Passer au contenu
Français
  • Il n'y a aucune suggestion car le champ de recherche est vide.

Comment déployer l'option Device Controle de Crowdstrike ?

Le module Device Control permet de contrôler l’utilisation des périphériques USB (clés, disques durs, etc.). Concrètement, Device Control vous permet de créer une "Policy" pour périphériques USB : vous définissez des règles générales qui autorisent ou bloquent les périphériques USB en fonction de leur classe.

  • Ce qui est possible :
    • Paramétrage par type de device
      Réalisé avec les "Policy" de CrowdStrike, soit par vous soit par le SOC Stoïk.
    • Paramétrage des exclusions (poste, device)
      Peut être réalisé avec le user right "Device Manager".
  • Ce qui n'est pas possible : paramétrage par end-point
    En effet, cela nécessiterait d'attribuer chaque end-point à des "groups" spécifiques".

Par exemple, vous pouvez créer une Policy pour bloquer les lecteurs de stockage USB, mais autoriser l'accès à d'autres classes de périphériques USB.

  1. Mise en place par l'équipe Stoïk
  2. Mise en place autonome
  3. Déploiement des policies

1. Mise en place par l'équipe Stoïk

1. a. Définir vos objectifs de contrôle

Déterminez ce que vous souhaitez appliquer :

  • ❌ Bloquer tous les périphériques USB 

  • 👁️ Mettre les périphériques en lecture seule 

  • ✅ Autoriser uniquement certains modèles 

  • 📊 Suivre / auditer l’usage sans bloquer (mode observation) 

1.b. Réaliser l’inventaire des périphériques autorisés ou à bloquer

Pour chaque clé ou périphérique que vous souhaitez autoriser ou bloquer :

  1. Branchez-le sur un poste

  2. Récupérez ses identifiants matériels (procédure Windows ci-dessous):

    1. Manuellement, par l’interface graphique :

      1. Gestionnaire de périphériques > Périphérique USB

      2. Clic droit > Propriétés > Détails > ID de matériel

    2. Automatiquement, par la console PowerShell :Get-PnpDevice -PresentOnly | Where-Object { $_.Class -eq "USB" }
  3. Transmettez les informations à l’équipe Stoïk à protect@stoik.io
    1. Vendor ID (VID)
    2. Product ID (PID)
    3. Numéro de série (si applicable)
1.c. Mise en place par l’équipe Stoïk

Un ingénieur cybersécurité Stoïk configure les règles et vous communique lorsque le paramétrage est effectué.

 

2. Mise en place autonome

Pour une mise en place autonome, demandez un accès "Device Control Manager" à votre console CrowdStrike par mail à protect@stoik.io

  1. Accédez à Endpoint security > USB device control > Policies.
  2. Cliquez sur Create policy.
    1. Saisissez un nom et une description (facultatif) pour votre Policy.
    2. Pour valider, cliquez sur Create policy.
  3. Dans l'onglet Settings,
    1. Sélectionnez le mode à utiliser : Monitor; Monitor and enforce; Off (seulement pour Mac)
    2. Pour inclure les périphériques USB dans la Policy, activez les paramètres USB souhaités.
      1. Sélectionnez la notification pour informer les utilisateurs finaux lorsque le périphérique USB est totalement bloqué.
      2. Sélectionnez la notification pour informer les utilisateurs finaux lorsque le périphérique USB est restreint.

Pour une mise en place autonome, demandez un accès "Device Control Manager" à votre console CrowdStrike par mail à protect@stoik.io

Les modes évoqués ci-dessus correspondent à différentes configurations de l'option Device Control, il convient de distinguer 3 possibilités :

  • Monitor and enforce : Applique activement les règles définies - bloque ou autorise les connexions USB et enregistre les connexions. Vous permet de suivre les tentatives de connexions et de bloquer celles non-autorisées.
  • Monitor only : Enregistre les connexions et actions sans appliquer de restrictions. Mode idéal pour tester vos politiques dans un premier temps sans perturber les utilisateurs.
  • Off (macOS uniquement) : Désactive complètement la protection Device Control, rien ne sera journalisé ni bloqué.

L'utilisation d'une politique en Monitor only est un moyen efficace d'établir précisément la liste des périphériques USB habituellement utilisés par vos collaborateurs. Cette liste peut alors servir de base pour une liste blanche des périphériques autorisés à terme.

  1. Accédez à l'onglet USB device.
    1. Pour sélectionner les classes de périphériques USB à inclure dans la stratégie, accédez à l'onglet « USB Device ».
      1. Cliquez pour afficher chaque classe de périphérique à inclure.
      2. Choisissez le niveau d'autorisation pour chaque classe de périphérique.
      3. Ajoutez des exceptions par classe si besoin, en cliquant sur "Add exception". Renseignez le port USB soit par son combined ID, soit par une entrée manuelle.


    2. Cliquez en haut à droite sur « Save », puis à nouveau sur « Save » pour confirmer.
  2. Accédez à l'onglet Assigned host groups
    1. Cliquez sur « Assign host groups to policy ». 
  3. Une fois la configuration terminée, cliquez sur « Enable policy ».

      💡 Pour accélérer la configuration de stratégies similaires, cliquez sur « Dupliquer la stratégie » pour créer une copie exacte. Ouvrez ensuite la copie et modifiez le nom, les paramètres, les niveaux d'autorisation et les exceptions selon vos besoins

      3. Déploiement des Policies

      • Windows : Les Policy des périphériques s'appliquent dès qu'un périphérique USB est connecté à un hôte. Si des périphériques USB sont connectés à un hôte au moment de l'affectation d'une Policy, ces périphériques ne sont affectés qu'à leur prochaine reconnexion ou au prochain redémarrage de l'hôte.
      • MacOS : Les Policy des périphériques s'appliquent dès qu'un périphérique USB ou Bluetooth est connecté à un hôte. Si des périphériques USB ou Bluetooth sont connectés à un hôte au moment de l'affectation d'une Policy, celle-ci prend effet immédiatement. Autrement dit, si la stratégie bloque ce périphérique, il sera déconnecté.