Comment bloquer / débloquer la suppression des périphériques aux utilisateurs non administrateurs ?

Question

Bonjour,

Suite à l'application de plusieurs règles de sécurité CIS, les utilisateurs de mon entreprise ne peuvent plus supprimer certains périphériques (en l'occurrence ici un casque audio sans fil installé à travers un dongle USB).

L'utilisateur a bien accès à certains paramètres dans le menu "Bluethooth et autres appareils", il voit les différents périphériques et peut même supprimer ceux connectés en Bluetooth, par contre il ne peut plus supprimer les périphériques installés à travers un dongle USB (qui installe un pilote dédié). Il s'agit de casque pro de la marque Poly très répandus sur le marché, mais c'est également le cas pour un casque Jabra, par exemple.

Un profil administrateur et lui autorisé à effectuer cette action, ce qui semble confirmer que le blocage est dû à une restriction pour les profils standard. Je remarque aussi que cela coïncide avec l'application de plusieurs règles CIS (plusieurs centaines), mais impossible pour l'instant de trouver laquelle.

J'ai analysé un rapport de GPO autour des thèmes : panneau de configuration, périphérique ou audio. Mais je ne trouves rien de cohérent.

J'aimerai redonner la main aux utilisateurs, car dans certains cas ça leur permettait de contourner en autonomie, des problèmes de connexion.

Quelqu'un aurait-il était confronté à la même problématique et pourrait m'apporter son aide ?

Merci.

Answer 1

Bonjour,

1. Vérification des GPOs liées aux périphériques USB et Bluetooth

Bien que vous ayez déjà examiné les GPOs autour des thèmes « périphérique » et « audio », il se peut que des règles spécifiques empêchent les utilisateurs standards de supprimer certains périphériques USB. Voici quelques éléments à vérifier dans les Stratégies de Sécurité et GPOs :

• Restrictions liées aux périphériques USB : Il existe une GPO permettant de restreindre l'accès aux périphériques USB (par exemple : "Contrôle des périphériques USB" ou "Autoriser l'installation de périphériques USB uniquement pour certains utilisateurs"). Assurez-vous que cette GPO ne limite pas l'accès aux périphériques audio USB. Chemin dans les GPOs :

    
    Configuration ordinateur > Stratégies > 
  

• Contrôle des périphériques Bluetooth : Vérifiez les GPOs liées aux périphériques Bluetooth, car certaines configurations peuvent empêcher les utilisateurs de supprimer des périphériques Bluetooth (cela pourrait aussi s'appliquer à certains périphériques utilisant des pilotes spécifiques). Chemin dans les GPOs :

    
    Configuration ordinateur > Stratégies > 
  

2. Restriction via les stratégies d'installation de pilotes

Les règles CIS peuvent avoir activé des restrictions sur l'installation ou la gestion des pilotes pour certains périphériques. Par exemple, les utilisateurs standard pourraient être limités dans leurs actions concernant les périphériques installés avec des pilotes spécifiques (comme ceux pour les casques audio USB).

• Vérification des stratégies de gestion des pilotes :
  • Installation de périphériques : Vérifiez la politique « Empêcher l’installation de périphériques non décrits par d’autres stratégies de groupe » dans les Stratégies de sécurité locale. Si cette stratégie est activée, elle pourrait bloquer certaines actions liées à l'ajout ou à la suppression de périphériques.
  Chemin :

    
    Stratégies locales > Options de sécurité > Installation de 
  

  Assurez-vous que l'installation des pilotes est autorisée pour les périphériques USB, en particulier pour les casques, dans les profils utilisateurs standards.

3. Vérification des permissions sur les clés de registre

Il est également possible que des permissions de registre soient modifiées à cause des règles CIS. Parfois, l'accès aux périphériques USB est limité par des clés dans le registre. Vous pouvez vérifier les clés suivantes :

• Clé de registre pour les périphériques installés :

    
    HKEY_LOCAL_MACHINE\
  

  Assurez-vous que les permissions sur cette clé permettent aux utilisateurs d'interagir avec les périphériques USB.
• Clé de registre pour les pilotes audio :

    
    HKEY_LOCAL_MACHINE
  

  Vérifiez si des permissions restrictives sont appliquées sur les pilotes de périphériques audio, comme ceux des casques Poly ou Jabra.

4. Analyse de l'impact des règles CIS

Certaines règles CIS peuvent être très restrictives pour les utilisateurs standard, surtout en matière de gestion de périphériques. Voici quelques règles spécifiques des CIS Windows qui pourraient avoir un impact :

• CIS Rule 4.2 (Interdire l'accès aux périphériques USB) : Cette règle bloque l'accès aux périphériques USB pour les utilisateurs non autorisés.
• CIS Rule 5.5 (Interdire la suppression de périphériques) : Cette règle pourrait interdire la suppression de certains périphériques par les utilisateurs standards.
• CIS Rule 6.1 (Restrictions sur l'installation de nouveaux pilotes) : Cette règle empêche l'installation ou la suppression de pilotes pour des périphériques non autorisés.

Vérifiez ces règles dans votre configuration CIS et, si nécessaire, assouplissez-les pour permettre aux utilisateurs standards de gérer ces périphériques.

5. Utilisation des scripts ou des outils d'administration

Si les paramètres GPO ou de sécurité ne permettent toujours pas de donner cette liberté aux utilisateurs, vous pourriez envisager d'automatiser la suppression des périphériques via un script PowerShell ou un outil d'administration qui serait exécuté avec les droits nécessaires. Cela permettrait aux utilisateurs de contourner le problème sans avoir besoin d'une intervention manuelle.

Bien à vous,