Aujourd’hui nous allons retourner dans notre domaine Active Directory afin de bloquer les ports USB de nos utilisateurs avec une GPO.

Dans un contexte professionnel, bloquer les ports USB des utilisateurs permet d’améliorer la sécurité du réseau en réduisant les risques potentiels liés à l’introduction de périphériques non autorisés. Cette mesure renforce la protection contre les menaces telles que la propagation de logiciels malveillants, le vol de données et les attaques basées sur des périphériques amovibles, contribuant ainsi à maintenir un environnement informatique plus sûr et conforme aux politiques de sécurité de l’entreprise.

De plus, cela peut aider à prévenir la fuite d’informations sensibles et à garantir la confidentialité des données au sein de l’organisation.

Création de la GPO

Nous allons nous rendre sur notre contrôleur de domaine et y saisir les touches « WIN + R » afin d’ouvrir la console Exécuter puis y entrer « gpmc.msc » afin d’ouvrir la console de gestion des stratégies de groupe

Nous allons ensuite dérouler notre forêt et sélectionner l’unité organisationnelle contenant les ordinateurs des utilisateurs dont on souhaite bloquer les ports USB.

On va ensuite nommer notre nouvelle GPO « Block USB ».

Nous allons maintenant modifier notre nouvelle GPO en faisant un clic droit dessus.

Une fois dans l’éditeur de stratégie de groupe, on va se rendre dans Configuration de l’ordinateur, Modèles d’administration, Système, Accès au stockage amovible puis faire un clic droit sur « Toutes les classes les stockages amovibles : refuser tous les accès ».

On va cliquer sur « Activer » puis « Appliquer ».

Mettre à jour les stratégies de groupe

Nous allons maintenant nous rendre sur le poste de notre utilisateur afin d’y mettre à jour les stratégies de groupe en ouvrant le terminal de commande et en entrant la commande :

Nous allons maintenant vérifier que notre GPO a bien été prise en compte sur le poste de notre utilisateur avec la commande :

Notre GPO est bien en place, à présent notre utilisateur ne peux plus insérer de périphérique USB sur sa machine.

Dans ce tutoriel nous allons installer un serveur DHCP sur notre domaine Active Directory afin que les utilisateurs puissent obtenir des adresses IP automatiquement sur le réseau.

Attention de bien avoir configuré un réseau NAT isolé de votre LAN pour vos VMs sinon votre serveur DHCP risque d’arroser tous les appareils connectés à votre réseau.

Si vous avez besoin d’un petit rappel pour créer un réseau NAT dans VMware je vous invite à consulter ce tutoriel.

Nous allons voir la méthode d’installation avec Powershell et celle avec l’ajout de rôles et fonctionnalités.

Installation du rôle DHCP avec Powershell

Commençons par voir la méthode avec Powershell, il nous faudra ouvrir un Powershell sur le serveur sur lequel nous souhaitons installer le rôle DHCP et entrer cette commande :

Etant donné que nous installons notre serveur DHCP dans un environnement Active Directory, il nous faut autoriser le serveur DHCP sur le domaine.

Pensez à remplacer dans la commande le nom DNS par celui de votre serveur sur lequel vous installé DHCP ainsi que l’adresse IP.

Installer le rôle DHCP avec l’ajout de rôles et fonctionnalités

Passons à la seconde méthode nous allons nous rendre sur l’onglet « Gérer » puis sur « Ajouter des rôles et fonctionnalités ».

Une fois dans l’assistant, nous allons choisir « Installation basée sur un rôle ou une fonctionnalité ».

On indique ensuite le serveur.

On sélectionne ensuite « Serveur DHCP » et on peut valider jusqu’a l’installation.

Une fois que c’est fait, on recevra une notification afin d’autoriser le serveur DHCP dans Active Directory ou nous aurons à renseigner un compte Administrateur si nous ne sommes pas connecté avec afin de l’autoriser et il créera également deux groupes de sécurité dans le domaine qui permettrons de gérer la délégation du serveur DHCP.

C’est terminé pour l’installation, nous pouvons passer à la configuration.

Configuration du serveur DHCP

Nous allons maintenant nous rendre sur l’onglet DHCP, puis faire un clic droit sur notre serveur afin d’aller dans le « Gestionnaire DHCP ».

Une fois dans le gestionnaire DHCP, nous allons créer une nouvelle étendue en faisant un clic droit sur IPv4 et en sélectionnant « Nouvelle étendue ».

Une fois arrivé dans l’assistant on clique sur suivant et nous allons donner un nom à notre étendue.

Ensuite nous allons déterminer une plage d’adresses IP pour notre étendue. 

Il nous demandera ensuite si nous souhaitons exclure des adresses IP. Ce serait intéressant à faire si nous avions des périphériques présents dans notre étendue nécessitant une adresse IP statique, tels que des serveurs ou des imprimantes. Ici, nous n’allons rien exclure car les adresses IP statiques de nos serveurs ne font pas partie de la plage d’adresses IP que l’on a renseignée.

Maintenant il va nous demandé quelle durée de bail nous souhaitons donner à nos utilisateurs, cela va déterminer le temps où l’utilisateur va pouvoir utiliser une adresse IP de l’étendue.

Cela va dépendre des besoins spécifiques de votre réseau et de la politique de gestion des adresses IP de votre organisation.

Si votre réseau prend en charge des périphériques mobiles qui se déplacent fréquemment entre différents sous-réseaux, vous pourriez envisager d’utiliser des durées de bail plus courtes pour s’assurer que les adresses IP sont rapidement libérées et disponibles pour d’autres périphériques lorsqu’ils se déplacent.

Il faudra tout de même éviter de définir une durée de bail trop courte, car cela pourrait entraîner une surcharge du serveur DHCP avec des renouvellements fréquents. 

Içi nous allons mettre 7 jours.

Ensuite il va nous demander si nous souhaitons configurer les options DHCP pour cette étendue maintenant, nous mettons oui.

Içi nous devons renseigner la passerelle.

Maintenant pour le DNS, c’est normalement rempli par défault indiquant le nom de notre contrôleur de domaine comme domaine parent.

Nous arrivons maintenant sur la résolution WINS que nous allons laisser vide. La résolution WINS (Windows Internet Name Service) était un service de résolution de noms utilisé principalement dans les anciennes versions de Microsoft Windows. Il permettait de résoudre les noms NetBIOS en adresses IP, facilitant ainsi la communication dans les réseaux locaux. Cependant, avec l’évolution des technologies réseau et l’adoption généralisée du DNS, la résolution WINS est devenue obsolète.

Nous n’avons plus qu’a confirmer que nous voulons activer cette étendue maintenant et elle sera en place.

Nous pouvons à présent nous rendre sur un poste client et le configurer afin qu’il obtienne une adresse IP dynamiquement de notre serveur DHCP.

Configuration du client DHCP

Nous allons tout d’abord aller dans les propriétés de notre adaptateur réseau afin de le configurer pour qu’il obtienne une adresse IP de manière dynamique.

Nous allons également ouvrir Wireshark afin de capturer l’échange entre le client et le serveur DHCP.

Une fois dans l’interface de Wireshark, nous allons entrer le filtrer DHCP et lancer une capture.

Afin de capturer tout le processus d’échange entre le client et le serveur, on va ouvrir un terminal de commande et demander à l’interface réseau de libérer son bail auprès du serveur DHCP.

Si nous regardons dans Wireshark, nous voyons que notre client a bien perdu son adresse IP.

Puis nous allons renouveler son adresse IP auprès du serveur DHCP.

Voyons maintenant se qu’il s’est passé dans Wireshark.

Alors voyons comment décortiquer cette capture, la première information que l’on peut voir est le « DHCP Discover » ou découverte DHCP.

Lorsqu’un périphérique souhaite obtenir une adresse IP sur le réseau, il envoie un message DHCP Discover en broadcast sur le réseau. Ce message indique que notre client cherche un serveur DHCP disponible.

Ensuite notre serveur DHCP qui reçoit le message DHCP Discover peut répondre avec un message DHCP Offer. Cette offre contient une adresse IP disponible pour le client, ainsi que d’autres informations de configuration réseau.

Le client, après avoir reçu une ou plusieurs offres, sélectionne l’offre qu’il souhaite accepter et envoie un message DHCP Request pour confirmer cette sélection.

Le serveur DHCP répond avec un message DHCP Acknowledgment pour confirmer que l’adresse IP et les configurations associées ont été attribuées au client.

Créer une réservation d’adresse IP

Pour finir ce tutoriel sur le DHCP, nous allons voir comment créer une réservation d’adresse IP dans notre étendue DHCP pour un périphérique comme une imprimante réseau ou un serveur afin que son IP reste fixe.

Dans le gestionnaire DHCP, on va dérouler  notre étendue puis faire un clic droit sur « Réservations » puis cliquer sur « Nouvelle réservation ».

Nous devons maintenant donner un nom à cette réservation et lui attribuer une adresse IP de notre étendue.

Nous allons également rensigner l’adresse MAC de notre périphérique en enlevant les : entre les caractères.

Concernant « le type pris en charge » nous pouvons laisser sur « les deux ».

Une fois que nous avons cliqué sur « Ajouter », c’est tout se que nous avons à faire, si l’on retourne sur notre étendue nous voyons notre nouvelle réservation.

Et voila ça sera tout pour ce tutoriel, j’espère que vous avez  pu en savoir un peu plus sur le rôle DHCP et son mode de fonctionnement.