Управление установкой устройств с помощью групповой политики
Используя операционные системы Windows, администраторы могут определить, какие устройства можно установить на компьютерах, которыми они управляют. В этом руководстве приводится сводка процесса установки устройства и демонстрируется несколько методов управления установкой устройства с помощью групповая политика.
Введение
Общее
В этом пошаговом руководстве описывается, как управлять установкой устройств на управляемых компьютерах, включая указание устройств, которые пользователи могут и не могут устанавливать. Это руководство относится ко всем версиям Windows, начиная с Windows 10, версия 1809. Руководство включает в себя следующие сценарии:
- Запретить пользователям устанавливать устройства, которые находятся в списке запрещенных. Если устройство отсутствует в списке, пользователь может установить его.
- Разрешить пользователям устанавливать только устройства, которые находятся в списке утвержденных. Если устройство отсутствует в списке, пользователь не сможет установить его.
В этом руководстве описывается процесс установки устройства и представлены строки идентификации устройств, которые Windows использует для сопоставления устройства с пакетами драйверов устройств, доступными на компьютере. В этом руководстве также иллюстрируются два метода управления установкой устройства. В каждом сценарии показано, шаг за шагом, один метод, который можно использовать, чтобы разрешить или запретить установку определенного устройства или класса устройств.
Примером устройства, используемого в сценариях, является USB-устройство хранения. Действия, описанные в этом руководстве, можно выполнить с помощью другого устройства. Однако если вы используете другое устройство, инструкции в руководстве не будут точно соответствовать пользовательскому интерфейсу, который отображается на компьютере.
Важно понимать, что групповые политики, представленные в этом руководстве, применяются только к компьютерам или группам компьютеров, а не к пользователям или группам пользователей.
Важно.
Действия, описанные в этом руководстве, предназначены для использования в среде лаборатории тестирования. Это пошаговое руководство не предназначено для развертывания компонентов Windows Server без сопроводительной документации и должно использоваться в качестве автономного документа.
Кому следует использовать это руководство?
Это руководство предназначено для следующих аудиторий:
- Специалисты по планированию информационных технологий и аналитики, оценивающие Windows 10, Windows 11 или Windows Server 2022
- Планировщики и дизайнеры корпоративных информационных технологий
- Архитекторы безопасности, отвечающие за реализацию надежных вычислений в своей организации
- Администраторы, которые хотят ознакомиться с технологией
Преимущества управления установкой устройств с помощью групповая политика
Ограничение устройств, которые пользователи могут установить, снижает риск кражи данных и снижает затраты на поддержку.
Снижение риска кражи данных
Пользователям сложнее создавать несанкционированные копии корпоративных данных, если компьютеры пользователей не могут установить неутвержденные устройства, поддерживающие съемные носители. Например, если пользователи не могут установить usb-устройство с большим пальцем, они не смогут скачать копии корпоративных данных на съемный носитель. Это преимущество не может устранить кражу данных, но создает еще один барьер для несанкционированного удаления данных.
Снижение затрат на поддержку
Вы можете убедиться, что пользователи устанавливают только те устройства, которые ваша служба технической поддержки обучена и оснащена для поддержки. Это преимущество сокращает затраты на поддержку и путаницу пользователей.
Обзор сценария
В сценариях, представленных в этом руководстве, показано, как управлять установкой и использованием устройств на управляемых компьютерах. В сценариях используется групповая политика на локальном компьютере, чтобы упростить использование процедур в лабораторной среде. В среде, где вы управляете несколькими клиентскими компьютерами, эти параметры следует применять с помощью групповая политика. С помощью групповая политика, развернутых Active Directory, вы можете применять параметры ко всем компьютерам, которые являются членами домена или подразделения в домене. Дополнительные сведения о создании объекта групповой политики для управления клиентскими компьютерами см. в разделе Создание объекта групповая политика.
Сценарий | Описание |
---|---|
Сценарий 1. Запрет установки всех принтеров | В этом сценарии администратор хочет запретить пользователям устанавливать принтеры. Таким образом, это базовый сценарий, который знакомит вас с функциями "запретить или разрешить" политик установки устройств в групповая политика. |
Сценарий 2. Запрет установки определенного принтера | В этом сценарии администратор разрешает обычным пользователям устанавливать все принтеры, но не позволяет им устанавливать определенный принтер. |
Сценарий 3. Запретить установку всех принтеров, разрешив установку определенного принтера | В этом сценарии вы объединяете все, что вы узнали из сценария 1 и сценария 2. Администратор хочет разрешить стандартным пользователям устанавливать только определенный принтер, запрещая установку всех остальных принтеров. Этот сценарий является более реалистичным и позволяет еще больше понять политики ограничений установки устройств. |
Сценарий 4. Запрет установки определенного USB-устройства | Этот сценарий, хотя и аналогичен сценарию 2, имеет еще один уровень сложности— как работает подключение устройства в дереве PnP. Администратор хочет запретить обычным пользователям устанавливать определенное USB-устройство. К концу сценария вы должны понять, как устройства вложены в слои под деревом подключения устройств PnP. |
Сценарий 5. Запретить установку всех USB-устройств, разрешая установку только авторизованного USB-накопителя | В этом сценарии, объединяя все предыдущие четыре сценария, вы узнаете, как защитить компьютер от всех несанкционированных USB-устройств. Администратор хочет разрешить пользователям устанавливать только небольшой набор авторизованных USB-устройств, предотвращая установку любых других USB-устройств. Кроме того, этот сценарий содержит объяснение того, как применить функцию "запретить" к существующим USB-устройствам, которые уже установлены на компьютере, и администратору нравится предотвращать дальнейшее взаимодействие с ними (блокировка всех вместе). Этот сценарий основан на политиках и структуре, которые мы представили в первых четырех сценариях, поэтому рекомендуется сначала перейти к ним, прежде чем пытаться использовать этот сценарий. |
Обзор технологий
В следующих разделах представлен краткий обзор основных технологий, рассмотренных в этом руководстве, и приведены справочные сведения, необходимые для понимания сценариев.
Установка устройства в Windows
Устройство — это часть оборудования, с которой Windows взаимодействует для выполнения какой-либо функции, или, в более техническом определении, это один экземпляр аппаратного компонента с уникальным представлением в подсистеме Windows Plug and Play. Windows может взаимодействовать с устройством только с помощью программного обеспечения, называемого драйвером устройства (также известным как драйвер). Чтобы установить драйвер, Windows обнаруживает устройство, распознает его тип, а затем находит драйвер, соответствующий его типу.
Когда Windows обнаруживает устройство, которое никогда не было установлено на компьютере, операционная система запрашивает у него список строк идентификации устройства. Устройство обычно имеет несколько строк идентификации устройства, которые назначает производитель устройства. Те же строки идентификации устройства включаются в INF-файл (также известный как INF-файл), который является частью пакета драйвера. Windows выбирает, какой пакет драйвера следует установить, сопоставляя строки идентификации устройства, полученные с устройства, с теми строками, которые включены в пакеты драйверов.
Windows использует четыре типа идентификаторов для управления установкой и настройкой устройства. Вы можете использовать параметры групповая политика в Windows, чтобы указать, какой из этих идентификаторов следует разрешить или заблокировать.
Четыре типа идентификаторов:
- Идентификатор экземпляра устройства
- Идентификатор устройства
- Классы настройки устройства
- Тип устройства "Съемные устройства"
Идентификатор экземпляра устройства
Идентификатор экземпляра устройства — это предоставленная системой строка идентификации устройства, которая однозначно идентифицирует устройство в системе. Диспетчер Plug and Play (PnP) назначает идентификатор экземпляра устройства каждому узлу устройства (devnode) в дереве устройств системы.
Идентификатор устройства
Windows может использовать каждую строку для сопоставления устройства с пакетом драйвера. Строки варьируются от конкретного, соответствующего одной модели и модели устройства, до общего, возможно применяемого ко всему классу устройств. Существует два типа строк идентификации устройств: идентификаторы оборудования и совместимые идентификаторы.
Идентификаторы оборудования
Идентификаторы оборудования — это идентификаторы, которые обеспечивают точное совпадение между устройством и пакетом драйвера. Первая строка в списке идентификаторов оборудования называется идентификатором устройства, так как она соответствует точной модели, модели и редакции устройства. Другие идентификаторы оборудования в списке менее точно соответствуют сведениям об устройстве. Например, идентификатор оборудования может идентифицировать модель и модель устройства, но не конкретную редакцию. Эта схема позволяет Windows использовать драйвер для другой редакции устройства, если драйвер для правильной редакции недоступен.
Совместимые идентификаторы
Windows использует эти идентификаторы для выбора драйвера, если операционная система не может найти совпадение с идентификатором устройства или любым другим идентификатором оборудования. Совместимые идентификаторы перечислены в порядке уменьшения пригодности. Эти строки являются необязательными и, если они предоставляются, являются универсальными, например Disk. При сопоставлении с использованием совместимого идентификатора обычно можно использовать только самые основные функции устройства.
При установке устройства, например принтера, USB-накопителя или клавиатуры, Windows выполняет поиск пакетов драйверов, соответствующих устройству, которое вы пытаетесь установить. Во время этого поиска Windows назначает каждому обнаруженном пакету драйвера "ранг" с по крайней мере одним совпадением с аппаратным или совместимым идентификатором. Ранг указывает, насколько хорошо драйвер соответствует устройству. Более низкие номера ранга указывают на лучшее соответствие между драйвером и устройством. Нулевой ранг представляет собой наилучшее возможное совпадение. Сопоставление с идентификатором устройства с идентификатором в пакете драйвера приводит к более низкому (лучшему) рангу, чем к одному из других идентификаторов оборудования. Аналогичным образом, сопоставление с идентификатором оборудования приводит к лучшему рангу, чем соответствие любому из совместимых идентификаторов. После того как Windows ранжирует все пакеты драйверов, она устанавливает один с самым низким общим рангом. Дополнительные сведения о процессе ранжирования и выбора пакетов драйверов см. в статье Как Windows выбирает пакет драйверов для устройства.
Примечание.
Дополнительные сведения о процессе установки драйвера см. в разделе "Проверка технологий" пошагового руководства по подписи и промежуточному использованию драйверов.
Некоторые физические устройства создают одно или несколько логических устройств при их установке. Каждое логическое устройство может обрабатывать часть функциональных возможностей физического устройства. Например, для многофункционального устройства, например сканера, факса или принтера, может быть другая строка идентификации устройства для каждой функции.
При использовании политик установки устройств для разрешения или запрета установки устройства, использующего логические устройства, необходимо разрешить или запретить все строки идентификации устройства для этого устройства. Например, если пользователь пытается установить многофункциональное устройство и вы не разрешили или не запретили все строки идентификации для физических и логических устройств, вы можете получить непредвиденные результаты при попытке установки. Дополнительные сведения об идентификаторах оборудования см. в разделе Строки идентификации устройств.
Классы настройки устройства
Классы настройки устройства (также известные как Класс) — это еще один тип строки идентификации. Производитель назначает класс устройству в пакете драйвера. Класс группируют устройства, которые установлены и настроены таким же образом. Например, все биометрические устройства относятся к биометрическому классу (ClassGuid = {53D29EF7-377C-4D14-864B-EB3A85769359}) и используют один и тот же совместный установщик при установке. Длинное число, называемое глобально уникальным идентификатором (GUID), представляет каждый класс настройки устройства. При запуске Windows создается древовидная структура в памяти с идентификаторами GUID для всех обнаруженных устройств. Наряду с ИДЕНТИФИКАТОРом GUID для класса самого устройства Windows может потребоваться вставить в дерево GUID класса шины, к которой подключено устройство.
Если вы используете классы устройств, чтобы разрешить или запретить пользователям устанавливать драйверы, необходимо указать идентификаторы GUID для всех классов настройки устройства, иначе вы не можете достичь нужных результатов. Установка может завершиться ошибкой (если вы хотите, чтобы она была успешной) или успешной (если вы хотите, чтобы она завершилась ошибкой).
Например, многофункциональное устройство, например универсальный сканер, факс или принтер, имеет GUID для универсального многофункционального устройства, GUID для функции принтера, GUID для функции сканера и т. д. Идентификаторы GUID для отдельных функций являются "дочерними узлами" под идентификатором GUID многофункционального устройства. Чтобы установить дочерний узел, Windows также должна иметь возможность установки родительского узла. Необходимо разрешить установку класса настройки устройства родительского GUID для многофункционального устройства в дополнение к любым дочерним guid для функций принтера и сканера.
Дополнительные сведения см. в статье Классы установки устройств.
В этом руководстве не описаны сценарии, использующие классы настройки устройств. Однако основные принципы, продемонстрированные со строками идентификации устройств в этом руководстве, также применяются к классам настройки устройства. После обнаружения класса настройки устройства для определенного устройства его можно использовать в политике, чтобы разрешить или запретить установку драйверов для этого класса устройств.
Следующие две ссылки содержат полный список классов настройки устройств. Классы System Use в основном относятся к устройствам, которые поставляются с компьютером или компьютером с фабрики, а классы "Поставщик" в основном относятся к устройствам, которые могут быть подключены к существующему компьютеру или компьютеру:
- Классы установки определяемых системой устройств, доступные поставщикам — драйверы Windows
- Классы установки определяемых системой устройств, зарезервированные для использования системой — драйверы Windows
Тип устройства "Съемные устройства"
Некоторые устройства можно классифицировать как съемные устройства. Устройство считается съемным , если драйвер устройства, к которому оно подключено, указывает, что устройство является съемным. Например, USB-устройство сообщается как съемный драйвер для USB-концентратора, к которому подключено устройство.
Параметры групповая политика для установки устройства
групповая политика — это инфраструктура, которая позволяет задавать управляемые конфигурации для пользователей и компьютеров с помощью групповая политика параметров и групповая политика параметров.
Раздел "Установка устройства" в групповая политика — это набор политик, определяющих, какое устройство можно установить на компьютере. Если вы хотите применить параметры к автономному компьютеру или нескольким компьютерам в домене Active Directory, для настройки и применения параметров политики используйте групповая политика Object Редактор. Дополнительные сведения см. в разделе групповая политика object Редактор.
Ниже приведены краткие описания политик установки устройств, которые используются в этом руководстве.
Примечание.
Элемент управления "Установка устройства" применяется только к компьютерам ("конфигурация компьютера"), а не к пользователям ("конфигурация пользователя") в зависимости от структуры ОС Windows. Эти параметры политики влияют на всех пользователей, которые входят на компьютер, на котором применяются параметры политики. Эти политики нельзя применять к определенным пользователям или группам, за исключением политики Разрешить администраторам переопределять политику установки устройств. Эта политика освобождает членов локальной группы администраторов от любых ограничений на установку устройств, применяемых к компьютеру, путем настройки других параметров политики, как описано в этом разделе.
Разрешить администраторам переопределять политики ограничения установки устройств
Этот параметр политики позволяет членам локальной группы администраторов устанавливать и обновлять драйверы для любого устройства, независимо от других параметров политики. Если этот параметр политики включен, администраторы могут использовать мастер добавления оборудования или мастер обновления драйверов для установки и обновления драйверов для любого устройства. Если этот параметр политики отключен или не настроен, администраторы будут распространяются на все параметры политики, ограничивающие установку устройства.
Разрешить установку устройств, соответствующих любому из этих идентификаторов устройств
Этот параметр политики задает список Plug and Play идентификаторов оборудования и совместимых идентификаторов, описывающих устройства, которые пользователи могут установить. Этот параметр предназначен для использования только в том случае, если параметр политики Запретить установку устройств, не описанных в других параметрах политики, включен и не имеет приоритета над любым параметром политики, который будет препятствовать установке устройства пользователями. Если этот параметр политики включен, пользователи могут установить и обновить любое устройство с помощью идентификатора оборудования или совместимого идентификатора, соответствующего идентификатору в этом списке, если эта установка не была запрещена параметром политики Запретить установку устройств, соответствующих этим идентификаторам устройств, параметр политики Запретить установку устройств для этих классов устройств. или параметр политики Запретить установку съемных устройств. Если другой параметр политики запрещает пользователям устанавливать устройство, пользователи не смогут установить его, даже если устройство также описано значением в этом параметре политики. Если этот параметр политики отключен или не настроен, а устройство не описывается никакой другой политикой, параметр политики Запретить установку устройств, не описанных другими параметрами политики, определяет, могут ли пользователи устанавливать устройство.
Разрешить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств
Этот параметр политики позволяет указать список Plug and Play идентификаторов экземпляров устройств для устройств, которые Windows разрешено устанавливать. Используйте этот параметр политики, только если включен параметр политики "Запретить установку устройств, не описанных другими параметрами политики". Другие параметры политики, которые запрещают установку устройства, имеют приоритет над этим. Если этот параметр политики включен, Windows может устанавливать или обновлять любое устройство, идентификатор экземпляра Plug and Play которого отображается в создаваемом списке, если другой параметр политики специально не запрещает эту установку (например, параметр политики "Запретить установку устройств, соответствующих любому из этих идентификаторов устройств", параметр политики "Запретить установку устройств для этих классов устройств", параметр политики "Запретить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств" или параметр политики "Запретить установку съемных устройств"). Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов.
Разрешить установку устройств с помощью драйверов, соответствующих этим классам установки устройств
Этот параметр политики указывает список идентификаторов GUID класса установки устройств, описывающих устройства, которые пользователи могут устанавливать. Этот параметр предназначен для использования только в том случае, если параметр политики Запретить установку устройств, не описанных в других параметрах политики, включен и не имеет приоритета над любым параметром политики, который будет препятствовать установке устройства пользователями. Если этот параметр включен, пользователи могут установить и обновить любое устройство с помощью идентификатора оборудования или совместимого идентификатора, соответствующего одному из идентификаторов в этом списке, если эта установка не была запрещена параметром политики Запретить установку устройств, соответствующих этим идентификаторам устройств, параметр политики Запретить установку устройств для этих классов устройств. или параметр политики Запретить установку съемных устройств. Если другой параметр политики запрещает пользователям устанавливать устройство, пользователи не смогут установить его, даже если устройство также описано значением в этом параметре политики. Если этот параметр политики отключен или не настроен, а ни один другой параметр политики не описывает устройство, параметр политики Запретить установку устройств, не описанных в других параметрах политики, определяет, могут ли пользователи устанавливать устройство.
Запретить установку устройств, соответствующих этим идентификаторам устройств
Этот параметр политики указывает список Plug and Play идентификаторов оборудования и совместимых идентификаторов для устройств, которые пользователи не могут установить. Если этот параметр политики включен, пользователи не смогут установить или обновить драйвер для устройства, если его идентификатор оборудования или идентификатор совместимости совпадает с идентификатором в этом списке. Если этот параметр политики отключен или не настроен, пользователи могут устанавливать устройства и обновлять драйверы, как это разрешено другими параметрами политики для установки устройств. Примечание. Этот параметр политики имеет приоритет над любыми другими параметрами политики, которые позволяют пользователям устанавливать устройство. Этот параметр политики запрещает пользователям устанавливать устройство, даже если он соответствует другому параметру политики, разрешающем установку этого устройства.
Запретить установку устройств, соответствующих любому из этих идентификаторов экземпляров устройств
Этот параметр политики позволяет указать список Plug and Play идентификаторов экземпляров устройств для устройств, которые Windows не может установить. Этот параметр политики имеет приоритет над любым другим параметром политики, который позволяет Windows устанавливать устройство. Если этот параметр политики включен, Windows не будет устанавливать устройство, идентификатор экземпляра которого отображается в создаваемом списке. Если этот параметр политики включен на сервере удаленных рабочих столов, он влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленных рабочих столов. Если этот параметр политики отключен или не настроен, устройства могут быть установлены и обновлены, как разрешено или запрещено другими параметрами политики.
Запретить установку устройств с помощью драйверов, соответствующих этим классам установки устройств
Этот параметр политики задает список идентификаторов GUID класса установки устройств Plug and Play для устройств, которые пользователи не могут установить. Если этот параметр политики включен, пользователи не смогут устанавливать или обновлять устройства, принадлежащие ни к одному из перечисленных классов установки устройств. Если этот параметр политики отключен или не настроен, пользователи могут устанавливать и обновлять устройства, как это разрешено другими параметрами политики для установки устройств. Примечание. Этот параметр политики имеет приоритет над любыми другими параметрами политики, которые позволяют пользователям устанавливать устройство. Этот параметр политики запрещает пользователям устанавливать устройство, даже если он соответствует другому параметру политики, разрешающем установку этого устройства.
Применение многоуровневого порядка оценки для политик разрешить и запретить установку устройств по всем критериям соответствия устройств
Этот параметр политики изменяет порядок оценки, в котором применяются параметры политики "Разрешить" и "Запретить", если для данного устройства применяется несколько параметров политики установки. Включите этот параметр политики, чтобы обеспечить применение перекрывающихся условий соответствия устройств на основе установленной иерархии, где более конкретные критерии соответствия заменяют менее конкретные критерии соответствия. Иерархический порядок оценки параметров политики, определяющих критерии соответствия устройств, выглядит следующим образом:
Идентификаторы экземпляров> устройствИдентификаторы> устройствКласс> настройки устройстваСъемные устройства
Примечание.
Этот параметр политики обеспечивает более детализированное управление, чем параметр политики "Запретить установку устройств, не описанных другими параметрами политики". Если эти конфликтующие параметры политики включены одновременно, будет включен параметр политики "Применить многоуровневый порядок оценки для разрешить и запретить установку устройств по всем критериям соответствия устройств" будет включен, а другой параметр политики будет игнорироваться.
Если этот параметр политики отключен или не настроен, используется оценка по умолчанию. По умолчанию все "Запретить установку..." Параметры политики имеют приоритет над любым другим параметром политики, который позволяет Windows устанавливать устройство.
Некоторые из этих политик имеют приоритет над другими политиками. На следующей блок-схеме показано, как Windows обрабатывает их, чтобы определить, может ли пользователь установить устройство.
Блок-схема политик установки устройств
Требования для выполнения сценариев
Общее
Чтобы выполнить каждый из сценариев, убедитесь, что у вас есть:
- Клиентский компьютер под управлением Windows.
- USB-накопитель для большого пальца. В сценариях, описанных в этом руководстве, в качестве примера устройства используется USB-накопитель (также известный как "съемный диск", "диск памяти", "флэш-накопитель" или "накопитель для ключей"). Большинству USB-накопителей не требуются драйверы, предоставляемые производителем, и эти устройства работают с драйверами папки "Входящие", предоставляемыми сборкой Windows.
- Usb/сетевой принтер, предварительно установленный на компьютере.
- Доступ к учетной записи администратора на тестовом компьютере. Процедуры, описанные в этом руководстве, требуют прав администратора для большинства шагов.
Общие сведения о последствиях применения ретроактивных политик Prevent
Все политики Prevent могут применять функциональность блока к уже установленным устройствам-устройствам, установленным на компьютере до того, как политика вступила в силу. Этот параметр рекомендуется использовать, если администратор не уверен в журнале установки устройств на компьютере и хочет убедиться, что политика применяется ко всем устройствам.
Например: принтер уже установлен на компьютере, что предотвращает установку всех принтеров, что блокирует установку любого принтера в будущем, сохраняя при этом только установленный принтер пригодным для использования. Чтобы применить блок задним числом, администратор должен проверка пометить параметр "Применить эту политику к уже установленным устройствам". Маркировка этого параметра будет препятствовать доступу к уже установленным устройствам в дополнение к любым из будущих устройств.
Этот вариант является мощным инструментом, но, как таковой, его необходимо использовать тщательно.
Важно.
Применение параметра "Предотвратить обратную реакцию" к важным устройствам может сделать машину бесполезной или неприемлемой! Например, запретить задним числом всех дисков может заблокировать доступ к диску, с которого загружается ОС; Предотвращение обратной активности всех "Net" может заблокировать этот компьютер от доступа к сети и, чтобы устранить проблему, администратор должен иметь прямое подключение.
Определение строк идентификации устройства
Выполнив эти действия, можно определить строки идентификации устройства для устройства. Если идентификаторы оборудования и совместимые идентификаторы для устройства не соответствуют идентификаторам, указанным в этом руководстве, используйте идентификаторы, соответствующие вашему устройству (эта политика относится к идентификаторам экземпляров и классам, но мы не собираемся привести пример для них в этом руководстве).
Идентификаторы оборудования и совместимые идентификаторы для устройства можно определить двумя способами. Вы можете использовать диспетчер устройств, графическое средство, входящее в состав операционной системы, или PnPUtil, средство командной строки, доступное для всех версий Windows. Используйте следующую процедуру, чтобы просмотреть строки идентификации устройства для устройства.
Примечание.
Эти процедуры относятся к принтеру Canon. Если вы используете устройство другого типа, необходимо соответствующим образом настроить шаги. Существенным отличием будет расположение устройства в иерархии диспетчер устройств. Вместо того чтобы находиться в узле Принтеры, необходимо найти устройство в соответствующем узле.
Поиск строк идентификации устройств с помощью диспетчер устройств
Убедитесь, что принтер подключен и установлен.
Чтобы открыть диспетчер устройств, нажмите кнопку Пуск, введите mmc devmgmt.msc в поле Начать поиск, а затем нажмите клавишу ВВОД или найдите диспетчер устройств как приложение.
диспетчер устройств запускается и отображает дерево, представляющее все устройства, обнаруженные на компьютере. В верхней части дерева находится узел с именем компьютера рядом с ним. Нижние узлы представляют различные категории оборудования, в которые группируются устройства компьютеров.
Найдите раздел "Принтеры" и целевой принтер
Выбор принтера в диспетчер устройствДважды щелкните принтер и перейдите на вкладку "Сведения".
Откройте вкладку "Сведения", чтобы найти идентификаторы устройств.В окне "Значение" скопируйте наиболее подробный идентификатор оборудования. Это значение будет использоваться в политиках.
HWID и совместимый идентификаторСовет
Вы также можете определить строки идентификации устройства с помощью программы командной строки PnPUtil. Дополнительные сведения см. в разделе PnPUtil — драйверы Windows.
Получение идентификаторов устройств с помощью PnPUtil
pnputil /enum-devices /ids
Ниже приведен пример выходных данных для одного устройства на компьютере:
<snip>
Instance ID: PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02\3&103a9d54&0&81
Device Description: Intel(R) Xeon(R) E7 v3/Xeon(R) E5 v3/Core i7 PCIe Ring Interface - 2F34
Class Name: System
Class GUID: {4d36e97d-e325-11ce-bfc1-08002be10318}
Manufacturer Name: INTEL
Status: Stopped
Driver Name: oem6.inf
Hardware IDs: PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02
PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086
PCI\VEN_8086&DEV_2F34&CC_110100
PCI\VEN_8086&DEV_2F34&CC_1101
Compatible IDs: PCI\VEN_8086&DEV_2F34&REV_02
PCI\VEN_8086&DEV_2F34
PCI\VEN_8086&CC_110100
PCI\VEN_8086&CC_1101
PCI\VEN_8086
PCI\CC_110100
PCI\CC_1101
<snip>
Сценарий 1. Запрет установки всех принтеров
В этом простом сценарии вы узнаете, как предотвратить установку всего класса устройств.
Настройка среды
Настройте среду для сценария, выполнив следующие действия.
Откройте групповая политика Редактор и перейдите в раздел Ограничение установки устройства.
Отключите все предыдущие политики установки устройств, кроме "Применить многоуровневый порядок оценки". Хотя политика отключена по умолчанию, эту политику рекомендуется включить в большинстве практических приложений.
Если есть какие-либо включенные политики, изменение их состояния на "отключено", очистит их от всех параметров.
Наличие USB-принтера или сетевого принтера для проверки политики с помощью
Этапы сценария: предотвращение установки запрещенных устройств
Получение правильного идентификатора устройства, чтобы предотвратить его установку:
Если в вашей системе есть устройство из класса, который вы хотите заблокировать, вы можете выполнить действия, описанные в предыдущем разделе, чтобы найти идентификатор класса устройства с помощью диспетчер устройств или PnPUtil (GUID класса).
Если такое устройство не установлено в вашей системе или вы знаете имя класса, вы можете проверка по следующим двум ссылкам:
В нашем текущем сценарии основное внимание уделяется предотвращению установки всех принтеров. Вот идентификатор GUID класса для большинства принтеров на рынке:
Printers
Класс = Принтер
ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
Этот класс включает принтеры.Примечание.
Как упоминалось ранее, запрет всего класса может полностью заблокировать использование системы. Убедитесь, что вы понимаете, какие устройства будут заблокированы при указании класса. В нашем сценарии существуют и другие классы, относящиеся к принтерам, но перед их применением убедитесь, что они не блокируют любое другое существующее устройство, которое имеет решающее значение для вашей системы.
Создайте политику, чтобы предотвратить установку всех принтеров:
Откройте групповая политика объект Редактор нажмите кнопку Пуск, введите mmc gpedit.msc в поле Начать поиск, а затем нажмите клавишу ВВОД или введите в поиске Windows "групповая политика Редактор" и откройте пользовательский интерфейс.
Перейдите на страницу Ограничение установки устройства:
Административные шаблоны Конфигурации > компьютера Ограничения установки устройства для установки > устройства >>
Убедитесь, что все политики отключены (рекомендуется, чтобы политика "примененный многоуровневый порядок оценки" включена).
Откройте Параметр Запретить установку устройств с помощью драйверов, соответствующих этой политике классов установки устройств , и установите переключатель Включить.
В левой нижней части окна "Параметры" щелкните "Показать..." Коробка. Этот параметр позволяет перейти к таблице, в которой можно ввести идентификатор класса для блокировки.
Введите идентификатор GUID класса принтера, который вы нашли с фигурными скобками:
{4d36e979-e325-11ce-bfc1-08002be10318}
.
Список идентификаторов GUID класса preventНажмите кнопку "ОК".
Нажмите кнопку "Применить" в правом нижнем углу окна политики. Этот параметр отправляет политику и блокирует все будущие установки принтера, но не применяется к существующим установкам.
Необязательно, если вы хотите применить политику к существующим установкам: снова откройте политику Запретить установку устройств с помощью драйверов, соответствующих этим классам установки устройств ; В окне "Параметры" установите флажок "Также применять к соответствующим устройствам, которые уже установлены".
Важно.
Использование политики Предотвращения (как в сценарии 1 выше) и ее применение ко всем ранее установленным устройствам (см. шаг 9) может привести к тому, что критически важные устройства будут непригодными для использования. поэтому используйте с осторожностью. Например, если ИТ-администратор хочет предотвратить установку всех съемных запоминающих устройств на компьютере, использование класса "Диск" для блокировки и применения обратной силы может привести к тому, что внутренний жесткий диск будет непригодным для использования и привести к поломке компьютера.
Сценарий тестирования 1
Если вы еще не выполнили шаг 9, выполните следующие действия.
- Удаление принтера: диспетчер устройств > Принтеры > щелкните правой кнопкой мыши пункт Принтер > Canon выберите "Удалить устройство".
- Для USB-принтера отсоедините и подключите кабель; для сетевого устройства — выполните поиск принтера в приложении "Параметры Windows".
- Вы не сможете переустановить принтер.
Если вы выполнили шаг 9 выше и перезагрузили компьютер, найдите принтер в разделе диспетчер устройств или в приложении "Параметры Windows" и убедитесь, что он больше недоступен для использования.
Сценарий 2. Запрет установки определенного принтера
Этот сценарий основан на сценарии 1 Запретить установку всех принтеров. В этом сценарии требуется конкретный принтер, чтобы предотвратить установку на компьютере.
Настройка среды
Настройте среду для сценария, выполнив следующие действия.
Откройте групповая политика Редактор и перейдите в раздел Ограничение установки устройства.
Убедитесь, что все предыдущие политики установки устройств отключены, кроме "Применить многоуровневый порядок оценки" (это необязательное условие для включения и выключения в этом сценарии). Хотя политика отключена по умолчанию, ее рекомендуется включать в большинстве практических приложений. Для сценария 2 это необязательно.
Этапы сценария: предотвращение установки определенного устройства
Получение правильного идентификатора устройства, чтобы предотвратить его установку:
Получите идентификатор оборудования принтера. В этом примере мы будем использовать идентификатор, найденный ранее.
Идентификатор оборудования принтераЗапишите идентификатор устройства (в данном случае идентификатор оборудования):
WSDPRINT\CanonMX920_seriesC1A0;
. Возьмите более конкретный идентификатор, чтобы убедиться, что вы блокируете конкретный принтер, а не семейство принтеров.
Создайте политику, чтобы предотвратить установку одного принтера:
Откройте Редактор объекта групповая политика.
Перейдите на страницу Ограничение установки устройства:
Административные шаблоны Конфигурации > компьютера Ограничения установки устройства для установки > устройства >>
Выберите Запретить установку устройств, соответствующих любой из этих политик идентификаторов устройств , и установите переключатель "Включить".
В левой нижней части окна "Параметры" щелкните "Показать..." Коробка. Этот параметр приведет к таблице, где можно ввести идентификатор устройства для блокировки.
Введите идентификатор устройства принтера, который вы нашли выше:
WSDPRINT\CanonMX920_seriesC1A0
.
Запретить список идентификаторов устройствНажмите кнопку "ОК".
Нажмите кнопку "Применить" в правом нижнем углу окна политики. Этот параметр отправляет политику и блокирует целевой принтер в будущих установках, но не применяется к существующей установке.
При необходимости, если вы хотите применить политику к существующей установке, снова откройте политику Запретить установку устройств, соответствующих любому из этих идентификаторов устройств . В окне "Параметры" установите флажок "Также применять к соответствующим устройствам, которые уже установлены".
Сценарий тестирования 2
Если вы выполнили шаг 8 выше и перезапустили компьютер, найдите принтер в разделе диспетчер устройств или в приложении "Параметры Windows" и убедитесь, что он больше недоступен для использования.
Если вы еще не выполнили шаг 8, выполните следующие действия.
Удаление принтера: диспетчер устройств > Принтеры > щелкните правой кнопкой мыши пункт Принтер > Canon выберите "Удалить устройство".
Для USB-принтера отключите и подключите кабель; для сетевого устройства выполните поиск принтера в приложении "Параметры Windows".
Вы не сможете переустановить принтер.
Сценарий 3. Запретить установку всех принтеров, разрешив установку определенного принтера
Теперь, используя знания из обоих предыдущих сценариев, вы узнаете, как предотвратить установку всего класса устройств, разрешив установку одного принтера.
Настройка среды
Настройте среду для сценария, выполнив следующие действия.
Откройте групповая политика Редактор и перейдите в раздел Ограничение установки устройства.
Отключите все предыдущие политики установки устройств и включите параметр Применить многоуровневый порядок оценки.
Если есть какие-либо включенные политики, изменение их состояния на "отключено", очистит их от всех параметров.
У вас есть USB-принтер или сетевой принтер для проверки политики.
Этапы сценария: предотвращение установки всего класса с разрешением конкретного принтера
Получение идентификатора устройства как для класса принтера, так и для конкретного принтера, следуя инструкциям в сценарии 1 для поиска идентификатора класса и сценарии 2, чтобы найти идентификатор устройства, вы можете получить идентификаторы, необходимые для этого сценария:
- ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
- Идентификатор оборудования = WSDPRINT\CanonMX920_seriesC1A0
Сначала создайте политику "Запретить класс", а затем создайте политику "Разрешить устройство".
Откройте групповая политика объект Редактор нажмите кнопку Пуск, введите mmc gpedit.msc в поле Начать поиск, а затем нажмите клавишу ВВОД или введите в поиске Windows "групповая политика Редактор" и откройте пользовательский интерфейс.
Перейдите на страницу Ограничение установки устройства:
Административные шаблоны Конфигурации > компьютера Ограничения установки устройства для установки > устройства >>
Убедитесь, что все политики отключены
Откройте Параметр Запретить установку устройств с помощью драйверов, соответствующих этой политике классов установки устройств , и установите переключатель Включить.
В левой нижней части окна "Параметры" щелкните "Показать..." Коробка. Этот параметр приведет к таблице, в которой можно ввести идентификатор класса для блокировки.
Введите guid класса принтера, который вы нашли выше, с фигурными скобками (это важно! В противном случае это не будет работать): {4d36e979-e325-11ce-bfc1-08002be10318}
Список идентификаторов GUID класса preventНажмите кнопку "ОК".
Нажмите кнопку "Применить" в правом нижнем углу окна политики. Этот параметр отправляет политику и блокирует все будущие установки принтера, но не применяется к существующим установкам.
Чтобы завершить охват всех будущих и существующих принтеров, снова откройте политику Запретить установку устройств с помощью драйверов, соответствующих этим классам настройки устройств . В окне "Параметры" установите флажок "Также применять к соответствующим устройствам, которые уже установлены" и нажмите кнопку "ОК".
Откройте политику Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств во всех критериях соответствия устройств и включите ее. Эта политика позволит переопределить широкий охват политики "Запретить" с конкретным устройством.
Теперь откройте параметр Разрешить установку устройств, соответствующих любой из этих политик идентификаторов устройств , и нажмите переключатель Включить.
В левой нижней части окна "Параметры" щелкните "Показать..." Коробка. Этот параметр приведет к таблице, в которой можно ввести идентификатор устройства, который нужно разрешить.
Введите идентификатор устройства принтера, который вы нашли ранее: WSDPRINT\CanonMX920_seriesC1A0.
Разрешить идентификатор оборудования принтераНажмите кнопку "ОК".
Нажмите кнопку "Применить" в правом нижнем углу окна политики. Этот параметр отправляет политику и позволяет установить целевой принтер (или сохранить его).
Сценарий тестирования 3
Найдите принтер в разделе диспетчер устройств или приложении "Параметры Windows" и убедитесь, что он по-прежнему доступен. Или просто распечатать тестовый документ.
Назад к групповая политика Редактор отключите параметр Применить многоуровневый порядок оценки для политики разрешить и запретить установку устройств во всех политиках соответствия требованиям устройств и снова протестируйте принтер . Вы не должны печатать что-либо или иметь доступ к принтеру вообще.
Сценарий 4. Запрет установки определенного USB-устройства
Сценарий основан на знаниях из сценария 2 Запретить установку определенного принтера. В этом сценарии вы получите представление о том, как некоторые устройства встроены в дерево устройств PnP (Plug and Play).
Настройка среды
Настройте среду для сценария, выполнив следующие действия.
Откройте групповая политика Редактор и перейдите в раздел Ограничение установки устройства.
Убедитесь, что все предыдущие политики установки устройств отключены, кроме "Применить многоуровневый порядок оценки". Это необязательное условие для включения и выключения этого сценария. Хотя политика отключена по умолчанию, ее рекомендуется включать в большинстве практических приложений.
Этапы сценария: предотвращение установки определенного устройства
Получение правильного идентификатора устройства, чтобы предотвратить его установку, и его расположение в дереве PnP:
Подключение USB-накопителя большого пальца к компьютеру
Открытие диспетчера устройств
Найдите USB-накопитель и выберите его.
Выбор usb-накопителя в диспетчер устройствИзмените вид (в верхнем меню) на "Устройства по подключениям". Это представление представляет способ установки устройств в дереве PnP.
Изменение представления в диспетчер устройств для просмотра дерева подключения PnPПримечание.
При блокировке или запрете устройства, которое находится выше в дереве PnP, все устройства, которые находятся под ним, будут заблокированы. Например, если невозможно установить универсальный USB-концентратор, все устройства, которые лежат под универсальным USB-концентратором, будут заблокированы.
При блокировке одного устройства все устройства, вложенные под ним, также будут заблокированы.Дважды щелкните USB-накопитель и перейдите на вкладку "Сведения".
В окне "Значение" скопируйте наиболее подробный идентификатор оборудования. Это значение будет использоваться в политиках. В этом случае идентификатор устройства = USBSTOR\DiskGeneric_Flash_Disk______8.07
Идентификаторы оборудования USB-устройства
Создайте политику, чтобы предотвратить установку одного USB-накопителя:
Откройте групповая политика объект Редактор и нажмите кнопку Пуск, введите mmc gpedit.msc в поле Начать поиск, а затем нажмите клавишу ВВОД или введите в поле поиска Windows "групповая политика Редактор" и откройте пользовательский интерфейс.
Перейдите на страницу Ограничение установки устройства:
Административные шаблоны Конфигурации > компьютера Ограничения установки устройства для установки > устройства >>
Выберите Запретить установку устройств, соответствующих любой из этих политик идентификаторов устройств , и установите переключатель "Включить".
В левой нижней части окна "Параметры" щелкните поле "Показать". Этот параметр приведет к таблице, где можно ввести идентификатор устройства для блокировки.
Введите идентификатор устройства usb thumb-drive, который вы нашли выше
USBSTOR\DiskGeneric_Flash_Disk______8.07
.
Запретить список идентификаторов устройствНажмите кнопку "ОК".
Нажмите кнопку "Применить" в правом нижнем углу окна политики. Этот параметр отправляет политику и блокирует целевой USB-накопитель в будущих установках, но не применяется к существующей установке.
Необязательно. Если вы хотите применить политику к существующей установке, снова откройте политику Запретить установку устройств, соответствующих любому из этих идентификаторов устройств . В окне "Параметры" установите флажок "Также применять к соответствующим устройствам, которые уже установлены".
Сценарий тестирования 4
Если вы еще не выполнили шаг 8, выполните следующие действия.
- Удалите USB-накопитель: диспетчер устройств > Дисководы > щелкните правой кнопкой мыши целевой USB-накопитель>, щелкните "Удалить устройство".
- Вы не сможете переустановить устройство.
Если вы выполнили шаг 8 выше и перезагрузили компьютер, найдите дисковые диски в разделе диспетчер устройств и убедитесь, что они больше не доступны для использования.
Сценарий 5. Запретить установку всех USB-устройств, разрешая установку только авторизованного USB-накопителя
Теперь, используя знания из всех предыдущих четырех сценариев, вы узнаете, как предотвратить установку всего класса устройств, разрешив установку одного авторизованного USB-накопителя.
Настройка среды
Настройте среду для сценария, выполнив следующие действия.
Откройте групповая политика Редактор и перейдите в раздел Ограничение установки устройства.
Отключите все предыдущие политики установки устройств и включите параметр Применить многоуровневый порядок оценки.
Если есть какие-либо включенные политики, изменение их состояния на "отключено", очистит их от всех параметров.
У вас есть USB-накопитель для проверки политики.
Этапы сценария: предотвращение установки всех USB-устройств, разрешая только авторизованный USB-накопитель
Получите идентификатор устройства для классов USB и конкретного USB-накопителя и выполните действия, описанные в сценарии 1, чтобы найти идентификатор класса и сценарий 4, чтобы найти идентификатор устройства, который вы можете получить идентификаторы, необходимые для этого сценария:
Устройства шины USB (концентраторы и контроллеры узлов)
- Класс = USB
- ClassGuid = {36fc9e60-c465-11cf-8056-444553540000}
- К этому классу относятся контроллеры узлов USB и USB-концентраторы, но не периферийные устройства USB. Драйверы для этого класса предоставляются системой.
USB-устройство
- Class = USBDevice
- ClassGuid = {88BAE032-5A81-49f0-BC3D-A4FF138216D6}
- USBDevice включает все USB-устройства, которые не относятся к другому классу. Этот класс не используется для контроллеров и концентраторов USB-узлов.
Идентификатор оборудования = USBSTOR\DiskGeneric_Flash_Disk______8.07
Как упоминалось в сценарии 4, недостаточно включить только один идентификатор оборудования, чтобы включить один USB-накопитель. ИТ-администратор должен убедиться, что все USB-устройства, предшествующие целевому, также не заблокированы (разрешены). В нашем случае должны быть разрешены следующие устройства, чтобы также можно было разрешить целевой USB-накопитель:
- "Intel(R) USB 3.0 eXtensible Host Controller - 1.0 (Microsoft)" -> PCI\CC_0C03
- "Корневой концентратор USB (USB 3.0)" -> USB\ROOT_HUB30
- "Универсальный USB-концентратор" —> USB\USB20_HUB
USB-устройства, вложенные друг под другом в дереве PnP
Эти устройства являются внутренними устройствами на компьютере, которые определяют подключение USB-порта к внешнему миру. Их включение не должно включать установку на компьютере каких-либо внешних или периферийных устройств.
Важно.
Некоторые устройства в системе имеют несколько уровней подключения для определения их установки в системе. USB-накопители являются такими устройствами. Таким образом, если вы хотите заблокировать или разрешить их в системе, важно понимать путь подключения для каждого устройства. Существует несколько универсальных идентификаторов устройств, которые обычно используются в системах и в таких случаях могут обеспечить хорошее начало создания списка разрешений. Список см. ниже.
PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST (для контроллеров узла)/USB\ROOT_HUB30; USB\ROOT_HUB20 (для корневых концентраторов USB)/ USB\USB20_HUB (для универсальных USB-концентраторов)/
Особенно для настольных компьютеров очень важно перечислить все USB-устройства, через которые подключены клавиатуры и мыши, в приведенном выше списке. В противном случае пользователь может заблокировать доступ к компьютеру через устройства HID.
Разные производители ПК иногда имеют разные способы вложить USB-устройства в дерево PnP, но в целом это так.
Сначала создайте политику "Запретить класс", а затем создайте политику "Разрешить устройство".
Откройте групповая политика Объект Редактор: нажмите кнопку Пуск, введите mmc gpedit.msc в поле Начать поиск, а затем нажмите клавишу ВВОД или введите в поле поиска Windows "групповая политика Редактор" и откройте пользовательский интерфейс.
Перейдите на страницу Ограничение установки устройства:
Административные шаблоны Конфигурации > компьютера Ограничения установки устройства для установки > устройства >>
Убедитесь, что все политики отключены
Откройте Параметр Запретить установку устройств с помощью драйверов, соответствующих этой политике классов установки устройств , и установите переключатель Включить.
В левой нижней части окна "Параметры" щелкните "Показать..." Коробка. Этот параметр приведет к таблице, в которой можно ввести идентификатор класса для блокировки.
Введите идентификаторы GUID обоих КЛАССОВ USB, которые вы нашли выше, с фигурными скобками:
{36fc9e60-c465-11cf-8056-444553540000}/ {88BAE032-5A81-49f0-BC3D-A4FF138216D6}
Нажмите кнопку "ОК".
Нажмите кнопку "Применить" в правом нижнем углу окна политики. Этот параметр отправляет политику и блокирует все будущие установки USB-устройств, но не применяется к существующим установкам.
Важно.
Предыдущий шаг предотвращает установку всех будущих USB-устройств. Прежде чем переходить к следующему шагу, убедитесь, что у вас есть как можно более полный список всех доступных контроллеров узлов USB, корневых USB-концентраторов и универсальных идентификаторов устройств USB Hubs, чтобы предотвратить блокировку взаимодействия с системой с помощью клавиатур и мыши.
Откройте политику Применить многоуровневый порядок оценки для политик разрешить и запретить установку устройств для всех условий соответствия устройств и включите ее. Эта политика позволит переопределить широкий охват политики "Запретить" определенным устройством.
Применение многоуровневого порядка политики оценкиТеперь откройте параметр Разрешить установку устройств, соответствующих любой из этих политик идентификаторов устройств , и нажмите переключатель Включить.
В левой нижней части окна "Параметры" щелкните "Показать..." Коробка. Этот параметр приведет к таблице, в которой можно ввести идентификатор устройства, который нужно разрешить.
Введите полный список идентификаторов USB-устройств, которые вы нашли выше, включая конкретный USB-накопитель, который вы хотите авторизовать для установки
USBSTOR\DiskGeneric_Flash_Disk______8.07
.
Список разрешенных идентификаторов USB-устройствНажмите кнопку "ОК".
Нажмите кнопку "Применить" в правом нижнем углу окна политики.
Чтобы применить охват "Запретить" для всех установленных в настоящее время USB-устройств, снова откройте политику Запретить установку устройств с помощью драйверов, соответствующих этим классам установки устройств . В окне "Параметры" установите флажок "Также применять к соответствующим устройствам, которые уже установлены" и нажмите кнопку "ОК".
Сценарий тестирования 5
Вы не должны иметь возможности установить usb-накопитель, кроме того, который вы авторизованы для использования.