запретить установку устройств с указанными кодами устройства на английском
Как запретить Windows 10 обновлять драйверы
Очень часто Windows 10 устанавливает обновления драйверов для аппаратных компонентов компьютера даже, когда вам это не нужно. Однако, вы всегда можете предотвратить установку обновлений Windows или заблокировать или скрыть отдельные обновления с помощью утилиты Show or hide updates. Пользователи версий Pro или Корпоративная (Enterprise) также могут использовать редактор групповой политики для предотвращения установки драйверов для конкретных устройств.
Обратите внимание, что настройка групповой политики для отдельного устройства позволяет блокировать как автоматические, так и ручные обновления драйверов. Поэтому, если вы захотите обновить драйвер самостоятельно, то вам придется отключить соответствующую политику, обновить устройство и затем заново установить групповую политику.
Для того, чтобы заблокировать установку драйверов для устройства нужно выполнить два основных шага. Во-первых, мы будем использовать Диспетчер устройств для поиска идентификатора оборудования. Затем мы будем работать с редактором локальной групповой политики для задания правила блокировки обновления, соответствующего ID устройства. Прежде, чем начинать настройку, убедитесь, что на компьютере установлена стабильная версия драйвера и устройство работает корректно.
1. Находим идентификатор устройства
2. Блокируем установку и обновление драйверов устройства
Теперь, когда нам известны идентификаторы устройств, вы можете использовать редактор групповых политик, чтобы внести изменения. Еще раз напоминаем, что данный способ работает только в версиях Windows Pro и Корпоративная (Enterprise). В Windows Домашняя редактор групповых политик недоступен.
Редактор групповых политик – это мощный инструмент, который при неправильном использовании может нарушить работоспособность системы. Так что используйте с осторожностью. Если ваш компьютер является частью корпоративной сети, то есть вероятность он на нем выполняются правила домена, которые имеют более высокий приоритет, чем локальные правила.
Так как устройство зарегистрировано в системе, Центр обновления Windows может загружать обновления драйверов для него. Однако, установка обновлений не будет выполняться, вместо этого в окне Центра обновления появится сообщение об ошибке
Если в какой-то момент вы передумаете и захотите снова обновлять устройство, то перейдите в редактор групповых политик и отключите политику. Это нужно будет сделать даже при ручной установке обновлений драйверов.
При отключении политики, все идентификаторы удаляются. При повторном ее включении нужно будет снова ввести все значения ID. Поэтому если вам нужно установить обновления только для конкретного устройства можно исключить его идентификатор и оставить политику активной. Кроме того, не забывайте сохранять все ID в текстовый файл.
Конечно, это не самое простое решение, но использование редактора групповых политик делает обновления Windows 10 более гибкими, чем их полное отключение.
Примечание: в качестве альтернативного решения можно использовать приложение ABC-Update – функциональный инструмент для управления обновлениями Windows.
Как запретить обновление драйверов для выбранного устройства в Windows 10
Публикация: 30 Апрель 2017 Обновлено: 1 Март 2018
ОС Windows 10 автоматически загружает и устанавливает все необходимые драйверы устройств, как только вы подключитесь к Интернету. Это устраняет необходимость вручную загружать и устанавливать драйвера. Однако, если вы используете старые аппаратные устройства такие как старые принтеры или видео карты, драйвера которые по умолчанию устанавливает ОС Windows 10 могут вызвать проблемы. Кроме того, некоторые из пользователей Windows 10 хотят просто запретить загрузку драйверов для отдельного оборудования видео карты карты или др. Чтобы справиться с этим, просто следуйте приведенным ниже инструкциям, и вы легко сможете остановить Windows 10 от загрузки и установки драйверов для конкретного выбранного аппаратного устройства.
Поиск и копирование идентификаторов устройств аппаратного обеспечения
Так как мы хотим, блокировать обновление драйверов не для всех устройств, а конкретного аппаратного устройства, мы должны узнать его уникальных идентификатор аппаратных средств. Чтобы посмотреть его, откройте «Диспетчер устройств» с помощью клика правой кнопкой мыши на кнопке Пуск.
После того, как вы открыли диспетчер устройств, найдите оборудование, для которого вы хотите запретить автоматическую обновление и установку драйверов. В моем случае, я выберу видеокарту в своем старом ноутбуке. Щелкните правой кнопкой мыши на устройстве и выберите опцию «Свойства».
В окне аппаратных свойств, перейдите на вкладку «Сведения», а затем выберите «ИД оборудования» из выпадающего меню в разделе «Свойство».
Данное действие покажет вам уникальные аппаратные идентификаторы целевого устройства. Выберите все указанные идентификаторы, кликните правой кнопкой мыши и выберите опцию «Копировать».
Эти идентификаторы понадобятся нам несколько раз, поэтому вставим их и сохраним в текстовый файл для удобства.
Запрет установки драйвера для конкретного устройства с помощью редактора групповой политики.
Теперь найдите политику «Запретить установку устройств, с указанными кодами устройств», и дважды кликните на ней, чтобы изменить его свойства.
В окне свойств политики, включите ее, выбрав Включено, а затем нажмите на кнопку «Показать» в категории Параметры.
Это действие откроет окно «Вывод Содержания». В данное окно, необходимо ввести все аппаратные идентификаторы, скопированные ранее один за другим.
После того, как данные заполнены, нажмите на кнопку «ОК», чтобы сохранить изменения. В будущем, если у вас есть другие аппаратные устройства, для которых вы хотите остановить или запретить обновления драйверов, просто добавьте новые идентификаторы аппаратных устройств в том же порядке.
В главном окне программы нажмите на кнопку «ОК», чтобы сохранить изменения.
Перезагрузите систему, мы запретили обновление драйверов для видеокарты в Windows 10. Примечание, имейте в виду, что Windows все равно будет скачивать драйвер для этого оборудования, но не будет устанавливать.
Чтобы вернуть настройки по умолчанию, установите чек бокс политики на «Не задано» или «Отключено».
Запрет установки драйвера для конкретного устройства с помощью редактора реестра
Перейдите по следующему пути.
Если у вас нет разделов:
Просто создайте их.
В созданном разделе DenyDeviceIDs создайте новый параметр с именем «1»
Дважды кликните на вновь созданный параметр, и введите один из аппаратных идентификаторов, которые мы скопировали ранее, и нажмите на кнопку «OK».
Поскольку у нас есть несколько аппаратных идентификаторов для нашего устройства (видиокарты), нам нужно создать еще три строковых параметра и назвать их например 1, 2, 3, 4, и так далее. Для каждого значения введите дополнительный идентификатор оборудования и сохраните его. После того, как вы закончите со всем, это должно выглядеть примерно так. Как вы можете видеть, я создал несколько строковых параметров и добавил идентификаторы своей видео карты.
Перезагрузите систему чтобы изменения вступили в силу. Чтобы вернуть все назад, просто удалите созданные разделы.
Поделиться своими мыслями и опытом об использовании описанного выше способа блокировать обновления драйверов для конкретных устройств в ОС Windows 10.
Как запретить пользователям установку устройств в Windows
В любой локальной сети должен быть контроль над пользователями. Так как 90 % проблем возникают именно из-за них. И этим вопросом занимается системный администратор. Который должен максимально ограничить свободу пользователю. В первую очередь это касается интернета. Во вторую ограничения прав в Windows. И в третью ограничения на подключение к компьютеру различных устройств. Давайте расскажу как можно запретить установку устройства пользователям.
Это будет касаться все устройств которые можно подключить по USB не только запоминающих.
Ограничивать установку устройств следует только после того как рабочие место полностью настроено. Т.е подключены все необходимые USB устройства, клавиатура, мышка, принтер, сканер, касса и т.д.
Запретить установку устройства
И так как же отключить возможность установки устройств. В этом как всегда нам поможет групповая политика. Нажимаем сочетание клавиш Win+R и вводим gpedit.msc
В редакторе проходим по следующему пути.
Конфигурация компьютера — Административные шаблоны — Система — Установка устройств — Ограничения на установку устройств.
Далее открываем политику «Запретить установку съемных устройств».
Включаем и сохраняем политику.
Не забудьте обновить GPO командой — gpupdate /force
Пользователя необходимо предупредить о том что подключение устройств запрещено Администратором.
Иначе он может начать пробовать решать эту проблему. Устанавливая различный софт, меняя настройки и т.д. Что может еще больше навредить.
Для этого можно включить политику, которая отобразить сообщение при неудачной попытке подключения устройства. Открываем политику «Отображать специальное сообщение когда установка запрещена параметром политики».
Включаем и пишем текст сообщения.
Сохраняем обновляем политику и пробуем подключить какое либо устройство к компьютеру.
И видим написанное ранее сообщение.
Вот так можно отключить установку устройств в Windows. Таким же образом можно отключить централизованно у всех пользователей. Если включить данную политику на контролере домена (AD).
Скажите «нет» установке неизвестных приложений
Как работает установка неизвестных приложений в разных версиях Android и почему этой функцией лучше не пользоваться.
Чаще всего пользователи Android устанавливают приложения из Google Play. И это очень разумно. У официального магазина есть правила безопасности, выполнения которых он требует от разработчиков. За «ассортиментом» следит и сам магазин, и пользователи, оставляющие жалобы и низкие оценки, а также исследователи безопасности — так что даже если зловреду удается пробраться в Google Play, его быстро вычисляют и удаляют.
Однако у владельцев гаджетов на базе Android есть возможность скачивать приложения и из сторонних источников. Стоит ли это делать?
Запретить нельзя устанавливать
С одной стороны, для пользователей это весьма полезно: можно найти приложение с нужным набором функций, даже если в магазине нет ничего подходящего. С другой стороны, большая свобода увеличивает риск «повернуть не туда» и подцепить вирус — ведь за пределами Google Play за качеством и безопасностью следят не так пристально (а часто вообще не следят).
Вместе с установщиком желанной программы — или даже вместо нее — на устройство могут попасть опасные приложения, которые выкрадут личные данные или деньги с банковского счета. А иногда и качать ничего не потребуется: некоторые зловреды умеют тайно проникать на смартфон, если установка неизвестных приложений всего лишь включена в настройках.
Вот лишь несколько примеров таких атак:
Именно поэтому в новых телефонах эта функция всегда выключена. Чтобы не стать жертвой подобных схем, не поддавайтесь соблазну включить установку неизвестных приложений. А если уже сделали это, то срочно выключите. Сейчас расскажем как.
Как запретить установку неизвестных приложений в Android 8 и более свежих версиях
В современных версиях Android эта функция называется установка неизвестных приложений и включается отдельно для каждого приложения.
Запрещать установку из неизвестных источников, если вы ее разрешили, тоже придется для каждого приложения по отдельности. Вот как это сделать:
Как разрешить или запретить установку неизвестных приложений в Android 8 и новее
Обратите внимание: мы приводим названия настроек из «чистого» Android. Разные производители часто модифицируют стандартный интерфейс Android, поэтому в вашем телефоне некоторые пункты меню могут называться иначе.
Как запретить установку из неизвестных источников в Android 7 и более ранних версиях
До восьмой версии Android эта настройка называлась установка из неизвестных источников, а за разрешение или запрет отвечал единственный переключатель в меню безопасности:
Как разрешить или запретить установку приложений из неизвестных источников в Android 6 и 7
На первый взгляд, управлять этой настройкой в старых версиях намного удобнее, однако с точки зрения безопасности все не так однозначно. Если вы случайно разрешите в них установку неизвестных приложений, то загрузить вредоносный файл сможет не какое-то одно приложение, а вообще любое — в том числе то, которое вы установите позже.
Как безопасно скачать приложение, которого нет в Google Play
Что делать, если нужной программы в официальном магазине нет, а установить ее все же необходимо?
Управление установкой устройств с помощью групповой политики
Область применения
Сводка
С помощью Windows 10 операционных систем администраторы могут определить, какие устройства можно установить на управляемых ими компьютерах. В этом руководстве обобщается процесс установки устройства и демонстрируется несколько методов управления установкой устройств с помощью групповой политики.
Введение
Общее
В этом пошаговом руководстве описывается, как управлять установкой устройств на компьютерах, которыми вы управляете, в том числе о том, какие устройства пользователи могут и не могут установить. Это руководство применяется ко всем Windows 10 версии, начиная с RS5 (1809). Руководство включает в себя следующие сценарии:
В этом руководстве описывается процесс установки устройства и вводится строки идентификации Windows, которые можно использовать для совпадения устройства с пакетами драйвера устройства, доступными на компьютере. Руководство также иллюстрирует два метода управления установкой устройства. Каждый сценарий показывает, шаг за шагом, один метод, который можно использовать, чтобы разрешить или предотвратить установку определенного устройства или класса устройств.
Пример устройства, используемого в сценариях, — это устройство хранения USB. Вы можете выполнять действия в этом руководстве с помощью другого устройства. Однако, если вы используете другое устройство, то инструкции в руководстве не будут точно соответствовать пользовательскому интерфейсу, который отображается на компьютере.
Важно понимать, что групповые политики, представленные в этом руководстве, применяются только к машинам или группам машин, а не к пользователям и группам пользователей.
Действия, предусмотренные в этом руководстве, предназначены для использования в тестовой среде лаборатории. Это пошаговая руководство не предназначено для развертывания функций Windows Server без сопроводительных документов и должно использоваться с осторожностью в качестве отдельного документа.
Кто Следует ли использовать это руководство?
Это руководство ориентировано на следующие аудитории:
Преимущества управления установкой устройств с помощью групповой политики
Ограничение устройств, которые пользователи могут установить, снижает риск кражи данных и снижает затраты на поддержку.
Снижение риска кражи данных
Пользователям сложнее создавать несанкционированные копии данных компании, если компьютеры пользователей не могут установить неодобренные устройства, поддерживают съемные носитли. Например, если пользователи не могут установить usb-накопительное устройство, они не могут загружать копии данных компании на съемное хранилище. Это преимущество не может устранить кражу данных, но создает еще один барьер для несанкционированного удаления данных.
Сокращение расходов на поддержку
Вы можете убедиться, что пользователи устанавливают только те устройства, которые ваша группа технической поддержки обучена и оборудована для поддержки. Это преимущество снижает затраты на поддержку и путаницу пользователей.
Обзор сценария
Сценарии, представленные в этом руководстве, иллюстрируют, как управлять установкой и использованием устройств на управляемых компьютерах. Сценарии используют групповую политику на локальном компьютере, чтобы упростить использование процедур в лабораторной среде. В среде, где вы управляете несколькими клиентские компьютеры, эти параметры следует применять с помощью групповой политики.. С помощью групповой политики, развернутой Active Directory, можно применить параметры на всех компьютерах, которые являются членами домена или организационным подразделением в домене. Дополнительные сведения о том, как использовать групповую политику для управления клиентских компьютеров, см. в странице Групповой политики на веб-сайте Майкрософт.
Руководства по групповой политике:
Сценарий #1: предотвращение установки всех принтеров
В этом случае администратор хочет запретить пользователям устанавливать принтеры. Таким образом, это базовый сценарий, который познакомит вас с функциональными возможностями «предотвратить/разрешить» политики установки устройств в групповой политике.
Сценарий #2: предотвращение установки определенного принтера
В этом сценарии администратор разрешает стандартным пользователям устанавливать все принтеры, но не позволяет им устанавливать определенный принтер.
Сценарий #3: предотвращение установки всех принтеров при установке определенного принтера
В этом сценарии вы объедините то, что вы узнали из #1 сценария и #2. Администратор хочет разрешить стандартным пользователям устанавливать только определенный принтер, предотвращая установку всех других принтеров. Это более реалистичный сценарий, который позволяет сделать шаг дальше в понимании политик ограничений установки устройств.
Сценарий #4: предотвращение установки определенного USB-устройства
Этот сценарий, хотя и #2 сценарий, вызывает еще один уровень сложности — как работает подключение к устройству в дереве PnP. Администратор хочет запретить стандартным пользователям устанавливать определенное USB-устройство. К концу сценария необходимо понять, как устройства вложены в слои под деревом подключения устройств PnP.
Сценарий #5: предотвращение установки всех USB-устройств, разрешив установку только авторизованного usb-накопителя
В этом сценарии, объединяя все предыдущие 4 сценария, вы узнаете, как защитить машину от всех несанкционированных USB-устройств. Администратор хочет разрешить пользователям устанавливать только небольшой набор авторизованных USB-устройств, предотвращая установку любого другого USB-устройства. Кроме того, в этом сценарии содержится объяснение применения функции «предотвращение» к существующим USB-устройствам, которые уже установлены на компьютере, и администратору нравится предотвращать дальнейшее взаимодействие с ними (блокируя их все вместе). Этот сценарий строится на политиках и структуре, которые мы ввели в первых 4 сценариях, и поэтому перед попыткой этого сценария предпочтительнее переходить к ним.
Обзор технологий
В следующих разделах представлен краткий обзор основных технологий, рассмотренных в этом руководстве, и дается справочная информация, необходимая для понимания сценариев.
Установка устройства в Windows
Устройство представляет собой часть оборудования, с которым Windows взаимодействует для выполнения определенных функций или в более техническом определении — это один экземпляр аппаратного компонента с уникальным представлением в подсистеме Windows Plug и Play. Windows может общаться с устройством только с помощью программного обеспечения, называемого драйвером устройства (также известного как драйвер). Чтобы установить драйвер, Windows обнаруживает устройство, распознает его тип, а затем находит драйвер, который соответствует этому типу.
Windows использует четыре типа идентификаторов для управления установкой и конфигурацией устройств. Параметры групповой политики можно использовать в Windows 10, чтобы указать, какие из этих идентификаторов разрешить или заблокировать.
Четыре типа идентификаторов:
ID экземпляра устройства
Идентификатор экземпляра устройства — это строка идентификации устройства с системной поставкой, которая однозначно идентифицирует устройство в системе. Диспетчер Plug and Play (PnP) назначает ID экземпляра устройства каждому узлу устройства (devnode) в дереве устройства системы.
ID устройства
Windows можно использовать каждую строку для совпадения устройства с пакетом драйвера. Строки варьируются от конкретного, соедиав одно устройство и модель устройства, до общего, возможно, применяемого к всему классу устройств. Существует два типа строк идентификации устройств: аппаратные ИД и совместимые удостоверения.
Аппаратные ID
Идентификаторы оборудования — это идентификаторы, которые обеспечивают точное соответствие между устройством и пакетом драйверов. Первая строка в списке аппаратных ИД называется ID устройства, так как она соответствует точному устройству, модели и его ревизии. Другие аппаратные ИД в списке меньше соответствуют сведениям об устройстве. Например, идентификация оборудования может определять модель и модель устройства, но не конкретный пересмотр. Эта схема позволяет Windows использовать драйвер для другой версии устройства, если драйвер для правильной ревизии не доступен.
Совместимые ID
Windows эти идентификаторы используются для выбора драйвера, если операционная система не может найти совпадение с идентификатором устройства или другими идентификаторами оборудования. Совместимые ID перечислены в порядке снижения пригодности. Эти строки необязательны, и при условии они являются очень общими, например Disk. Когда совпадение выполняется с помощью совместимого ID, обычно можно использовать только самые основные функции устройства.
При установке устройства, например принтера, usb-хранилища или клавиатуры, Windows поиск пакетов драйверов, которые соответствуют устройству, которое вы пытается установить. Во время этого поиска Windows каждого обнаруженного пакета драйверов по крайней мере с одним совпадением с аппаратным или совместимым ID. В ранге указывается, насколько хорошо драйвер соответствует устройству. Более низкие номера рангов указывают на лучшее совпадение между водителем и устройством. Ранг ноля представляет наилучшее совпадение. Совпадение с ID устройства с одним в пакете драйвера приводит к более низкому (лучшему) рангу, чем к одному из других документов оборудования. Аналогично, совпадение с аппаратным ИД приводит к лучшему рангу, чем к любому из совместимых ИД. После Windows ранжит все пакеты драйверов, он устанавливает один с самым низким общим ранжом. Дополнительные сведения о процессе ранжирования и выбора пакетов драйверов см. в таблице How Setup Selects Drivers in the Microsoft Docs library.
Дополнительные сведения о процессе установки драйвера см. в разделе «Проверка технологий» в пошаговом руководстве по подписанию и постановке драйверов.
Некоторые физические устройства создают одно или несколько логических устройств при их установке. Каждое логическое устройство может обрабатывать часть функций физического устройства. Например, многофункциональность устройства, например сканера или факса/принтера, может иметь другую строку идентификации устройства для каждой функции.
При использовании политик установки устройств для допуска или предотвращения установки устройства с логическими устройствами необходимо разрешить или предотвратить все строки идентификации устройства для этого устройства. Например, если пользователь пытается установить многофункциональные устройства, и вы не разрешили или не предотвратили все строки идентификации для физических и логических устройств, вы можете получить неожиданные результаты от попытки установки. Дополнительные сведения о аппаратных удостоверениях см. в строках идентификации устройств в Microsoft Docs.
Классы установки устройств
Классы установки устройств (также известные как Класс)— это еще один тип строки идентификации. Производитель назначает класс устройству в пакете драйверов. Устройства групп класса, установленные и настроенные таким же образом. Например, все биометрические устройства относятся к биометрическому классу (ClassGuid = <53D29EF7-377C-4D14-864B-EB3A85769359>), и при установке они используют один и тот же установщик. Длинный номер, называемый глобальным уникальным идентификатором (GUID), представляет каждый класс установки устройства. Когда Windows начинается, он создает структуру дерева в памяти с помощью GUID-интерфейсов для всех обнаруженных устройств. Наряду с GUID для класса самого устройства, Windows может потребоваться вставить в дерево GUID для класса автобуса, к которому подключено устройство.
При использовании классов устройств для допуска или предотвращения установки драйверов пользователям необходимо указать GUID-интерфейсы для всех классов установки устройств устройства, иначе вы не сможете добиться нужных результатов. Установка может привести к сбойу (если вы хотите, чтобы она увенчалась успехом) или успешной (если вы хотите, чтобы она не удалась).
Например, многофункциональность устройства, например универсальный сканер/факс/принтер, имеет GUID для универсального многофункционального устройства, GUID для функции принтера, GUID для функции сканера и так далее. GUID для отдельных функций являются «детскими узлами» в рамках GUID многофункционального устройства. Чтобы установить детский узел, Windows также должен быть в состоянии установить родительский узел. Необходимо разрешить установку класса установки устройства родительского GUID для многофункционального устройства в дополнение к любым детским GUID-интерфейсам для функций принтера и сканера.
Дополнительные сведения см. в сведениях о классах установки устройств в Microsoft Docs.
В этом руководстве не показаны сценарии, в которых используются классы установки устройств. Однако основные принципы, продемонстрированные со строками идентификации устройств в этом руководстве, также применяются к классам установки устройств. После обнаружения класса установки устройства для определенного устройства можно использовать его в политике, чтобы разрешить или предотвратить установку драйверов для этого класса устройств.
Следующие две ссылки предоставляют полный список классов установки устройств. Классы «Системное использование» в основном относятся к устройствам, которые приходят с компьютером или машиной с фабрики, в то время как классы «Поставщик» в основном относятся к устройствам, которые могут быть подключены к существующему компьютеру или машине:
Тип устройства «Съемное устройство»
Некоторые устройства можно классифицировать как _Съемные_устройства. Устройство считается съемным, если драйвер для устройства, к которому оно подключено, указывает, что устройство съемное. Например, сообщается, что USB-устройство может быть съемным драйверами usb-узла, к которому подключено устройство.
Групповой Параметры для установки устройств
Group Policy — это инфраструктура, которая позволяет указать управляемые конфигурации для пользователей и компьютеров с помощью параметров групповой политики и параметров групповой политики.
Раздел Установка устройств в групповой политике — это набор политик, которые контролируют, какое устройство может быть установлено или не может быть установлено на компьютере. Если вы хотите применить параметры на отдельном компьютере или на многих компьютерах в домене Active Directory, для настройки и применения параметров политики используется редактор объектов групповой политики. Дополнительные сведения см. в технической справке редактора объектов групповой политики.
Ниже описаны политики установки устройств, используемые в этом руководстве.
Управление установкой устройств применяется только к машинам (‘компьютерная конфигурация’), а не к пользователям (‘user configuration’) по характеру Windows оси. Эти параметры политики затрагивают всех пользователей, которые войдите на компьютер, на котором применяются параметры политики. Эти политики нельзя применять к определенным пользователям или группам, за исключением политики Разрешить администраторам переопределять политику установки устройств. Эта политика освобождает членов локальной группы администраторов от любых ограничений установки устройств, которые применяются к компьютеру, путем настройки других параметров политики, как описано в этом разделе.
Разрешить администраторам переопределять политики ограничения установки устройств
Этот параметр политики позволяет членам локальной группы администраторов устанавливать и обновлять драйверы для любого устройства, независимо от других параметров политики. Если вы включаете этот параметр политики, администраторы могут использовать мастер добавления оборудования или мастер драйвера обновления для установки и обновления драйверов для любого устройства. Если вы отключать или не настраивать этот параметр политики, администраторы могут устанавливать все параметры политики, ограничивающие установку устройств.
Разрешить установку устройств, которые соответствуют любому из этих ID-устройств
В этом параметре политики указывается список ID-оборудования Plug и Play и совместимых ID- данных, описываемых устройствами, которые пользователи могут установить. Этот параметр предназначен для использования только в том случае, если включена установка устройств, не описанных другими параметрами политики политик, и не имеет приоритета перед любыми настройками политики, которые не позволяют пользователям устанавливать устройство. Если вы включаете этот параметр политики, пользователи могут установить и обновить любое устройство с помощью аппаратного ИД или совместимого ИД, соответствующего ID в этом списке, если эта установка не была специально предотвращена установкой устройств, которые соответствуют этим параметрам политики ID-устройств, установкой предотвращения установки устройств для этих параметров политики классов устройств, или предотвращение установки параметра политики съемных устройств. Если другой параметр политики не позволяет пользователям установить устройство, пользователи не могут установить его, даже если устройство также описано значением в этом параметре политики. Если вы отключаете или не настраиваете этот параметр политики и ни одна другая политика не описывает устройство, предотвращение установки устройств, не описанных другими параметрами политики, определяет, могут ли пользователи установить устройство.
Разрешить установку устройств, которые соответствуют любым из этих ID-экземпляров устройств
Этот параметр политики позволяет указать список ID экземпляров экземпляров устройств Plug и Play для устройств, Windows разрешена установка. Используйте этот параметр политики только в том случае, если включен параметр политики «Предотвращение установки устройств, не описанных другими настройками политики». Другие параметры политики, которые препятствуют установке устройства, имеют приоритет над этим. Если вы включаете этот параметр политики, Windows может установить или обновить любое устройство, имя экземпляра которого plug and Play устройства отображается в списке, который вы создаете, если другой параметр политики специально не препятствует установке (например, параметру политики «Предотвращение установки устройств, которые соответствуют любому из этих параметров ID-устройств», параметру политики «Предотвращение установки устройств для этих классов устройств», параметру политики «Предотвращение установки устройств, которые соответствуют любому из этих параметров ID экземпляров устройств» или параметру политики «Предотвращение установки съемных устройств»). Если включить этот параметр политики на удаленном настольном сервере, параметр политики влияет на перенаправление указанных устройств с удаленного настольного клиента на удаленный настольный сервер.
Разрешить установку устройств с помощью драйверов, которые соответствуют этим классам установки устройств
В этом параметре политики указывается список GUID-интерфейсов класса установки устройств, которые описывают устройства, которые пользователи могут установить. Этот параметр предназначен для использования только в том случае, если включена установка устройств, не описанных другими параметрами политики политик, и не имеет приоритета перед любыми настройками политики, которые не позволяют пользователям устанавливать устройство. Если вы включаете этот параметр, пользователи могут установить и обновить любое устройство с помощью аппаратного ИД или совместимого ИД, соответствующего одному из ID-объектов в этом списке, если эта установка не была специально предотвращена установкой устройств, которые соответствуют этому параметру политики ID-устройств, установкой предотвращения установки устройств для этих параметров политики классов устройств, или предотвращение установки параметра политики съемных устройств. Если другой параметр политики не позволяет пользователям установить устройство, пользователи не могут установить его, даже если устройство также описано значением в этом параметре политики. Если вы отключаете или не настраиваете этот параметр политики, и никакие другие параметры политики не описывают устройство, предотвращение установки устройств, не описанных в других параметрах политики, определяет, могут ли пользователи установить устройство.
Предотвращение установки устройств, которые соответствуют этим ID-устройствам.
В этом параметре политики указан список ID-оборудования Plug и Play и совместимых ID для устройств, которые пользователи не могут установить. Если вы включаете этот параметр политики, пользователи не могут установить или обновить драйвер для устройства, если его аппаратный ИД или совместимый ID совпадает с одним из них в этом списке. Если вы отключили или не настроили этот параметр политики, пользователи могут устанавливать устройства и обновлять драйверы, как это разрешено другими настройками политики для установки устройств. Примечание. Этот параметр политики имеет приоритет перед любыми другими настройками политики, которые позволяют пользователям устанавливать устройство. Этот параметр политики не позволяет пользователям устанавливать устройство, даже если оно соответствует другому параметру политики, который позволит установить это устройство.
Предотвращение установки устройств, которые соответствуют любым из этих ID-экземпляров экземпляров устройств
Этот параметр политики позволяет указать список ID экземпляров экземпляров устройств Plug и Play для устройств, Windows не допускается установка. Этот параметр политики имеет приоритет перед любым другим параметром политики, Windows установить устройство. Если включить этот параметр политики, Windows не будет устанавливаться устройство, имя экземпляра которого отображается в списке, который вы создаете. Если включить этот параметр политики на удаленном настольном сервере, параметр политики влияет на перенаправление указанных устройств с удаленного настольного клиента на удаленный настольный сервер. Если вы отключаете или не настраиваете этот параметр политики, устройства могут устанавливаться и обновляться по мере разрешения или предотвращения другими настройками политики.
Предотвращение установки устройств с помощью драйверов, которые соответствуют этим классам установки устройств
В этом параметре политики указывается список GUID-интерфейсов настройки устройств plug и Play для устройств, которые пользователи не могут установить. Если вы включаете этот параметр политики, пользователи не могут устанавливать или обновлять устройства, принадлежащие к любому из перечисленных классов установки устройств. Если вы отключили или не настроили этот параметр политики, пользователи могут устанавливать и обновлять устройства, как это разрешено другими настройками политики для установки устройств. Примечание. Этот параметр политики имеет приоритет перед любыми другими настройками политики, которые позволяют пользователям устанавливать устройство. Этот параметр политики не позволяет пользователям устанавливать устройство, даже если оно соответствует другому параметру политики, который позволит установить это устройство.
Применяйте многоуровневый порядок оценки для политики установки устройств и предотвращения их применения во всех критериях соответствия устройств
Этот параметр политики изменит порядок оценки, в котором применяются параметры разрешить и предотвратить политику, если для данного устройства применимо несколько параметров политики установки. Включить этот параметр политики, чтобы гарантировать, что перекрывающиеся критерии соответствия устройств применяются на основе установленной иерархии, где более конкретные критерии соответствия вымежают менее конкретные критерии соответствия. Иерархический порядок оценки параметров политики, определяющее критерии соответствия устройству, следующим образом:
ID экземпляра устройства > ID устройства > Класс установки устройства > Съемные устройства
Этот параметр политики обеспечивает более подробное управление, чем параметр политики «Предотвращение установки устройств, не описанных в других параметрах политики». Если эти противоречивые параметры политики включены одновременно, будет включен параметр политики «Применить многоуровневый порядок оценки для политики разрешить и предотвратить установку устройств во всех критериях соответствия устройствам», а остальные параметры политики будут проигнорированы.
Если вы отключать или не настраивать этот параметр политики, используется оценка по умолчанию. По умолчанию все «Предотвратить установку. » Параметры политики имеют приоритет перед любыми другими настройками политики, Windows установить устройство.
Некоторые из этих политик имеют приоритет перед другими политиками. На приведенном ниже потоке показано, как Windows процессы, чтобы определить, может ли пользователь установить устройство или нет, как показано на рисунке ниже.
Диаграмма потока политик установки устройств
Требования к завершению сценариев
Общее
Чтобы завершить каждый из сценариев, убедитесь, что у вас есть:
Клиентский компьютер с Windows 10.
Usb-накопитель. Сценарии, описанные в этом руководстве, используют usb-накопитель в качестве примера устройства (также известного как «съемный диск диска», «диск памяти», «флэш-накопитель» или «накопитель ключей»). Большинство usb-накопителей не требуют драйверов, предоставленных изготовителем, и эти устройства работают с драйверами почтовых ящиков, Windows сборки.
Usb/network printer pre-installed on the machine.
Доступ к учетной записи администратора на компьютере тестирования. Процедуры в этом руководстве требуют привилегий администратора для большинства действий.
Понимание последствий применения ретроактивных политик «Предотвращение»
Все политики «Prevent» имеют возможность применить функции блока к уже установленным устройствам — устройствам, установленным на машине до начала действия политики. Использование этого параметра рекомендуется, если администратор не уверен в истории установки устройств на компьютере и хотел бы убедиться, что политика применима ко всем устройствам.
Например: на компьютере уже установлен принтер, что предотвращает установку всех принтеров, что блокирует установку любого будущего принтера, сохраняя при этом только установленный принтер. Чтобы применить блок задним числом, администратор должен проверить метку «Применить эту политику к уже установленным устройствам». Маркировка этого параметра будет препятствовать доступу к уже установленным устройствам в дополнение к любым будущим.
Это мощный инструмент, но поэтому его необходимо использовать осторожно.
Применение параметра «Предотвратить обратную активность» на важных устройствах может сделать машину бесполезной и неприемлемой! Например: предотвращение обратной активности всех дисковых дисков может блокировать доступ к диску, на котором сапоги ОС; Предотвращение обратной активности всех «Net» может заблокировать доступ к сети этой машине и устранить проблему, которая будет иметь непосредственное подключение администратора.
Определение строк идентификации устройств
Следуя этим шагам, можно определить строки идентификации устройства для устройства. Если аппаратные ИД и совместимые ID для устройства не соответствуют данным, показанным в этом руководстве, используйте соответствующие вашему устройству ID (это относится к экземплярам ИД и классам, но мы не будем давать им пример в этом руководстве).
Вы можете определить аппаратные ИД и совместимые ID для устройства двумя способами. Можно использовать device Manager — графический инструмент, включенный в операционную систему, или PnPUtil — средство командной строки, доступное для всех Windows версий. Используйте следующую процедуру, чтобы просмотреть строки идентификации устройства для устройства.
Эти процедуры являются специфическими для принтера Canon. Если вы используете устройство другого типа, необходимо соответствующим образом настроить действия. Существенное различие будет в расположении устройства в иерархии диспетчера устройств. Вместо расположения в узле Принтеры необходимо найти устройство в соответствующем узле.
Поиск строк идентификации устройств с помощью диспетчера устройств
Убедитесь, что принтер подключен и установлен.
Чтобы открыть диспетчер устройств, нажмите кнопку Начните, введите mmc devmgmt.msc в поле Начните поиск, а затем нажмите кнопку ENTER; или поиск диспетчера устройств в качестве приложения.
Диспетчер устройства запускает и отображает дерево, представляющее все устройства, обнаруженные на компьютере. В верхней части дерева находится узел с именем компьютера рядом с ним. Нижние узлы представляют различные категории оборудования, в которое сгруппировали устройства компьютеров.
Найдите раздел «Принтеры» и найдите целевой принтер
Выбор принтера в диспетчере устройств
Дважды щелкните принтер и перейдите на вкладку «Сведения».
Откройте вкладку «Подробные сведения», чтобы найти идентификаторы устройств
В окне «Значение» скопируйте самый подробный ИД оборудования — мы будем использовать его в политиках.
HWID и совместимый ID
Получение идентификаторов устройств с помощью PnPUtil
Вот пример вывода для одного устройства на компьютере:
Сценарий #1: предотвращение установки всех принтеров
В этом простом сценарии вы узнаете, как предотвратить установку всего класса устройств.
Настройка среды
Настройка среды для сценария с помощью следующих действий:
Откройте редактор групповой политики и перейдите в раздел Ограничение установки устройств.
Отключить все предыдущие политики установки устройств, за исключением «Применить многоуровневый порядок оценки», хотя политика отключена по умолчанию, эту политику рекомендуется включить в большинстве практических приложений.
Если есть какие-либо политики с включенной поддержкой, изменение их состояния на «отключено», очищает их от всех параметров
Чтобы проверить политику с помощью USB/сетевого принтера,
Действия сценария — предотвращение установки запрещенных устройств
Получение нужного идентификатора устройства, чтобы предотвратить его установку:
Если в вашей системе есть устройство из класса, который необходимо заблокировать, вы можете следовать шагам в предыдущем разделе, чтобы найти идентификатор класса устройства с помощью диспетчера устройств или PnPUtil (GUID класса).
Если в системе не установлено такое устройство или не известно имя класса, можно проверить следующие две ссылки:
Наш текущий сценарий направлен на предотвращение установки всех принтеров, так как здесь находится GUID класса для большинства принтеров на рынке:
Как упоминалось ранее, предотвращение полного класса может полностью заблокировать использование системы. Убедитесь, что вы понимаете, какие устройства будут заблокированы при указании класса. Для нашего сценария существуют другие классы, которые относятся к принтерам, но перед их применением убедитесь, что они не блокируют любое другое существующее устройство, которое имеет решающее значение для вашей системы.
Создание политики для предотвращения установки всех принтеров:
Откройте объектный редактор групповой политики или нажмите кнопку Начните, введите mmc gpedit.msc в поле Начните поиск, а затем нажмите кнопку ENTER; или введите Windows «Редактор групповой политики» и откройте пользовательский интерфейс.
Перейдите на страницу Ограничения установки устройств:
Конфигурация компьютера > административных шаблонов > системных > устройств > установки устройств
Убедитесь, что все политики отключены (рекомендуется поддерживать включенную политику «прикладной многоуровневый порядок оценки»).
Откройте предотвращение установки устройств с помощью драйверов, которые соответствуют политике классов установки устройств, и выберите кнопку «Включить» радио.
В левом нижнем окне «Параметры» нажмите кнопку «Показать. » поле. После этого вы сможете ввести идентификатор класса для блокировки.
Введите GUID класса принтера, найденного выше, с фигурными скобами (это важно! В противном случае это не сработает:
Список предотвращенных GUID-интерфейсов класса
Нажмите кнопку «Применить» в правом нижнем окне окна политики — это толкает политику и блокирует все будущие установки принтера, но не применяется к существующим установкам.
Необязательный — если вы хотите применить политику **** к существующим установкам: Откройте установку предотвращения устройств с помощью драйверов, которые снова соответствуют политике классов установки устройств; в окне «Параметры» пометить почтовый ящик с словами «также применимы к уже установленным устройствам»
Использование политики Предотвращение (например, используемой в сценарии #1 выше) и ее применение на всех ранее установленных устройствах (см. шаг #9) может сделать критически важные устройства непригодными для использования; следовательно, используйте с осторожностью. Например. Если ИТ-администратор хочет запретить установку всех съемных устройств хранения на компьютере, использование класса «Диск диск» для блокировки и применения его задним числом может сделать внутренний жесткий диск непригодным для использования и разбить машину.
Тестирование сценария
Если вы выполнили шаг #9 и перезапустили машину, просто найди принтер в диспетчере устройства или приложении Windows Параметры и увидите, что он больше не доступен для использования.
Сценарий #2: предотвращение установки определенного принтера
Этот сценарий строится на сценарии #1, предотвращение установки всех принтеров. В этом сценарии необходимо нацелить определенный принтер, чтобы предотвратить установку на компьютере.
Настройка среды
Настройка среды для сценария с помощью следующих действий:
Откройте редактор групповой политики и перейдите в раздел Ограничение установки устройств.
Убедитесь, что все предыдущие политики установки устройств отключены, за исключением «Применить многоуровневый порядок оценки» (этот сценарий необязателен). Хотя политика отключена по умолчанию, рекомендуется включить ее в большинстве практических приложений. Сценарий #2 необязательный.
Действия сценария — предотвращение установки определенного устройства
Получение нужного идентификатора устройства, чтобы предотвратить его установку:
Получите идентификатор оборудования вашего принтера — в этом примере мы будем использовать идентификатор, найденный ранее.
ID оборудования принтера
Запишите ID устройства (в данном случае Аппаратный ID) — WSDPRINT\CanonMX920_seriesC1A0; Возьмите более конкретный идентификатор, чтобы убедиться, что вы блокируете определенный принтер, а не семейство принтеров
Создание политики для предотвращения установки одного принтера:
Откройте объектный редактор групповой политики — нажмите кнопку Начните, введите mmc gpedit.msc в поле Начните поиск, а затем нажмите кнопку ENTER; или введите Windows «Редактор групповой политики» и откройте пользовательский интерфейс.
Перейдите на страницу Ограничения установки устройств:
Конфигурация компьютера > административных шаблонов > системных > устройств > установки устройств
Откройте предотвращение установки устройств, которые соответствуют любой из этих политик ID-устройств, и выберите кнопку «Включить».
В левом нижнем окне «Параметры» нажмите кнопку «Показать. » поле. Это позволит вам ввести идентификатор устройства для блокировки.
Введите найденный выше ID устройства принтера — WSDPRINT\CanonMX920_seriesC1A0
Предотвращение списка ID устройства
Нажмите кнопку «Применить» в правом нижнем окне окна политики. Это толкает политику и блокирует целевой принтер в будущих установках, но не применяется к существующей установке.
Необязательный вариант — если вы хотите применить политику к существующей установке: Откройте установку предотвращения устройств, которые снова соответствуют любой из этих политик ID-устройств; в окне «Параметры» пометить почтовый ящик с словами «также применимы к уже установленным устройствам».
Тестирование сценария
Если вы выполнили шаг #8 и перезапустили машину, просто найди принтер в диспетчере устройства или приложении Windows Параметры и узнайте, что он больше не доступен для использования.
Если вы еще не завершили #8, выполните следующие действия:
Удалить принтер: диспетчер устройств > принтеры > нажмите кнопку Canon Printer > кнопку «Устройство удалить».
Для USB-принтера — отключить и подключить кабель; для сетевого устройства — сделайте поиск принтера в Windows Параметры приложении.
Нельзя переустановить принтер.
Сценарий #3: предотвращение установки всех принтеров при установке определенного принтера
Теперь, используя знания из обоих предыдущих сценариев, вы узнаете, как предотвратить установку всего класса устройств, разрешив установку одного принтера.
Настройка среды
Настройка среды для сценария с помощью следующих действий:
Откройте редактор групповой политики и перейдите в раздел Ограничение установки устройств.
Отключить все предыдущие политики установки устройств и включить «Применить многоуровневый порядок оценки».
Если есть какие-либо политики с включенной поддержкой, изменение их состояния на «отключено», позволит очистить их от всех параметров.
Чтобы проверить политику, необходимо иметь принтер USB/network.
Действия сценария — предотвращение установки целого класса, а также разрешение на определенный принтер
Получение идентификатора устройства как для класса принтера, так и для определенного принтера — следуя шагам в сценарии #1, чтобы найти идентификатор класса и сценарий #2, чтобы найти идентификатор устройства, вы можете получить идентификаторы, необходимые для этого сценария:
Откройте объектный редактор групповой политики — нажмите кнопку Начните, введите mmc gpedit.msc в поле Начните поиск, а затем нажмите кнопку ENTER; или введите Windows «Редактор групповой политики» и откройте пользовательский интерфейс.
Перейдите на страницу Ограничения установки устройств:
Конфигурация компьютера > административных шаблонов > системных > устройств > установки устройств
Убедитесь, что все политики отключены
Откройте предотвращение установки устройств с помощью драйверов, которые соответствуют политике классов установки устройств, и выберите кнопку «Включить» радио.
В левом нижнем окне «Параметры» нажмите кнопку «Показать. » поле. После этого вы сможете ввести идентификатор класса для блокировки.
Введите GUID класса принтера, найденного выше, с фигурными скобами (это важно! В противном случае это не сработает:
Список предотвращенных GUID-интерфейсов класса
Нажмите кнопку «Применить» в правом нижнем окне окна политики — это толкает политику и блокирует все будущие установки принтера, но не применяется к существующим установкам.
Для завершения охвата всех будущих и существующих **** принтеров откройте установку предотвращения устройств с помощью драйверов, которые снова соответствуют политике классов установки устройств; в окне «Параметры» пометить почтовый ящик с словами «также применяться к уже установленным устройствам» и нажмите кнопку «ОК»
Откройте **** многоуровневый порядок оценки для политики разрешить и предотвратить установку устройств во всех политиках соответствия критериям устройства и включить его — эта политика позволит переопредить широкое освещение политики «Предотвращение» с помощью определенного устройства.
Применение многоуровневого порядка политики оценки
Теперь Откройте разрешить установку устройств, которые соответствуют любой из этих политик ID-устройств и выберите кнопку «Включить» радио.
В левом нижнем окне «Параметры» нажмите кнопку «Показать. » поле. Это позволит вам ввести идентификатор устройства в таблицу.
Введите найденный выше ID устройства принтера: WSDPRINT\CanonMX920_seriesC1A0.
Разрешить ID оборудования принтера
Щелкните кнопку «Применить» в правом нижнем окне окна политики — это толкает политику и позволяет установить целевой принтер (или остаться установленным).
Тестирование сценария
Просто найди принтер в диспетчере устройств или Windows Параметры и узнайте, что он по-прежнему доступен и доступен. Или просто распечатайте тестовый документ.
Возвращайся к редактору групповой политики, отключите многоуровневый порядок оценки для политики разрешить и предотвратить установку устройств во всех политиках соответствия критериям устройства и снова протестировать принтер — вам не следует печатать что-либо или иметь доступ к принтеру вообще. ****
Сценарий #4: предотвращение установки определенного USB-устройства
Сценарий строится на знаниях из сценария #2, предотвращение установки определенного принтера. В этом сценарии вы получите представление о том, как некоторые устройства встроены в дерево устройств PnP (Plug and Play).
Настройка среды
Настройка среды для сценария с помощью следующих действий:
Откройте редактор групповой политики и перейдите в раздел Ограничение установки устройств
Убедитесь, что все предыдущие политики установки устройств отключены, за исключением «Применить многоуровневый порядок оценки» (этот сценарий необязателен для включения/отключения) — хотя политика отключена по умолчанию, рекомендуется включить ее в большинстве практических приложений.
Действия сценария — предотвращение установки определенного устройства
Получение нужного идентификатора устройства для предотвращения его установки и его расположения в дереве PnP:
Подключение USB-накопитель к машине
Открытие диспетчера устройств
Найдите usb-накопитель и выберите его.
Выбор usb-накопителя в диспетчере устройств
Измените представление (в верхнем меню) на «Устройства по подключениям». Это представление представляет способ установки устройств в дереве PnP.
Изменение представления в диспетчере устройств, чтобы увидеть дерево подключения PnP
При блокировке\Предотвращение устройства, которое находится выше в дереве PnP, все устройства, которые находятся под ней, будут заблокированы. Например: чтобы предотвратить установку «универсального USB-концентратора», все устройства, которые лежат под «Общим USB-концентратором», будут заблокированы.
При блокировке одного устройства все устройства, вложенные ниже, также будут заблокированы.
Дважды щелкните usb-накопитель и перейдите на вкладку «Сведения».
В окне «Значение» скопируйте наиболее подробный ИД оборудования, который мы будем использовать в политиках. В этом случае ID устройства = USBSTOR\DiskGeneric_Flash_Disk______8.07
ID-компьютеры оборудования USB-устройств
Создание политики для предотвращения установки одного USB-накопителя:
Откройте объектный редактор групповой политики — нажмите кнопку Начните, введите mmc gpedit.msc в поле Начните поиск, а затем нажмите кнопку ENTER; или введите Windows «Редактор групповой политики» и откройте пользовательский интерфейс.
Перейдите на страницу Ограничения установки устройств:
Конфигурация компьютера > административных шаблонов > системных > устройств > установки устройств
Откройте предотвращение установки устройств, которые соответствуют любой из этих политик ID-устройств, и выберите кнопку «Включить».
В левом нижнем окне «Параметры» щелкните поле «Показать». Это позволит вам ввести идентификатор устройства для блокировки.
Введите ИД устройства usb с большим диском, который был найден выше — USBSTOR\DiskGeneric_Flash_Disk______8.07
Предотвращение списка ID устройств
Нажмите кнопку «Применить» в правом нижнем окне окна политики — это толкает политику и блокирует целевой usb-накопитель в будущих установках, но не применяется к существующей установке.
Необязательный вариант — если вы хотите применить политику к существующей установке: Откройте установку предотвращения устройств, которые снова соответствуют любой из этих политик ID-устройств; в окне «Параметры» пометить почтовый ящик с словами «также применимы к уже установленным устройствам»
Тестирование сценария
Если вы выполнили шаг #8 и перезапустили машину, просто найми диски диска в диспетчере устройств и пойми, что он больше не доступен для использования.
Сценарий #5: предотвращение установки всех USB-устройств, разрешив установку только авторизованного USB-накопителя
Теперь, используя знания из всех предыдущих 4 сценариев, вы узнаете, как предотвратить установку всего класса устройств, разрешив установку единого авторизованного USB-накопителя.
Настройка среды
Настройка среды для сценария с помощью следующих действий:
Откройте редактор групповой политики и перейдите в раздел Ограничение установки устройств.
Отключить все предыдущие политики установки устройств и включить «Применить многоуровневый порядок оценки».
Если есть какие-либо политики с включенной поддержкой, изменение их состояния на «отключено», позволит очистить их от всех параметров.
У вас есть usb-накопитель, доступный для тестирования политики.
Действия сценария — предотвращение установки всех USB-устройств, разрешив только авторизованный USB-накопитель
Получение идентификатора устройства для классов USB и определенного usb-накопителя — следуя шагам в сценарии #1, чтобы найти идентификатор класса и сценарий #4, чтобы найти идентификатор устройства, вы можете получить идентификаторы, необходимые для этого сценария:
Usb Bus Devices (концентраторы и контроллеры узла)
Как упоминалось в #4 сценарии, недостаточно включить только один аппаратный ID, чтобы включить один USB-накопитель. ИТ-администратор должен обеспечить, чтобы все USB-устройства, предшествующие целевому, также не блокировали (разрешены). В нашем случае необходимо разрешить следующие устройства, чтобы можно было разрешить и целевой USB-накопитель:
USB-устройства, вложенные друг под друга в дереве PnP
Эти устройства являются внутренними устройствами на компьютере, которые определяют подключение usb-порта к внешнему миру. Включение их не должно позволять устанавливать на компьютере любое внешнее или периферийное устройство.
Некоторые устройства в системе имеют несколько уровней подключения, чтобы определить их установку в системе. USB-накопители — это такие устройства. Таким образом, при поиске блокировки или допуска их в системе важно понимать путь подключения к каждому устройству. Существует несколько общих ID устройств, которые обычно используются в системах и могут обеспечить хорошее начало создания списка «Разрешить» в таких случаях. Ниже приведен список:
PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST (для контроллеров-хостов)/ USB\ROOT_HUB30; USB\ROOT_HUB20 (для usb Root Hubs)/ USB\USB20_HUB (для универсальных концентраторов USB)/
Специально для настольных компьютеров очень важно перечислить все USB-устройства, которые подключены к клавиатурам и мышам в этом списке. В противном случае пользователь может заблокировать доступ к своей машине с помощью устройств HID.
У различных производителей ПК иногда есть различные способы вложения USB-устройств в дерево PnP, но в целом это делается именно так.
Сначала создайте политику «Предотвратить класс», а затем создайте политику «Разрешить устройство»:
Откройте объектный редактор групповой политики — нажмите кнопку Начните, введите mmc gpedit.msc в поле Начните поиск, а затем нажмите кнопку ENTER; или введите Windows «Редактор групповой политики» и откройте пользовательский интерфейс.
Перейдите на страницу Ограничения установки устройств:
Конфигурация компьютера > административных шаблонов > системных > устройств > установки устройств
Убедитесь, что все политики отключены
Откройте предотвращение установки устройств с помощью драйверов, которые соответствуют политике классов установки устройств, и выберите кнопку «Включить» радио.
В левом нижнем окне «Параметры» нажмите кнопку «Показать. » поле. После этого вы сможете ввести идентификатор класса для блокировки.
Введите GUID обоих классов USB, найденные выше с помощью фигурных скобок:
Нажмите кнопку «Применить» в правом нижнем окне окна политики — это толкает политику и блокирует все будущие установки USB-устройств, но не применяется к существующим установкам.
Предыдущий шаг предотвращает установку всех будущих USB-устройств. Прежде чем перейти к следующему шагу, убедитесь, что у вас есть как можно более полный список всех контроллеров usb host, USB Root Hubs и универсальные usb-концентраторы устройств, доступные для предотвращения блокирования взаимодействия с системой с помощью клавиатур и мышей.
Откройте **** многоуровневый порядок оценки для политики разрешить и предотвратить установку устройств во всех политиках соответствия критериям устройства и включить его — эта политика позволит переопредить широкое освещение политики «Предотвращение» с помощью определенного устройства.
Применение многоуровневого порядка политики оценки
Теперь Откройте разрешить установку устройств, которые соответствуют любой из этих политик ID-устройств и выберите кнопку «Включить» радио.
В левом нижнем окне «Параметры» нажмите кнопку «Показать. » поле. Это позволит вам ввести идентификатор устройства в таблицу.
Введите полный список usb-ID-устройств, найденных выше, включая определенный USB-накопитель, который вы хотите разрешить для установки, — USBSTOR\DiskGeneric_Flash_Disk______8.07
Список разрешенных ID-устройств USB
Нажмите кнопку «Применить» в правом нижнем окне окна политики.
Применение покрытия «Prevent» для всех установленных в **** настоящее время USB-устройств — Откройте установку предотвращения устройств с помощью драйверов, которые снова соответствуют политике классов установки этих устройств; в окне «Параметры» пометить почтовый ящик с словами «также применяться к уже установленным устройствам» и нажмите кнопку «ОК».
Тестирование сценария
Вы не должны быть в состоянии установить какой-либо USB-накопитель, за исключением того, который вы санкционировали для использования