes d’identification de l’appareil.

Classes de configuration de l’appareil

Les classes d’installation d’appareil (également appelées Classe) sont un autre type de chaîne d’identification. Le fabricant affecte la classe à un appareil dans le package de pilotes. La classe regroupe les appareils installés et configurés de la même façon. Par exemple, tous les appareils biométriques appartiennent à la classe biométrique (ClassGuid = {53D29EF7-377C-4D14-864B-EB3A85769359}), et ils utilisent le même co-programme d’installation une fois installés. Un nombre long appelé identificateur global unique (GUID) représente chaque classe d’installation d’appareil. Lorsque Windows démarre, il génère une arborescence en mémoire avec les GUID pour tous les appareils détectés. En plus du GUID de la classe de l’appareil lui-même, Windows peut avoir besoin d’insérer dans l’arborescence le GUID de la classe du bus auquel l’appareil est attaché.

Lorsque vous utilisez des classes d’appareil pour autoriser ou empêcher les utilisateurs d’installer des pilotes, vous devez spécifier les GUID pour toutes les classes d’installation d’appareil de l’appareil, sinon vous risquez de ne pas obtenir les résultats souhaités. L’installation peut échouer (si vous souhaitez qu’elle réussisse) ou elle peut réussir (si vous souhaitez qu’elle échoue).

Par exemple, un appareil à fonctions multiples, tel qu’un scanneur/télécopie/imprimante tout-en-un, a un GUID pour un périphérique multi-fonction générique, un GUID pour la fonction d’imprimante, un GUID pour la fonction scanneur, etc. Les GUID des fonctions individuelles sont des « nœuds enfants » sous le GUID d’appareil multi-fonction. Pour installer un nœud enfant, Windows doit également être en mesure d’installer le nœud parent. Vous devez autoriser l’installation de la classe d’installation de périphérique du GUID parent pour l’appareil multi-fonction en plus des GUID enfants pour les fonctions d’imprimante et de scanneur.

Pour plus d’informations, voir Classes d’installation d’appareils.

Ce guide ne décrit pas les scénarios qui utilisent des classes de configuration d’appareil. Toutefois, les principes de base présentés avec les chaînes d’identification des appareils dans ce guide s’appliquent également aux classes de configuration d’appareil. Une fois que vous avez découvert la classe d’installation d’appareil pour un appareil spécifique, vous pouvez l’utiliser dans une stratégie pour autoriser ou empêcher l’installation de pilotes pour cette classe d’appareils.

Les deux liens suivants fournissent la liste complète des classes d’installation de l’appareil. Les classes « Utilisation du système » sont principalement des appareils fournis avec un ordinateur/machine de l’usine, tandis que les classes « Fournisseur » sont principalement des appareils qui peuvent être connectés à un ordinateur/ordinateur existant :

Type d’appareil « Appareil amovible »

Certains appareils peuvent être classés comme des appareils amovibles. Un appareil est considéré comme amovible lorsque le pilote de l’appareil auquel il est connecté indique que l’appareil est amovible. Par exemple, un périphérique USB est signalé comme amovible par les pilotes du hub USB auquel le périphérique est connecté.

stratégie de groupe paramètres pour l’installation de l’appareil

stratégie de groupe est une infrastructure qui vous permet de spécifier des configurations gérées pour les utilisateurs et les ordinateurs via des paramètres de stratégie de groupe et des préférences stratégie de groupe.

La section Installation de l’appareil dans stratégie de groupe est un ensemble de stratégies qui contrôlent quel appareil peut ou ne peut pas être installé sur un ordinateur. Que vous souhaitiez appliquer les paramètres à un ordinateur autonome ou à de nombreux ordinateurs d’un domaine Active Directory, vous utilisez la Rédacteur d’objet stratégie de groupe pour configurer et appliquer les paramètres de stratégie. Pour plus d’informations, consultez stratégie de groupe Rédacteur d’objets.

Les passages suivants sont de brèves descriptions des stratégies d’installation d’appareil utilisées dans ce guide.

Remarque

Le contrôle d’installation de l’appareil est appliqué uniquement aux machines (« configuration ordinateur ») et non aux utilisateurs (« configuration utilisateur ») par la nature de la conception du système d’exploitation Windows. Ces paramètres de stratégie affectent tous les utilisateurs qui se connectent à l’ordinateur sur lequel les paramètres de stratégie sont appliqués. Vous ne pouvez pas appliquer ces stratégies à des utilisateurs ou groupes spécifiques, à l’exception de la stratégie Autoriser les administrateurs à remplacer la stratégie d’installation des appareils. Cette stratégie exempte les membres du groupe Administrateurs local des restrictions d’installation de l’appareil que vous appliquez à l’ordinateur en configurant d’autres paramètres de stratégie, comme décrit dans cette section.

Autoriser les administrateurs à remplacer les stratégies de restriction d’installation d’appareil

Ce paramètre de stratégie permet aux membres du groupe Administrateurs local d’installer et de mettre à jour les pilotes pour n’importe quel appareil, quels que soient les autres paramètres de stratégie. Si vous activez ce paramètre de stratégie, les administrateurs peuvent utiliser l’Assistant Ajout de matériel ou l’Assistant Mise à jour du pilote pour installer et mettre à jour les pilotes pour n’importe quel appareil. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les administrateurs sont soumis à tous les paramètres de stratégie qui limitent l’installation de l’appareil.

Autoriser l’installation d’appareils qui correspondent à l’un de ces ID d’appareil

Ce paramètre de stratégie spécifie une liste d’ID matériels Plug-and-Play et d’ID compatibles qui décrivent les appareils que les utilisateurs peuvent installer. Ce paramètre est destiné à être utilisé uniquement lorsque le paramètre de stratégie Empêcher l’installation des appareils non décrit par d’autres paramètres de stratégie est activé et n’est pas prioritaire sur un paramètre de stratégie qui empêcherait les utilisateurs d’installer un appareil. Si vous activez ce paramètre de stratégie, les utilisateurs peuvent installer et mettre à jour n’importe quel appareil avec un ID matériel ou un ID compatible qui correspond à un ID dans cette liste si cette installation n’a pas été empêchée par le paramètre de stratégie Empêcher l’installation des appareils qui correspondent à ces ID d’appareil, le paramètre de stratégie Empêcher l’installation des appareils pour ces classes d’appareils, ou le paramètre de stratégie Empêcher l’installation des appareils amovibles. Si un autre paramètre de stratégie empêche les utilisateurs d’installer un appareil, les utilisateurs ne peuvent pas l’installer même si l’appareil est également décrit par une valeur dans ce paramètre de stratégie. Si vous désactivez ou ne configurez pas ce paramètre de stratégie et qu’aucune autre stratégie ne décrit l’appareil, le paramètre de stratégie Empêcher l’installation des appareils non décrits par d’autres paramètres de stratégie détermine si les utilisateurs peuvent installer l’appareil.

Autoriser l’installation d’appareils qui correspondent à l’un de ces ID de instance d’appareil

Ce paramètre de stratégie vous permet de spécifier une liste d’ID de instance d’appareil Plug-and-Play pour les appareils que Windows est autorisé à installer. Utilisez ce paramètre de stratégie uniquement lorsque le paramètre de stratégie « Empêcher l’installation des appareils non décrits par d’autres paramètres de stratégie » est activé. Les autres paramètres de stratégie qui empêchent l’installation de l’appareil sont prioritaires sur celui-ci. Si vous activez ce paramètre de stratégie, Windows est autorisé à installer ou à mettre à jour tout appareil dont l’ID de instance Plug-and-Play d’appareil apparaît dans la liste que vous créez, sauf si un autre paramètre de stratégie empêche spécifiquement cette installation (par exemple, le paramètre de stratégie « Empêcher l’installation des appareils qui correspondent à l’un de ces ID d’appareil », le paramètre de stratégie « Empêcher l’installation d’appareils pour ces classes d’appareils », le paramètre de stratégie « Empêcher l’installation des appareils qui correspondent à l’un de ces ID d’appareil instance » ou le paramètre de stratégie « Empêcher l’installation d’appareils amovibles ». Si vous activez ce paramètre de stratégie sur un serveur Bureau à distance, le paramètre de stratégie affecte la redirection des appareils spécifiés d’un client Bureau à distance vers le serveur Bureau à distance.

Autoriser l’installation d’appareils à l’aide de pilotes qui correspondent à ces classes d’installation d’appareil

Ce paramètre de stratégie spécifie une liste de GUID de classe d’installation d’appareil qui décrivent les appareils que les utilisateurs peuvent installer. Ce paramètre est destiné à être utilisé uniquement lorsque le paramètre de stratégie Empêcher l’installation des appareils non décrit par d’autres paramètres de stratégie est activé et n’est pas prioritaire sur un paramètre de stratégie qui empêcherait les utilisateurs d’installer un appareil. Si vous activez ce paramètre, les utilisateurs peuvent installer et mettre à jour n’importe quel appareil avec un ID matériel ou un ID compatible qui correspond à l’un des ID de cette liste si cette installation n’a pas été empêchée par le paramètre de stratégie Empêcher l’installation des appareils qui correspondent à ces ID d’appareil, le paramètre de stratégie Empêcher l’installation des appareils pour ces classes d’appareil, ou le paramètre de stratégie Empêcher l’installation des appareils amovibles. Si un autre paramètre de stratégie empêche les utilisateurs d’installer un appareil, les utilisateurs ne peuvent pas l’installer même si l’appareil est également décrit par une valeur dans ce paramètre de stratégie. Si vous désactivez ou ne configurez pas ce paramètre de stratégie et qu’aucun autre paramètre de stratégie ne décrit l’appareil, le paramètre de stratégie Empêcher l’installation des appareils non décrits par d’autres paramètres de stratégie détermine si les utilisateurs peuvent installer l’appareil.

Empêcher l’installation d’appareils qui correspondent à ces ID d’appareil

Ce paramètre de stratégie spécifie une liste d’ID matériels Plug-and-Play et d’ID compatibles pour les appareils que les utilisateurs ne peuvent pas installer. Si vous activez ce paramètre de stratégie, les utilisateurs ne peuvent pas installer ou mettre à jour le pilote d’un appareil si son ID matériel ou son ID compatible correspond à celui de cette liste. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent installer des appareils et mettre à jour leurs pilotes, comme le permettent d’autres paramètres de stratégie pour l’installation de l’appareil. Remarque : Ce paramètre de stratégie est prioritaire sur tous les autres paramètres de stratégie qui permettent aux utilisateurs d’installer un appareil. Ce paramètre de stratégie empêche les utilisateurs d’installer un appareil même s’il correspond à un autre paramètre de stratégie qui autoriserait l’installation de cet appareil.

Empêcher l’installation d’appareils qui correspondent à l’un de ces ID de instance d’appareil

Ce paramètre de stratégie vous permet de spécifier une liste d’ID de Plug-and-Play d’appareil instance pour les appareils que Windows ne peut pas installer. Ce paramètre de stratégie est prioritaire sur tout autre paramètre de stratégie qui permet à Windows d’installer un appareil. Si vous activez ce paramètre de stratégie, Windows ne peut pas installer un appareil dont l’ID de instance d’appareil apparaît dans la liste que vous créez. Si vous activez ce paramètre de stratégie sur un serveur Bureau à distance, le paramètre de stratégie affecte la redirection des appareils spécifiés d’un client Bureau à distance vers le serveur Bureau à distance. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les appareils peuvent être installés et mis à jour comme autorisés ou empêchés par d’autres paramètres de stratégie.

Empêcher l’installation d’appareils à l’aide de pilotes qui correspondent à ces classes d’installation d’appareil

Ce paramètre de stratégie spécifie une liste de GUID de classe d’installation d’appareil Plug-and-Play pour les appareils que les utilisateurs ne peuvent pas installer. Si vous activez ce paramètre de stratégie, les utilisateurs ne peuvent pas installer ou mettre à jour les appareils qui appartiennent à l’une des classes d’installation d’appareil répertoriées. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent installer et mettre à jour des appareils comme le permettent d’autres paramètres de stratégie pour l’installation de l’appareil. Remarque : Ce paramètre de stratégie est prioritaire sur tous les autres paramètres de stratégie qui permettent aux utilisateurs d’installer un appareil. Ce paramètre de stratégie empêche les utilisateurs d’installer un appareil d’être installé, même s’il correspond à un autre paramètre de stratégie qui autoriserait l’installation de cet appareil.

Appliquer l’ordre d’évaluation en couches pour autoriser et empêcher les stratégies d’installation des appareils sur tous les critères de correspondance des appareils

Ce paramètre de stratégie modifie l’ordre d’évaluation dans lequel les paramètres de stratégie Autoriser et Empêcher sont appliqués lorsque plusieurs paramètres de stratégie d’installation sont applicables à un appareil donné. Activez ce paramètre de stratégie pour vous assurer que les critères de correspondance des appareils qui se chevauchent sont appliqués en fonction d’une hiérarchie établie où des critères de correspondance plus spécifiques remplacent des critères de correspondance moins spécifiques. L’ordre hiérarchique d’évaluation des paramètres de stratégie qui spécifient des critères de correspondance d’appareil est le suivant :

Id d’appareil instance ID d’appareil>ID d’appareil> Classe >d’installationd’appareil Appareils amovibles

Remarque

Ce paramètre de stratégie fournit un contrôle plus précis que le paramètre de stratégie « Empêcher l’installation d’appareils non décrits par d’autres paramètres de stratégie ». Si ces paramètres de stratégie en conflit sont activés en même temps, le paramètre de stratégie « Appliquer l’ordre d’évaluation en couches pour autoriser et empêcher les stratégies d’installation des appareils sur tous les critères de correspondance des appareils » sera activé et l’autre paramètre de stratégie sera ignoré.

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l’évaluation par défaut est utilisée. Par défaut, toutes les options « Empêcher l’installation... » Les paramètres de stratégie sont prioritaires sur tout autre paramètre de stratégie qui permet à Windows d’installer un appareil.

Certaines de ces stratégies sont prioritaires sur d’autres stratégies. L’organigramme suivant illustre la façon dont Windows les traite pour déterminer si un utilisateur peut installer un appareil ou non.

Organigramme stratégies d’installation de l’appareil.
Organigramme des stratégies d’installation d’appareil

Conditions requises pour l’exécution des scénarios

Général

Pour effectuer chacun des scénarios, vérifiez que vous disposez des points suivants :

  • Un ordinateur client exécutant Windows.
  • Une clé USB. Les scénarios décrits dans ce guide utilisent une clé USB comme exemple de périphérique (également appelé « lecteur de disque amovible », « lecteur de mémoire », « lecteur flash » ou « lecteur à clé »). La plupart des lecteurs USB ne nécessitent aucun pilote fourni par le fabricant, et ces périphériques fonctionnent avec les pilotes de boîte de réception fournis avec la build Windows.
  • Une imprimante USB/réseau préinstallée sur l’ordinateur.
  • Accès au compte administrateur sur l’ordinateur de test. Les procédures décrites dans ce guide nécessitent des privilèges d’administrateur pour la plupart des étapes.

Comprendre les implications de l’application rétroactive de stratégies « Empêcher »

Toutes les stratégies « Empêcher » peuvent appliquer la fonctionnalité de blocage aux appareils déjà installés, c’est-à-dire aux appareils qui ont été installés sur l’ordinateur avant que la stratégie ne prenne effet. L’utilisation de cette option est recommandée lorsque l’administrateur n’est pas sûr de l’historique d’installation des appareils sur l’ordinateur et souhaite s’assurer que la stratégie s’applique à tous les appareils.

Par exemple : une imprimante est déjà installée sur l’ordinateur, ce qui empêche l’installation de toutes les imprimantes de bloquer l’installation d’une imprimante future tout en conservant uniquement l’imprimante installée utilisable. Pour appliquer le bloc rétroactivement, l’administrateur doit case activée marquer l’option « Appliquer cette stratégie aux appareils déjà installés ». Le marquage de cette option empêche l’accès aux appareils déjà installés en plus des appareils futurs.

Cette option est un outil puissant, mais en tant que tel, il doit être utilisé avec précaution.

Important

L’application de l’option « Empêcher rétroactif » aux appareils essentiels pourrait rendre la machine inutile/inacceptable ! Par exemple : l’empêchement rétroactif de tous les « lecteurs de disque » peut bloquer l’accès au disque avec lequel le système d’exploitation démarre ; Empêcher tout « Net » rétroactif pourrait empêcher cette machine d’accéder au réseau et pour résoudre le problème, l’administrateur devra disposer d’une connexion directe.

Déterminer les chaînes d’identification des appareils

En suivant ces étapes, vous pouvez déterminer les chaînes d’identification de l’appareil pour votre appareil. Si les ID matériels et les ID compatibles de votre appareil ne correspondent pas aux ID indiqués dans ce guide, utilisez les ID appropriés à votre appareil (cette stratégie s’applique aux ID d’instance et aux classes, mais nous ne leur donnerons pas d’exemple dans ce guide).

Vous pouvez déterminer les ID matériels et les ID compatibles de votre appareil de deux façons. Vous pouvez utiliser Gestionnaire de périphériques, un outil graphique inclus avec le système d’exploitation, ou PnPUtil, un outil en ligne de commande disponible pour toutes les versions de Windows. Utilisez la procédure suivante pour afficher les chaînes d’identification d’appareil pour votre appareil.

Remarque

Ces procédures sont spécifiques à une imprimante Canon. Si vous utilisez un autre type d’appareil, vous devez ajuster les étapes en conséquence. La différence significative réside dans l’emplacement de l’appareil dans la hiérarchie Gestionnaire de périphériques. Au lieu d’être situé dans le nœud Imprimantes, vous devez localiser votre appareil dans le nœud approprié.

Pour rechercher des chaînes d’identification d’appareil à l’aide de Gestionnaire de périphériques

  1. Assurez-vous que votre imprimante est branchée et installée.

  2. Pour ouvrir Gestionnaire de périphériques, sélectionnez le bouton Démarrer, tapez mmc devmgmt.msc dans la zone Démarrer la recherche, puis appuyez sur Entrée ou recherchez Gestionnaire de périphériques en tant qu’application.

  3. Gestionnaire de périphériques démarre et affiche une arborescence représentant tous les appareils détectés sur votre ordinateur. En haut de l’arborescence se trouve un nœud avec le nom de vos ordinateurs à côté. Les nœuds inférieurs représentent les différentes catégories de matériel dans lesquelles les appareils de vos ordinateurs sont regroupés.

  4. Recherchez la section « Imprimantes » et recherchez l’imprimante cible

    Sélection de l’imprimante dans Gestionnaire de périphériques.
    Sélection de l’imprimante dans Gestionnaire de périphériques

  5. Double-cliquez sur l’imprimante et accédez à l’onglet « Détails ».

    Onglet « Détails ».
    Ouvrez l’onglet « Détails » pour rechercher les identificateurs d’appareil

  6. Dans la fenêtre « Valeur », copiez l’ID matériel le plus détaillé. Nous allons utiliser cette valeur dans les stratégies.

    HWID.

    ID compatible.
    HWID et ID compatible

    Astuce

    Vous pouvez également déterminer les chaînes d’identification de votre appareil à l’aide de l’utilitaire de ligne de commande PnPUtil. Pour plus d’informations, consultez PnPUtil - Pilotes Windows.

Obtention d’identificateurs d’appareil à l’aide de PnPUtil

pnputil /enum-devices /ids

Voici un exemple de sortie pour un seul appareil sur une machine :

<snip>
Instance ID:                PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02\3&103a9d54&0&81
Device Description:         Intel(R) Xeon(R) E7 v3/Xeon(R) E5 v3/Core i7 PCIe Ring Interface - 2F34
Class Name:                 System
Class GUID:                 {4d36e97d-e325-11ce-bfc1-08002be10318}
Manufacturer Name:          INTEL
Status:                     Stopped
Driver Name:                oem6.inf
Hardware IDs:               PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02
                            PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086
                            PCI\VEN_8086&DEV_2F34&CC_110100
                            PCI\VEN_8086&DEV_2F34&CC_1101
Compatible IDs:             PCI\VEN_8086&DEV_2F34&REV_02
                            PCI\VEN_8086&DEV_2F34
                            PCI\VEN_8086&CC_110100
                            PCI\VEN_8086&CC_1101
                            PCI\VEN_8086
                            PCI\CC_110100
                            PCI\CC_1101
<snip>

Scénario n°1 : Empêcher l’installation de toutes les imprimantes

Dans ce scénario simple, vous allez apprendre à empêcher l’installation d’une classe entière d’appareils.

Configuration de l’environnement

Configuration de l’environnement pour le scénario en procédant comme suit :

  1. Ouvrez stratégie de groupe Rédacteur et accédez à la section Restriction de l’installation de l’appareil.

  2. Désactivez toutes les stratégies d’installation d’appareil précédentes, à l’exception de « Appliquer l’ordre d’évaluation en couches ». Bien que la stratégie soit désactivée par défaut, il est recommandé d’activer cette stratégie dans les applications les plus pratiques.

  3. S’il existe des stratégies activées, la modification de leur status par « désactivé » les efface de tous les paramètres

  4. Disposer d’une imprimante USB/réseau disponible pour tester la stratégie avec

Étapes du scénario : empêcher l’installation d’appareils interdits

Obtention de l’identificateur d’appareil approprié pour empêcher son installation :

  1. Si vous avez sur votre système un appareil de la classe que vous souhaitez bloquer, vous pouvez suivre les étapes de la section précédente pour rechercher l’identificateur de classe de périphérique via Gestionnaire de périphériques ou PnPUtil (GUID de classe).

  2. Si ce type d’appareil n’est pas installé sur votre système ou si vous connaissez le nom de la classe, vous pouvez case activée les deux liens suivants :

  3. Notre scénario actuel est axé sur la prévention de l’installation de toutes les imprimantes, car voici le GUID de classe pour la plupart des imprimantes sur le marché :

    Imprimantes
    Classe = Imprimante
    ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
    Cette classe inclut les imprimantes.

    Remarque

    Comme mentionné précédemment, empêcher une classe entière peut vous empêcher d’utiliser complètement votre système. Vérifiez que vous comprenez quels appareils vont être bloqués lors de la spécification d’une classe. Pour notre scénario, il existe d’autres classes liées aux imprimantes, mais avant de les appliquer, assurez-vous qu’elles ne bloquent aucun autre appareil existant qui est essentiel pour votre système.

Création de la stratégie pour empêcher l’installation de toutes les imprimantes :

  1. Ouvrez stratégie de groupe Objet Rédacteur-cliquez sur le bouton Démarrer, tapez mmc gpedit.msc dans la zone Démarrer la recherche, puis appuyez sur Entrée , ou tapez la recherche Windows « stratégie de groupe Rédacteur » et ouvrez l’interface utilisateur.

  2. Accédez à la page Restriction de l’installation de l’appareil :

    Configuration > ordinateur Modèles d’administration > Système > Installation de l’appareil > Restrictions d’installation de l’appareil

  3. Assurez-vous que toutes les stratégies sont désactivées (il est recommandé de conserver la stratégie « ordre d’évaluation en couches appliqué » activée).

  4. Ouvrez Empêcher l’installation des appareils à l’aide de pilotes qui correspondent à la stratégie de ces classes d’installation d’appareil , puis sélectionnez la case d’option « Activer ».

  5. Dans le coin inférieur gauche, dans la fenêtre « Options », cliquez sur « Afficher... » Boîte. Cette option vous permet d’accéder à une table dans laquelle vous pouvez entrer l’identificateur de classe à bloquer.

  6. Entrez le GUID de classe d’imprimante que vous avez trouvé avec les accolades : {4d36e979-e325-11ce-bfc1-08002be10318}.

    Liste des GUID de classe d’empêcher
    Liste des GUID de classe d’empêcher

  7. Cliquez sur « OK ».

  8. Cliquez sur « Appliquer » en bas à droite de la fenêtre de la stratégie. Cette option envoie (push) la stratégie et bloque toutes les installations d’imprimantes futures, mais ne s’applique pas aux installations existantes.

  9. Facultatif si vous souhaitez appliquer la stratégie aux installations existantes : Ouvrez à nouveau la stratégie Empêcher l’installation des appareils à l’aide de pilotes qui correspondent à ces classes d’installation d’appareil ; Dans la fenêtre « Options », cochez la case « Appliquer également aux appareils correspondants qui sont déjà installés »

Important

L’utilisation d’une stratégie Empêcher (comme celle que nous avons utilisée dans le scénario n°1 ci-dessus) et son application à tous les appareils précédemment installés (voir l’étape 9) peuvent rendre les appareils essentiels inutilisables ; par conséquent, utilisez avec prudence. Par exemple : si un administrateur informatique souhaite empêcher l’installation de tous les périphériques de stockage amovibles sur l’ordinateur, l’utilisation de la classe « Lecteur de disque » pour la bloquer et l’appliquer rétroactivement peut rendre le disque dur interne inutilisable et casser la machine.

Scénario de test 1

  1. Si vous n’avez pas terminé l’étape 9, procédez comme suit :

    1. Désinstallez votre imprimante : Gestionnaire de périphériques > Imprimantes > cliquez avec le bouton droit sur « Désinstaller l’appareil > ».
    2. Pour l’imprimante USB, débranchez et rebranchez le câble ; pour le périphérique réseau - recherchez l’imprimante dans l’application Paramètres Windows.
    3. Vous ne devriez pas être en mesure de réinstaller l’imprimante.

  2. Si vous avez terminé l’étape 9 ci-dessus et redémarré l’ordinateur, recherchez votre imprimante sous Gestionnaire de périphériques ou l’application Paramètres Windows et constatez qu’elle n’est plus disponible pour vous.

Scénario n°2 : Empêcher l’installation d’une imprimante spécifique

Ce scénario s’appuie sur le scénario 1, Empêcher l’installation de toutes les imprimantes. Dans ce scénario, vous ciblez une imprimante spécifique pour empêcher l’installation sur l’ordinateur.

Configuration de l’environnement

Configuration de l’environnement pour le scénario en procédant comme suit :

  1. Ouvrez stratégie de groupe Rédacteur et accédez à la section Restriction de l’installation de l’appareil.

  2. Vérifiez que toutes les stratégies d’installation d’appareil précédentes sont désactivées, à l’exception de « Appliquer l’ordre d’évaluation en couches » (cette condition préalable est facultative pour activer/désactiver ce scénario). Bien que la stratégie soit désactivée par défaut, il est recommandé d’être activée dans la plupart des applications pratiques. Pour le scénario n°2, il est facultatif.

Étapes du scénario : empêcher l’installation d’un appareil spécifique

Obtention de l’identificateur d’appareil approprié pour empêcher son installation :

  1. Obtenez l’ID matériel de votre imprimante. Dans cet exemple, nous allons utiliser l’identificateur que nous avons trouvé précédemment.

    Identificateur de l’ID matériel de l’imprimante.
    ID matériel de l’imprimante

  2. Notez l’ID de l’appareil (dans ce cas, ID matériel) : WSDPRINT\CanonMX920_seriesC1A0;. Prenez l’identificateur plus spécifique pour vous assurer que vous bloquez une imprimante spécifique et non une famille d’imprimantes

Création de la stratégie pour empêcher l’installation d’une seule imprimante :

  1. Ouvrez stratégie de groupe Rédacteur d’objets.

  2. Accédez à la page Restriction de l’installation de l’appareil :

    Configuration > ordinateur Modèles d’administration > Système > Installation de l’appareil > Restrictions d’installation de l’appareil

  3. Ouvrez Empêcher l’installation des appareils qui correspondent à l’une de ces stratégies d’ID d’appareil et sélectionnez la case d’option « Activer ».

  4. Dans le coin inférieur gauche, dans la fenêtre « Options », cliquez sur « Afficher... » Boîte. Cette option vous permet d’accéder à une table dans laquelle vous pouvez entrer l’identificateur de l’appareil à bloquer.

  5. Entrez l’ID de périphérique d’imprimante que vous avez trouvé ci-dessus : WSDPRINT\CanonMX920_seriesC1A0.

    Empêcher la liste d’ID d’appareil.
    Liste Empêcher l’ID d’appareil

  6. Cliquez sur « OK ».

  7. Cliquez sur « Appliquer » en bas à droite de la fenêtre de la stratégie. Cette option envoie (push) la stratégie et bloque l’imprimante cible dans les installations futures, mais ne s’applique pas à une installation existante.

  8. Si vous souhaitez appliquer la stratégie à une installation existante, ouvrez à nouveau la stratégie Empêcher l’installation des appareils qui correspondent à l’un de ces ID d’appareil . Dans la fenêtre « Options », cochez la case « Appliquer également aux appareils correspondants déjà installés ».

Scénario de test 2

Si vous avez terminé l’étape 8 ci-dessus et redémarré l’ordinateur, recherchez votre imprimante sous Gestionnaire de périphériques ou l’application Paramètres Windows et voyez qu’elle n’est plus disponible pour vous.

Si vous n’avez pas terminé l’étape 8, procédez comme suit :

  1. Désinstallez votre imprimante : Gestionnaire de périphériques > Imprimantes > cliquez avec le bouton droit sur « Désinstaller l’appareil > ».

  2. Pour l’imprimante USB, débranchez et rebranchez le câble ; pour le périphérique réseau, recherchez l’imprimante dans l’application Paramètres Windows.

  3. Vous ne devriez pas être en mesure de réinstaller l’imprimante.

Scénario 3 : Empêcher l’installation de toutes les imprimantes tout en autorisant l’installation d’une imprimante spécifique

Maintenant, à l’aide des connaissances des deux scénarios précédents, vous allez apprendre à empêcher l’installation d’une classe entière d’appareils tout en autorisant l’installation d’une seule imprimante.

Configuration de l’environnement

Configuration de l’environnement pour le scénario en procédant comme suit :

  1. Ouvrez stratégie de groupe Rédacteur et accédez à la section Restriction de l’installation de l’appareil.

  2. Désactivez toutes les stratégies d’installation d’appareil précédentes et activez « Appliquer l’ordre d’évaluation en couches ».

  3. Si des stratégies sont activées, la modification de leur status par « désactivé » les efface de tous les paramètres.

  4. Disposez d’une imprimante USB/réseau pour tester la stratégie.

Étapes du scénario : empêcher l’installation d’une classe entière tout en autorisant une imprimante spécifique

Obtention de l’identificateur d’appareil pour la classe d’imprimante et une imprimante spécifique en suivant les étapes du scénario n°1 pour rechercher l’identificateur de classe et le scénario n° 2 pour trouver l’identificateur de l’appareil, vous pouvez obtenir les identificateurs dont vous avez besoin pour ce scénario :

  • ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
  • ID matériel = WSDPRINT\CanonMX920_seriesC1A0

Commencez par créer une stratégie « Empêcher la classe », puis créez une stratégie « Autoriser l’appareil » :

  1. Ouvrez stratégie de groupe Objet Rédacteur-cliquez sur le bouton Démarrer, tapez mmc gpedit.msc dans la zone Démarrer la recherche, puis appuyez sur Entrée , ou tapez la recherche Windows « stratégie de groupe Rédacteur » et ouvrez l’interface utilisateur.

  2. Accédez à la page Restriction de l’installation de l’appareil :

    Configuration > ordinateur Modèles d’administration > Système > Installation de l’appareil > Restrictions d’installation de l’appareil

  3. Vérifier que toutes les stratégies sont désactivées

  4. Ouvrez Empêcher l’installation des appareils à l’aide de pilotes qui correspondent à la stratégie de ces classes d’installation d’appareil , puis sélectionnez la case d’option « Activer ».

  5. Dans le coin inférieur gauche, dans la fenêtre « Options », cliquez sur « Afficher... » Boîte. Cette option vous permet d’accéder à une table dans laquelle vous pouvez entrer l’identificateur de classe à bloquer.

  6. Entrez le GUID de classe d’imprimante que vous avez trouvé ci-dessus avec les accolades (cette valeur est importante ! Sinon, cela ne fonctionnera pas) : {4d36e979-e325-11ce-bfc1-08002be10318}

    Liste des ID de classe d’prévention
    Liste des GUID de classe d’empêcher

  7. Cliquez sur « OK ».

  8. Cliquez sur « Appliquer » en bas à droite de la fenêtre de la stratégie. Cette option envoie (push) la stratégie et bloque toutes les installations d’imprimantes futures, mais ne s’applique pas aux installations existantes.

  9. Pour compléter la couverture de toutes les imprimantes futures et existantes, ouvrez à nouveau la stratégie Empêcher l’installation des appareils à l’aide de pilotes qui correspondent à ces classes de configuration d’appareil ; Dans la fenêtre « Options », cochez la case « Appliquer également aux appareils correspondants qui sont déjà installés », puis cliquez sur « OK ».

  10. Ouvrez la stratégie Appliquer l’ordre d’évaluation en couches pour autoriser et empêcher les stratégies d’installation des appareils sur tous les critères de correspondance des appareils et activez-la. Cette stratégie vous permet de remplacer la large couverture de la stratégie « Empêcher » avec un appareil spécifique.

    Capture d’écran du stratégie de groupe Rédacteur local montrant les stratégies sous Restrictions d’installation de l’appareil et la stratégie nommée dans cette étape.

    Image montrant les paramètres actuels de la stratégie nommée dans cette étape, « Appliquer l’ordre d’évaluation en couches pour autoriser et empêcher les stratégies d’installation d’appareil sur tous les critères de correspondance des appareils.
    Appliquer l’ordre en couches de la stratégie d’évaluation

  11. Maintenant, ouvrez Autoriser l’installation des appareils qui correspondent à l’une de ces stratégies d’ID d’appareil , puis sélectionnez la case d’option « Activer ».

  12. Dans le coin inférieur gauche, dans la fenêtre « Options », cliquez sur « Afficher... » Boîte. Cette option vous permet d’accéder à une table dans laquelle vous pouvez entrer l’identificateur d’appareil à autoriser.

  13. Entrez l’ID de périphérique d’imprimante que vous avez trouvé ci-dessus : WSDPRINT\CanonMX920_seriesC1A0.

    Autorisez l’ID matériel de l’imprimante.
    Autoriser l’ID matériel de l’imprimante

  14. Cliquez sur « OK ».

  15. Cliquez sur « Appliquer » en bas à droite de la fenêtre de la stratégie. Cette option envoie (push) la stratégie et permet à l’imprimante cible d’être installée (ou de rester installée).

Scénario de test 3

  1. Recherchez votre imprimante sous Gestionnaire de périphériques ou l’application Paramètres Windows et vérifiez qu’elle est toujours là et accessible. Ou simplement imprimer un document de test.

  2. Retour à la stratégie de groupe Rédacteur, désactivez Appliquer l’ordre d’évaluation en couches pour autoriser et empêcher les stratégies d’installation de l’appareil sur tous les critères de l’appareil et testez à nouveau votre imprimante. Vous ne devriez pas être en ballot pour imprimer quoi que ce soit ou pouvoir accéder à l’imprimante.

Scénario 4 : Empêcher l’installation d’un périphérique USB spécifique

Le scénario s’appuie sur les connaissances du scénario 2, Empêcher l’installation d’une imprimante spécifique. Dans ce scénario, vous allez comprendre comment certains appareils sont intégrés à l’arborescence d’appareils PnP (Plug-and-Play).

Configuration de l’environnement

Configuration de l’environnement pour le scénario en procédant comme suit :

  1. Ouvrez stratégie de groupe Rédacteur et accédez à la section Restriction de l’installation de l’appareil

  2. Vérifiez que toutes les stratégies d’installation d’appareil précédentes sont désactivées, à l’exception de « Appliquer l’ordre d’évaluation en couches ». Ce prérequis est facultatif pour activer/désactiver ce scénario. Bien que la stratégie soit désactivée par défaut, il est recommandé d’être activée dans la plupart des applications pratiques.

Étapes du scénario : empêcher l’installation d’un appareil spécifique

Obtention de l’identificateur d’appareil approprié pour empêcher son installation et son emplacement dans l’arborescence PnP :

  1. Connecter une clé USB à la machine

  2. Ouvrir le Gestionnaire de périphériques

  3. Recherchez la clé USB et sélectionnez-la.

    Sélection de la clé usb dans Gestionnaire de périphériques.
    Sélection de la clé usb dans Gestionnaire de périphériques

  4. Remplacez Affichage (dans le menu supérieur) par « Appareils par connexions ». Cette vue représente la façon dont les appareils sont installés dans l’arborescence PnP.

    La modification de l’affichage dans Gestionnaire de périphériques pour afficher l’arborescence de connexion PnP.
    Modification de l’affichage dans Gestionnaire de périphériques pour afficher l’arborescence de connexion PnP

    Remarque

    Lors du blocage\Empêcher un appareil qui se trouve plus haut dans l’arborescence PnP, tous les appareils qui se trouvent en dessous sont bloqués. Par exemple : en empêchant l’installation d’un « hub USB générique », tous les appareils situés sous un « hub USB générique » seront bloqués.

    Blocage des appareils imbriqués à partir de la racine.
    Lors du blocage d’un appareil, tous les appareils imbriqués en dessous sont également bloqués.

  5. Double-cliquez sur la clé USB et accédez à l’onglet « Détails ».

  6. Dans la fenêtre « Valeur », copiez l’ID matériel le plus détaillé. Nous allons utiliser cette valeur dans les stratégies. Dans ce cas, ID d’appareil = USBSTOR\DiskGeneric_Flash_Disk______8.07

    ID matériels de périphérique USB.
    ID matériels du périphérique USB

Création de la stratégie pour empêcher l’installation d’une seule clé USB :

  1. Ouvrez stratégie de groupe Rédacteur d’objets, cliquez sur le bouton Démarrer, tapez mmc gpedit.msc dans la zone Démarrer la recherche, puis appuyez sur Entrée, ou tapez la recherche Windows « stratégie de groupe Rédacteur » et ouvrez l’interface utilisateur.

  2. Accédez à la page Restriction de l’installation de l’appareil :

    Configuration > ordinateur Modèles d’administration > Système > Installation de l’appareil > Restrictions d’installation de l’appareil

  3. Ouvrez Empêcher l’installation des appareils qui correspondent à l’une de ces stratégies d’ID d’appareil et sélectionnez la case d’option « Activer ».

  4. Dans le coin inférieur gauche, dans la fenêtre « Options », cliquez sur la zone « Afficher ». Cette option vous permet d’accéder à une table dans laquelle vous pouvez entrer l’identificateur de l’appareil à bloquer.

  5. Entrez l’ID de périphérique usb que vous avez trouvé ci-dessusUSBSTOR\DiskGeneric_Flash_Disk______8.07.

    Liste Empêcher les ID d’appareil.
    Liste Empêcher les ID d’appareil

  6. Cliquez sur « OK ».

  7. Cliquez sur « Appliquer » en bas à droite de la fenêtre de la stratégie. Cette option envoie (push) la stratégie et bloque la clé USB cible dans les installations futures, mais ne s’applique pas à une installation existante.

  8. Facultatif : si vous souhaitez appliquer la stratégie à une installation existante, ouvrez à nouveau la stratégie Empêcher l’installation des appareils qui correspondent à l’un de ces ID d’appareil . Dans la fenêtre « Options », cochez la case « Appliquer également aux appareils correspondants déjà installés ».

Scénario de test 4

  1. Si vous n’avez pas terminé l’étape 8, procédez comme suit :

    • Désinstallez votre clé USB : Gestionnaire de périphériques > Lecteurs de disque > cliquez avec le bouton droit sur la clé > USB cible, cliquez sur « Désinstaller l’appareil ».
    • Vous ne devez pas être en mesure de réinstaller l’appareil.

  2. Si vous avez terminé l’étape 8 ci-dessus et redémarré l’ordinateur, recherchez vos lecteurs de disque sous Gestionnaire de périphériques et constatez qu’ils ne sont plus disponibles pour vous.

Scénario n°5 : Empêcher l’installation de tous les périphériques USB tout en autorisant l’installation d’une seule clé USB autorisée

Maintenant, à l’aide des connaissances des quatre scénarios précédents, vous allez apprendre à empêcher l’installation d’une classe entière d’appareils tout en autorisant l’installation d’une seule clé USB autorisée.

Configuration de l’environnement

Configuration de l’environnement pour le scénario en procédant comme suit :

  1. Ouvrez stratégie de groupe Rédacteur et accédez à la section Restriction de l’installation de l’appareil.

  2. Désactivez toutes les stratégies d’installation d’appareil précédentes et activez « Appliquer l’ordre d’évaluation en couches ».

  3. Si des stratégies sont activées, la modification de leur status par « désactivé » les efface de tous les paramètres.

  4. Disposez d’une clé USB avec laquelle tester la stratégie.

Étapes du scénario : empêcher l’installation de tous les périphériques USB tout en autorisant uniquement une clé USB autorisée

Obtenir l’identificateur de l’appareil pour les classes USB et une clé USB spécifique, et suivre les étapes du scénario #1 pour rechercher Identificateur de classe et scénario #4 pour trouver l’identificateur de l’appareil, vous pouvez obtenir les identificateurs dont vous avez besoin pour ce scénario :

  • Périphériques bus USB (hubs et contrôleurs hôtes)

    • Classe = USB
    • ClassGuid = {36fc9e60-c465-11cf-8056-444553540000}
    • Cette classe inclut les contrôleurs hôtes USB et les hubs USB, mais pas les périphériques USB. Les pilotes de cette classe sont fournis par le système.

  • Périphérique USB

    • Class = USBDevice
    • ClassGuid = {88BAE032-5A81-49f0-BC3D-A4FF138216D6}
    • USBDevice inclut tous les périphériques USB qui n’appartiennent pas à une autre classe. Cette classe n’est pas utilisée pour les contrôleurs hôtes usb et les hubs.

  • ID matériel = USBSTOR\DiskGeneric_Flash_Disk______8.07

Comme mentionné dans le scénario n° 4, il ne suffit pas d’activer un seul ID matériel pour activer une seule clé USB. L’administrateur informatique doit s’assurer que tous les périphériques USB qui précèdent le périphérique cible ne sont pas également bloqués (autorisés). Dans notre cas, les appareils suivants doivent être autorisés afin que la clé USB cible puisse également être autorisée :

  • « Contrôleur hôte Intel(R) USB 3.0 eXtensible – 1.0 (Microsoft) » -> PCI\CC_0C03
  • « Hub racine USB (USB 3.0) » -> USB\ROOT_HUB30
  • « Hub USB générique » -> USB\USB20_HUB

Périphériques USB imbriqués dans l’arborescence PnP.
Périphériques USB imbriqués les uns sous les autres dans l’arborescence PnP

Ces appareils sont des périphériques internes sur l’ordinateur qui définissent la connexion de port USB au monde extérieur. Leur activation ne doit pas permettre l’installation d’un appareil externe/périphérique sur l’ordinateur.

Important

Certains appareils du système ont plusieurs couches de connectivité pour définir leur installation sur le système. Les lecteurs USB sont de tels appareils. Par conséquent, lorsque vous souhaitez les bloquer ou les autoriser sur un système, il est important de comprendre le chemin de connectivité de chaque appareil. Il existe plusieurs ID d’appareil génériques qui sont couramment utilisés dans les systèmes et qui peuvent fournir un bon début pour créer une « liste verte » dans de tels cas. Consultez la liste ci-dessous :

PCI\CC_0C03 ; PCI\CC_0C0330 ; PCI\VEN_8086 ; PNP0CA1 ; PNP0CA1&HOST (pour les contrôleurs hôtes)/USB\ROOT_HUB30 ; USB\ROOT_HUB20 (pour les hubs racines USB)/ USB\USB20_HUB (pour les hubs USB génériques)/

En particulier pour les ordinateurs de bureau, il est très important de répertorier tous les périphériques USB via ant vos claviers et souris connectés dans la liste ci-dessus. Si vous ne le faites pas, vous risquez d’empêcher un utilisateur d’accéder à sa machine via des appareils HID.

Différents fabricants de PC ont parfois différentes façons d’imbriquer des périphériques USB dans l’arborescence PnP, mais en général c’est ainsi que cela est fait.

Commencez par créer une stratégie « Empêcher la classe », puis créez une stratégie « Autoriser l’appareil » :

  1. Ouvrez stratégie de groupe Rédacteur d’objets : cliquez sur le bouton Démarrer, tapez mmc gpedit.msc dans la zone Démarrer la recherche, puis appuyez sur Entrée, ou tapez la recherche Windows « stratégie de groupe Rédacteur » et ouvrez l’interface utilisateur.

  2. Accédez à la page Restriction de l’installation de l’appareil :

    Configuration > ordinateur Modèles d’administration > Système > Installation de l’appareil > Restrictions d’installation de l’appareil

  3. Vérifier que toutes les stratégies sont désactivées

  4. Ouvrez Empêcher l’installation des appareils à l’aide de pilotes qui correspondent à la stratégie de ces classes d’installation d’appareil , puis sélectionnez la case d’option « Activer ».

  5. Dans le coin inférieur gauche, dans la fenêtre « Options », cliquez sur « Afficher... » Boîte. Cette option vous permet d’accéder à une table dans laquelle vous pouvez entrer l’identificateur de classe à bloquer.

  6. Entrez les deux classes USB GUID que vous avez trouvées ci-dessus avec les accolades :

    {36fc9e60-c465-11cf-8056-444553540000}/ {88BAE032-5A81-49f0-BC3D-A4FF138216D6}

  7. Cliquez sur « OK ».

  8. Cliquez sur « Appliquer » en bas à droite de la fenêtre de la stratégie. Cette option envoie (push) la stratégie et bloque toutes les futures installations de périphériques USB, mais ne s’applique pas aux installations existantes.

    Important

    L’étape précédente empêche l’installation de tous les futurs périphériques USB. Avant de passer à l’étape suivante, vérifiez que vous disposez de la liste la plus complète possible de tous les contrôleurs hôtes USB, hubs racines USB et ID d’appareil de hubs USB génériques disponibles pour éviter que vous ne puissiez interagir avec votre système via des claviers et des souris.

  9. Ouvrez la stratégie Appliquer l’ordre d’évaluation en couches pour autoriser et empêcher les stratégies d’installation des appareils sur tous les critères de correspondance des appareils et activez-la. Cette stratégie vous permet de remplacer la large couverture de la stratégie « Empêcher » avec un appareil spécifique.

    Appliquer l’ordre en couches de la stratégie d’évaluation.
    Appliquer l’ordre en couches de la stratégie d’évaluation

  10. Maintenant, ouvrez Autoriser l’installation des appareils qui correspondent à l’une de ces stratégies d’ID d’appareil , puis sélectionnez la case d’option « Activer ».

  11. Dans le coin inférieur gauche, dans la fenêtre « Options », cliquez sur « Afficher... » Boîte. Cette option vous permet d’accéder à une table dans laquelle vous pouvez entrer l’identificateur d’appareil à autoriser.

  12. Entrez la liste complète des ID de périphérique USB que vous avez trouvés ci-dessus, y compris le lecteur USB spécifique que vous souhaitez autoriser pour l’installation.USBSTOR\DiskGeneric_Flash_Disk______8.07

    Image d’un exemple de liste d’appareils qui ont été configurés pour la stratégie « Autoriser l’installation d’appareils qui correspondent à l’un de ces ID d’appareil ».
    Liste des ID de périphérique USB autorisés

  13. Cliquez sur « OK ».

  14. Cliquez sur « Appliquer » en bas à droite de la fenêtre de la stratégie.

  15. Pour appliquer la couverture « Empêcher » de tous les périphériques USB actuellement installés, ouvrez à nouveau la stratégie Empêcher l’installation des périphériques à l’aide de pilotes qui correspondent à ces classes d’installation de périphérique . Dans la fenêtre « Options », cochez la case « Appliquer également aux appareils correspondants qui sont déjà installés », puis cliquez sur « OK ».

Scénario de test 5

Vous ne devez pas être en mesure d’installer une clé USB, à l’exception de celle que vous avez autorisée à utiliser.