Vous souhaitez autoriser la copie vers une clé USB tout en empêchant toute lecture depuis ce même support ? Voici un guide concret pour comprendre les limites des GPO Windows et mettre en place des alternatives réellement efficaces.
Vue d’ensemble et objectif
L’objectif métier est clair : laisser les collaborateurs déposer des fichiers sur un support USB (flux sortant PC → USB) tout en interdisant la lecture de son contenu (flux entrant USB → PC). Cette configuration vise à réduire les risques liés aux supports amovibles (malwares « USB-borne », propagation de scripts, exécution de binaires inconnus) sans bloquer la logistique de transfert de fichiers.
Résumé opérationnel des GPO classiques
| Action dans l’Éditeur de stratégie de groupe | Paramètre conseillé | Effet attendu |
|---|---|---|
| Removable Disks : Deny Read Permissions | Activé | Empêche toute ouverture ou copie depuis la clé |
| Removable Disks : Deny Write Permissions | Désactivé / Non configuré | Autorise la copie vers la clé |
| Actualiser la stratégie | gpupdate /force puis débranchement / rebranchement | Application immédiate sur le poste |
Pourquoi cela ne fonctionne pas « tel quel »
- Écrire implique de lire des métadonnées : pour créer un fichier, Windows doit lire la table d’allocation, le répertoire de destination, les entrées de sécurité, etc. Si la lecture est bloquée globalement, l’écriture échoue mécaniquement (erreurs Access Denied voire demande d’élévation ambiguë).
- Conception des GPO Removable Storage : les paramètres « Deny Read », « Deny Write » et « Deny Execute » s’appliquent très bas dans la pile d’E/S. De nombreux appels d’écriture exigent des droits de lecture (p. ex.
FILE_READ_ATTRIBUTES), entraînant un refus ou un comportement non intuitif. - Pas de mode « write‑only » natif : aucune version actuelle de Windows ne propose un accès strictement « écriture seule » sur un volume amovible via les GPO standards. En d’autres termes : « écrire sans aucune lecture » n’est pas un scénario supporté nativement.
À retenir : cocher « Deny Read » revient à couper l’oxygène nécessaire à l’écriture. D’où l’échec des tests où l’on tente d’autoriser l’écriture tout en interdisant la lecture sur la même clé via les GPO classiques.
Paramétrage pas à pas dans la GPMC (ce que vous pouvez faire)
Chemin : Configuration ordinateur > Modèles d’administration > Système > Accès au stockage amovible
- Créer/éditer une GPO ciblant les OU de postes concernés.
- Configurer :
- Removable Disks : Deny Read → Désactivé (si l’écriture doit fonctionner au sens strict).
- Removable Disks : Deny Write → Activé (scenario standard anti‑exfiltration), ou Désactivé selon vos besoins.
- Removable Disks : Deny Execute → Activé (très recommandé pour limiter le risque malware via USB).
- Étendre aux autres classes utiles : CD and DVD, WPD (Appareils portables), etc., selon votre parc.
- Appliquer :
gpupdate /forcepuis débrancher/rebrancher la clé. - Vérifier côté client :
gpresult /r(ougpresult /h report.html) pour confirmer que la GPO est appliquée en Configuration ordinateur.
Important : évitez de dupliquer les mêmes paramètres en Configuration utilisateur et Configuration ordinateur. Les conflits brouillent le résultat (les règles « deny » l’emportent de toute façon).
Tableau de lecture des combinaisons les plus courantes
| Paramètres | Lecture depuis la clé | Écriture vers la clé | Exécution depuis la clé | Cas d’usage plausible |
|---|---|---|---|---|
| Deny Read : Activé Deny Write : Désactivé Deny Execute : Activé | Refusée | Théorique, mais échoue en pratique (métadonnées) | Refusée | « Write‑only » souhaité, non supporté nativement |
| Deny Read : Désactivé Deny Write : Activé Deny Execute : Activé | Autorisée | Refusée | Refusée | Empêcher l’exfiltration et l’exécution — recommandé |
| Deny Read : Désactivé Deny Write : Désactivé Deny Execute : Activé | Autorisée | Autorisée | Refusée | Lecture/écriture mais pas d’exécution — compromis |
| Deny Read : Activé Deny Write : Activé Deny Execute : Activé | Refusée | Refusée | Refusée | Blocage total USB — environnement à très hautes exigences |
Cas particuliers et pièges courants
- Différences FAT32/exFAT/NTFS : l’ACL NTFS offre de la granularité, mais sur une clé FAT/exFAT il n’y a pas d’ACL par fichier. Les règles GPO s’appliquent donc au périmètre « classe de périphérique », pas au système de fichiers.
- WPD/MTP (smartphones en mode PTP/MTP) : ces appareils ne s’exposent pas comme « disques amovibles » traditionnels. Activez aussi les règles WPD dans « Accès au stockage amovible » si vous devez les contrôler.
- UAC et élévation : certaines opérations UI (Explorer) peuvent susciter une invite d’élévation quand la pile d’E/S considère qu’une ouverture de descripteur exige des droits que la règle « Deny Read » bloque. Ce n’est pas un contournement : c’est le symptôme de l’incompatibilité fonctionnelle du scénario « write‑only ».
- Conflits GPO : privilégiez la configuration en Configuration ordinateur. Une règle « Deny » quelque part l’emportera sur un « Allow » ailleurs.
- Postes hors domaine : veillez à l’équivalence des paramètres en stratégie locale (
gpedit.msc) si des machines ne rejoignent pas l’AD.
Alternatives viables pour obtenir un « write‑only » effectif
Puisque Windows ne propose pas nativement ce mode, voici des approches réellement opérables qui respectent votre besoin métier :
| Solution | Principe | Avantages | Inconvénients | Quand la choisir |
|---|---|---|---|---|
| DLP / « clé USB drop‑box » chiffrée | Un agent/driver accepte l’écriture mais masque le contenu à l’utilisateur. Lecture possible uniquement par un service ou une console d’administration. | Respecte le besoin « write‑only » ; audit centralisé | Licences et déploiement | Environnements réglementés, traçabilité forte |
| Portail ou partage réseau dédié | L’utilisateur dépose dans un répertoire où les ACL interdisent la lecture (dossier « inbox »). Un service back‑end traite les dépôts. | Simplicité, pas de support physique | Nécessite une connectivité réseau | Sites bien connectés, processus automatisables |
| Script / service intermédiaire | Une application locale, s’exécutant sous un compte de service, écrit sur la clé. L’utilisateur n’accède pas directement au volume. | Granularité et règles métiers fines | Maintenance et supervision | Flux métiers spécifiques, kiosques |
| Chiffrement avant dépôt (conteneur asymétrique) | Le client chiffre les fichiers avec la clé publique de l’entreprise (ex. conteneur PGP/ZIP chiffré). L’utilisateur peut écrire le conteneur sur la clé, mais ne peut pas le lire faute de clé privée. | Niveau de sécurité élevé, portable | Gestion des clés, UX à cadrer | Échanges inter‑sites, prestataires, transport sécurisé |
| BitLocker To Go (clarification) | BitLocker protège le support ; si l’utilisateur peut déverrouiller, il peut lire et écrire. On peut toutefois imposer que seuls les supports chiffrés soient utilisables et gérer les clés au niveau entreprise. | Réduit la perte de données en clair | Ne fournit pas un mode « write‑only » natif | Norme de sécurité des supports amovibles |
Patron d’implémentation recommandé (pragmatique)
- Admettre la contrainte technique : le « write‑only » USB par GPO n’existe pas.
- Objectif : empêcher l’entrée de code malveillant : activez Deny Execute et, si possible, Deny Write (anti‑exfiltration) ; autorisez la lecture seulement si elle est indispensable au métier.
- Si « write‑only » est pilier métier : optez pour un outil DLP/Device Control ou un flux de chiffrement côté client (conteneur chiffré avec clé publique d’entreprise).
Checklist sécurité complémentaire
- Bloquer l’exécution depuis supports amovibles (Deny Execute).
- Journaliser l’utilisation des périphériques USB :
- Activez l’audit des accès aux objets (fichiers) et des périphériques externes.
- Surveillez les journaux pertinents (p. ex. journal Sécurité, journaux « Removable Storage »). Selon le journal activé, vous pourrez voir des événements caractéristiques (par ex., 221/225 ou équivalents) lors des montages/refus. Le détail dépend de votre configuration d’audit.
- Sensibiliser les utilisateurs (risques USB, bonnes pratiques).
- Imposer le chiffrement (BitLocker To Go) pour éviter les fuites de données en clair hors de l’entreprise.
Dépannage et vérification
Validation de l’application GPO
gpupdate /force
gpresult /r
gpresult /h C:\Temp\ResultatsGPO.html
Assurez‑vous que les règles sont bien en Configuration ordinateur, appliquées au poste ciblé et sans doublon côté utilisateur.
Tests manuels structurés
- Préparez deux clés : une en FAT32, l’autre en NTFS (pour observer les différences de comportements).
- Copiez un fichier test depuis le PC vers la clé, et inversement.
- Essayer d’exécuter un binaire depuis la clé (attendu : bloqué si Deny Execute actif).
- Vérifiez les messages d’erreur (accès refusé) et les journaux d’événements.
Signes de mauvaise configuration
- Invite UAC inattendue en simple copie : conflit « Deny Read »/écriture → scénario non supporté.
- Lecture/écriture possible malgré la GPO : la règle est peut‑être seulement en Configuration utilisateur ou non appliquée à l’OU de la machine.
- Seuls les téléphones restent accessibles : vous n’avez probablement pas appliqué les règles « Appareils portables (WPD) ».
Scénarios d’architecture
Postes bureautiques standards
- Deny Execute : Activé
- Deny Write : Activé
- Deny Read : Désactivé
- BitLocker To Go imposé
- Audit activé
Résultat : pas d’exécution ni d’exfiltration ; lecture autorisée si la clé provient d’un tiers de confiance — sinon, contrôle via DLP.
Kiosques / bornes de dépôt
- Deny Execute : Activé
- Deny Write : Désactivé
- Deny Read : Désactivé
- Application intermédiaire whitelistée qui dépose des données dans un conteneur chiffré avec la clé publique de l’entreprise.
Résultat : l’utilisateur « écrit » des colis chiffrés qu’il ne peut pas lire (car il ne détient pas la clé privée).
FAQ rapide
Peut‑on faire une exception par modèle de clé ?
Oui, mais ce n’est pas l’objet des règles « Accès au stockage amovible ». On passe alors par des stratégies d’installation de périphériques (filtrage par ID matériel) ou des solutions DLP/Device Control capables de gérer des listes blanches périphériques.
Intune/MDM permet‑il le « write‑only » ?
Les CSP équivalents exposent les mêmes limites : pas de mode « écriture sans lecture » garantissable au niveau OS. Intune facilite cependant le déploiement des règles et de Device Control.
Et si je veux autoriser un seul dossier sur la clé ?
Ce niveau de granularité n’est pas fiable sur FAT/exFAT (absence d’ACL). Sur NTFS, vous pourriez jouer des ACL, mais l’utilisateur pourra toujours lire ce qu’il a écrit. Préférez un conteneur chiffré géré par une application.
Pourquoi ai‑je parfois des pop‑ups d’élévation ?
Parce qu’une séquence d’écriture a tenté une opération assimilée à de la lecture (attributs, répertoire). Comme « Deny Read » s’applique, l’OS déclenche un comportement d’échec/élévation non pertinent pour l’utilisateur. Ce n’est pas une faille ; c’est une incompatibilité.
Procédure « clé en main » recommandée
- Décider du but premier : anti‑exfiltration ? anti‑malware ? flux « drop‑box » ?
- Appliquer des GPO robustes : Deny Execute systématique ; Deny Write si l’exfiltration est le risque majeur ; pas de « Deny Read » si vous avez besoin d’écrire.
- Si “write‑only” est requis : mettre en place l’une des alternatives (DLP/device control, conteneur chiffré côté client, portail réseau « inbox »).
- Encadrer par la conformité : BitLocker To Go obligatoire, journalisation et rapports périodiques, sensibilisation.
- Tester en pré‑prod avec différents types de supports (FAT32/NTFS, clés « rapides », smartphones en MTP).
Exemples de commandes utiles
:: Forcer l’actualisation des stratégies
gpupdate /force
:: Exporter un rapport GPO détaillé
gpresult /h C:\Temp\ResultatsGPO.html
:: Vérifier la politique d’audit globale
auditpol /get /category:*
:: Lister les volumes (pour vérifier l’arrivée de la clé)
wmic logicaldisk get Name,FileSystem,DriveType Conclusion
Le besoin « autoriser l’écriture sur clé USB tout en interdisant la lecture » est légitime, mais n’est pas réalisable via les GPO Windows standards. La raison est structurelle : l’écriture requiert des lectures préalables. Pour atteindre un résultat équivalent, orientez‑vous vers un dispositif write‑only piloté (DLP/Device Control), un flux de chiffrement asymétrique côté client, ou un dépôt réseau « inbox ». Quoi qu’il arrive, combinez Deny Execute, chiffrement BitLocker To Go, audit et sensibilisation : ce quatuor couvre l’immense majorité des menaces USB en entreprise tout en préservant la productivité.
Annexe : Fiche mémo
- OS requis : stratégies de stockage amovible pleinement supportées à partir de Windows 8 / Server 2012.
- Application : privilégier la branche Configuration ordinateur.
- Vérification :
gpresult, journaux d’événements (Sécurité, Removable Storage/Operational). - Conflits : éviter les doublons utilisateur/ordinateur.
- Alternatives : DLP, portail réseau, service intermédiaire, chiffrement côté client.
En synthèse : acceptez la contrainte, choisissez l’alternative adaptée, et verrouillez l’exécution. Vous aurez une posture réaliste, cohérente et maintenable.