管理 Surface 设备上的 USB 端口
由于 Surface 设备上默认启用 USB 端口功能,许多具有 Surface UEFI 的设备允许管理员关闭与 USB 端口的连接。 例如,你可能希望阻止用户从 U 盘或外部硬盘复制数据。
必备条件
在开始本文中所述的过程之前,请先熟悉以下技术和工具:
- Surface IT 工具包 可从 Surface Tools for IT 下载。
- Surface UEFI
- Surface 企业管理模式 (SEMM)
- PowerShell 脚本编写
- 使用Configuration Manager部署应用程序
入门
该过程由以下部分组成:
招生: 使用 Surface UEFI 配置器将 Surface 设备和停靠注册到 SEMM,如使用 SEMM 保护 Surface 扩展坞端口中所述。 支持的扩展坞包括 Surface Dock 2 和 Surface Thunderbolt 4 扩展坞。 此工作流的关键是,每当设备与授权的 Surface Dock 断开连接时,能够关闭 USB-C 数据、以太网数据和 USB-C 音频,例如,在处理高度敏感信息的工作区环境中。
客户端配置:在面向管理的所有 Surface 设备上安装可从 Surface IT 工具包库获取的 UEFI 管理器。
PowerShell 脚本: 转到 Surface IT 工具包 ,下载并修改适合你的环境的 PowerShell 脚本。 按照使用 Microsoft Configuration Manager 通过 SEMM 管理设备中的说明,使用 Microsoft Configuration Manager 将脚本 (部署为应用程序 ) 目标设备。
有关使用指南,请参阅嵌入的注释。 有关定义和先决条件,请参阅 附录:SEMM PowerShell 脚本技术参考 。
管理 USB-A 端口
对于支持 USB-2 和 USB-3 的 USB-A 端口,可以从 USB 控制器关闭 USB 数据协议,以防止所有功能。
精细的 USB-C 禁用
使用 USB-C 端口对 DisplayPort 和 USB 电源传送的支持来管理 USB-C 端口提供了除关闭所有功能之外的更多选项。 例如,可以阻止数据连接来阻止用户从 USB 存储复制数据,但保留通过 USB-C 扩展坞扩展显示器和为设备充电的功能。
从 Surface Pro 8、Surface Laptop Studio 和 Surface Go 3 开始,可通过 SEMM PowerShell 脚本使用精细的 USB-C 管理选项。
转到 适用于 IT 的 Surface 工具 并下载 SEMM_PowerShell.zip。
如果还没有自己的证书,可以通过相应的示例脚本获取证书,如本页 的附录 中所述。
注意
将证书保存在安全的位置,并确保它们已正确备份。 如果没有它们,就不可能重置 Surface UEFI、更改托管的 Surface UEFI 设置或从已注册的 Surface 设备中删除 SEMM。
动态 USB-C 禁用
动态 USB-C 禁用使在高度安全的环境中运营的客户能够防止通过 USB 进行未经授权的数据传输,从而为组织提供更多的控制。 与 Surface Thunderbolt 4 扩展坞配对时,每当符合条件的 Surface 设备被取消停靠或连接到未经授权的扩展坞时,IT 管理员可以锁定 USB-C 端口。
提示
此功能在 Surface Pro 10、Surface Laptop 6 和 Surface Laptop Studio 2 上可用。
在此方案中,当用户连接到办公室的授权扩展坞时,USB-C 端口将通过其设备提供完整功能。 但是,当他们离开现场时,他们仍然可以连接到扩展坞以使用配件或监视器,但不能使用 USB 端口传输数据。
除了现有的操作模式外,动态 USB-C 禁用功能使 IT 管理员能够更灵活地使用新的“模式 3”管理设备:
模式 0 (默认模式) : 未配置 SEMM 时的默认模式。
模式 1 (数据禁用) : USB-C 和以太网数据处于禁用状态。 也禁用通过 USB-C 的音频。 显示出来并启用电源功能。
模式 2 (完全禁用) : USB-C 和以太网数据处于禁用状态。 也禁用通过 USB-C 的音频。 显示出来,电源功能已禁用。
模式 3 (USB 端口身份验证) 也称为动态 USB-C 禁用。 仅当设备连接到授权的 Surface Thunderbolt 4 扩展坞时,USB-C 数据、以太网数据、USB-C 音频、显示输出和电源才可正常工作。 如果连接到未经授权的扩展坞,则仅显示,并且 Power 函数将正常工作。
使用 Surface IT Toolkit 管理 USB-C 端口
现在,可以通过以下方法之一跨所有模式管理 USB-C 端口:
- Surface IT 工具包中包含的新 UEFI 配置器提供 UI 支持,无需使用 PowerShell 脚本即可配置端口。
- PowerShell 脚本,如本文所述。
目标行为
| 主机 USB 端口状态 | 启用 | 数据禁用 | 硬件已禁用 | 端口身份验证 (未经授权或无停靠) | 端口身份验证 (授权扩展坞) |
|---|---|---|---|---|---|
| USB 2.0、3.x、4.x | 已启用 | 已禁用 | 已禁用 | 已禁用 | 已启用 |
| Thunderbolt 3 或 4 | 已启用 | 已禁用 | 已禁用 | 已禁用 | 已启用 |
| 音频配件 | 已启用 | 已禁用 | 已禁用 | 已禁用 | 已启用 |
| 网络 | 已启用 | 已禁用 | 已禁用 | 已禁用 | 已启用 |
| USB 类型 C 电源 | 已启用 | 已启用 | 已禁用 | 已启用 | 已启用 |
| PD 电源 >0W | 已启用 | 已启用 | 已禁用 | 已启用 | 已启用 |
| DisplayPort Alt 模式 | 已启用 | 已启用 | 已禁用 | 已启用 | 已启用 |
预配 Surface 扩展坞
使用相应的预配脚本,如本页的 附录 中所述。
- ConfigureSEMM - Dock2.ps1
- ConfigureSEMM - Thunderbolt (TM) 4Dock-Provisioning
打开 ConfigureSEMM.ps1 并根据需要进行修改。 例如,若要禁用 USB-C 端口,请启用以下设置: UsbPortHwDisabled。 有关所有可用选项,请参阅下表。
表 1. Surface 设备的 USB 端口管理选项
| 设备 | USB-A 选项 设备) 上是否存在 ( |
USB-C 选项 设备) 上是否存在 ( |
“设置” | SEMM ID |
|---|---|---|---|---|
|
Surface Laptop Surface Laptop 2 Surface Pro Surface Pro 4 Surface Pro 6 Surface Studio Surface Studio 2 |
启用或禁用数据 | 不适用:设备上没有 USB-C 端口 | USBPortEnabled (默认) USBPortHWDisabled |
370-379 |
|
Surface Laptop SE Surface Pro 7 Surface Pro 7+ Surface Go Surface Go 2 Surface Laptop Go Surface Laptop Go 2 Surface Laptop Go 3 Surface Laptop 3 (Intel) Surface Laptop 4 (Intel) Surface Laptop 5 (Intel) Surface Studio 2+ |
启用或禁用数据 | 已启用数据、显示和供电 已禁用数据、显示输出和供电 |
USBPortEnabled (默认) USBPortHWDisabled |
370-379 |
|
Surface Pro 8 Surface Pro 9 Surface Pro (第 11 版) Surface Laptop (第 7 版) Surface Laptop Studio Surface Laptop Studio 2 Surface Go 3 Surface Go 4 |
启用或禁用数据 | 已启用数据、显示输出和电源传送 禁用了数据,但启用了显示和电源传送 禁用了数据、显示和电源传输 |
USBPortEnabled (默认) USBPortDataDisabled USBPortHwDisabled |
380-389 |
|
Surface Laptop Studio 2 Surface Pro 10 Surface Pro 10 与 5G Surface Laptop 6 |
启用或禁用数据 | 已启用数据、显示输出和电源传送 禁用了数据,但启用了显示和电源传送 禁用了数据、显示和电源传输 动态启用或禁用数据 |
USBPortEnabled (默认) USBPortDataDisabled USBPortHwDisabled USBPortAuthenticated |
380-389 |
| Surface Book 2 及更高版本 | 始终启用基本 USB 端口 | 始终启用基本 USB 端口 | 不适用 | |
|
使用性能基础Surface Book Surface Book |
始终启用基本 USB 端口 | 不适用:设备上没有 USB-C 端口 | 不适用 |
部门与组织预配
动态 USB-C 禁用允许主机和扩展坞之间建立多对多关系。 这样,客户就可以将主机和扩展坞配置为与所有主机/扩展坞配合使用,或者将其设置为特定于部门以帮助进行资产管理。
表 2. 示例关系:使用 Surface Thunderbolt 4 扩展坞的主机设备
| 主机设备 (Surface Laptop Studio 2) | 未预配的扩展坞 | 全局扩展坞 | Department-X Dock | Department-Y Dock |
|---|---|---|---|---|
| 未预配 |
-
主机 USB-C: 启用 - 扩展 USB: 启用 |
-
主机 USB-C: 启用 - 扩展 USB: 受限,基于未经身份验证的停靠策略 |
-
主机 USB-C: 启用 - 扩展 USB: 受限,基于未经身份验证的停靠策略 |
-
主机 USB-C: 启用 - 扩展 USB: 受限,基于未经身份验证的停靠策略 |
| 全局 |
-
主机 USB-C: 数据已禁用 - 扩展 USB: 数据已禁用 |
-
主机 USB-C: 启用 - 扩展 USB: 经过身份验证的策略 |
-
主机 USB-C: 启用 - 扩展 USB: 经过身份验证的策略 |
-
主机 USB-C: 启用 - Dock:经过身份验证的策略 |
| Department-X |
-
主机 USB-C: 数据已禁用 - 扩展 USB: 数据已禁用 |
-
主机 USB-C: 启用 - 扩展 USB: 经过身份验证的策略 |
-
主机 USB-C: 启用 - 扩展 USB: 经过身份验证的策略 |
-
主机 USB-C: 数据已禁用 - 扩展 USB: 基于未经身份验证的停靠策略,禁用的数据 & 有限 |
| Department-Y |
-
主机 USB-C: 数据已禁用 - 扩展 USB: 数据已禁用 |
-
主机 USB-C: 启用 - 扩展 USB: 经过身份验证的策略 |
-
主机 USB-C: 数据已禁用 - 扩展 USB: 基于未经身份验证的停靠策略,禁用的数据 & 有限 |
-
主机 USB-C: 启用 - 码头: 经过身份验证的策略 |
| 主机设备 (Surface Laptop Studio 2) |
未预配的扩展坞 | 全局扩展坞 | Department-X Dock | Department-Y Dock |
|---|---|---|---|---|
| 未预配 |
-
主机 USB-C: 启用 - 扩展 USB: 启用 |
-
主机 USB-C: 启用 - 扩展 USB: 受限,基于未经身份验证的停靠策略 |
-
主机 USB-C: 启用 - 扩展 USB: 受限,基于未经身份验证的停靠策略 |
-
主机 USB-C: 启用 - 扩展 USB: 受限,基于未经身份验证的停靠策略 |
| 全局 |
-
主机 USB-C: 数据已禁用 - 扩展 USB: 数据已禁用 |
-
主机 USB-C: 启用 - 扩展 USB: 经过身份验证的策略 |
-
主机 USB-C: 启用 - 扩展 USB: 经过身份验证的策略 |
-
主机 USB-C: 启用 - Dock:经过身份验证的策略 |
| Department-X |
-
主机 USB-C: 数据已禁用 - 扩展 USB: 数据已禁用 |
-
主机 USB-C: 启用 - 扩展 USB: 经过身份验证的策略 |
-
主机 USB-C: 启用 - 扩展 USB: 经过身份验证的策略 |
-
主机 USB-C: 数据已禁用 - 扩展 USB: 基于未经身份验证的停靠策略,禁用的数据 & 有限 |
| Department-Y |
-
主机 USB-C: 数据已禁用 - 扩展 USB: 数据已禁用 |
-
主机 USB-C: 启用 - 扩展 USB: 经过身份验证的策略 |
-
主机 USB-C: 数据已禁用 - 扩展 USB: 基于未经身份验证的停靠策略,禁用的数据 & 有限 |
-
主机 USB-C: 启用 - 码头: 经过身份验证的策略 |
附录:SEMM PowerShell 脚本技术参考
| 脚本 | 用途 | 必备条件 |
|---|---|---|
| ApplyProvisioningPackage.ps1 | - 演示如何应用所有者和权限包。 | - 使用管理员权限运行 - Surface Device 已安装 SurfaceUEFI_Manager_ (版本) .msi - 包是通过 CreateSettingsPackage.ps1 或类似生成 |
| ApplySettingsPackage.ps1 | - 演示如何应用设置包。 | - 使用管理员权限运行 - Surface Device 已安装 SurfaceUEFI_Manager_ (版本) .msi - 包是通过 CreateSettingsPackage.ps1 或类似生成 |
| ConfigureSEMM - Dock2.ps1 | - 创建 Surface Dock 预配包 - 应用创建的预配包 |
- 已安装SurfaceUEFI_Manager_ (版本) .msi - Dock 证书颁发机构 (DockCA) - p7b 证书,用于控制 Surface Dock 2 的所有权 - 扩展坞预配证书 (ProvCert) - pfx 证书,用于使用 EKU 1.3.6.1.4.1.311.76.9.21.3 对扩展坞配置包进行签名 - 在将程序包创建预配到 -CertStoreLocation Cert:\LocalMachine\Root 期间,必须在 Surface 计算机上安装此证书及其完全信任链 - 停靠主机授权证书 (HostCert) - pfx 证书,用于授权 Surface 计算机使用授权用户扩展坞安全策略 - 此证书及其完全信任链必须在扩展坞预配期间安装在 Surface 计算机上 (,并且只有此证书) 到 -CertStoreLocation Cert:\LocalMachine\Root - 在创建预配包期间,不得在 Surface 计算机上安装此证书 - Surface Dock 2 -适用于 Surface Dock 的 WMI 实例提供程序。 若要了解详细信息,请参阅 使用 WMI 管理 Surface 扩展坞 |
| ConfigureSEMM - Thunderbolt (TM) 4Dock-Host-SAM.ps1 | - 创建并应用一个 SEMM/DFCI 包,该包设置 USB-C 端口并包含证书颁发机构哈希 - 创建并应用 SAM 证书颁发机构 CFU 有效负载 |
- 已安装SurfaceUEFI_Manager_ (版本) .msi - Dock 证书颁发机构 (DockCA) - p7b 证书,用于控制 Surface Thunderbolt 4 扩展坞的所有权 - 以下 Surface 计算机 () 尚不支持的其他型号之一:Surface Laptop Studio 2 |
| ConfigureSEMM - Thunderbolt (TM) 4Dock-Host.ps1 | - 为 SAM 创建并应用 CFU 包 | - 已安装SurfaceUEFI_Manager_ (版本) .msi - 证书颁发机构文件列表 (.p7b) 。 SAM 最多可以支持 10 个不同的 CA - 以下 Surface 计算机 () 尚不支持的其他型号之一:Surface Laptop Studio 2 |
| ConfigureSEMM - Thunderbolt (TM) 4Dock-Policy.ps1 | - 创建 Surface Thunderbolt 4 Dock 策略包 - 应用创建的策略包 |
- 已安装SurfaceUEFI_Manager_ (版本) .msi - 扩展坞预配证书 (ProvCert) - pfx 证书,用于使用 EKU 1.3.6.1.4.1.311.76.9.21.3 对扩展坞配置包进行签名 - 在将程序包创建预配到 -CertStoreLocation Cert:\LocalMachine\Root 期间,必须在 Surface 计算机上安装此证书及其完全信任链 - 停靠主机授权证书 (HostCert) - pfx 证书,用于授权 Surface 计算机使用授权用户扩展坞安全策略 - 此证书及其完全信任链必须在扩展坞预配期间安装在 Surface 计算机上 (,并且只有此证书) 到 -CertStoreLocation Cert:\LocalMachine\Root - 在创建预配包期间,不得在 Surface 计算机上安装此证书 - 停靠身份验证证书 (DockAuthCert) - Surface Thunderbolt 4 扩展坞 |
| ConfigureSEMM - Thunderbolt (TM) 4Dock-Provisioning.ps1 | - 创建 Surface Thunderbolt 4 Dock 预配包 - 应用创建的预配包 |
- 已安装SurfaceUEFI_Manager_ (版本) .msi - 将证书颁发机构文件 (DepartmentCA 和/或 OrganizationCA) - p7b 证书,用于控制 Surface Thunderbolt 4 扩展坞的所有权 - 扩展坞预配证书 (ProvCert) - pfx 证书,用于使用 EKU 1.3.6.1.4.1.311.76.9.21.3 对扩展坞配置包进行签名 - 在将程序包创建预配到 -CertStoreLocation Cert:\LocalMachine\Root 期间,必须在 Surface 计算机上安装此证书及其完全信任链 - 停靠主机授权证书 (HostCert) - pfx 证书,用于授权 Surface 计算机使用授权用户扩展坞安全策略 - 此证书及其完全信任链必须在扩展坞预配期间安装在 Surface 计算机上 (,并且只有此证书) 到 -CertStoreLocation Cert:\LocalMachine\Root - 在创建预配包期间,不得在 Surface 计算机上安装此证书 - 停靠身份验证证书 (DockAuthCert) - Surface Thunderbolt 4 扩展坞 |
| ConfigureSEMM - Thunderbolt (TM) 4Dock-USBC.ps1 | - 创建并应用 USB-C 模式 3 SEMM/DFCI 包 | - 已安装SurfaceUEFI_Manager_ (版本) .msi - 所有权证书签名密钥已生成且可访问 - 以下 Surface 计算机 () 尚不支持的其他型号之一:Surface Laptop Studio 2 |
| ConfigureSEMM.ps1 | - 创建签名者预配 (也称为“所有者”) 包和通用重置包 - 创建权限包 - 应用创建的所有者和权限包 |
- 已安装SurfaceUEFI_Manager_ (版本) .msi - 所有权证书签名密钥已生成且可访问 - Surface 设备具有兼容的已启用 SEMM 的 UEFI |
| CreateOwnerPackage.ps1 | - 创建签名者预配 (也称为“所有者”) 包和通用重置包。 - 可以在 IT 管理员工作站上运行, (不需要是 Surface 设备) |
- IT 管理员工作站已安装SurfaceUEFI_Manager_ (版本) .msi - 所有权证书签名密钥已生成且可访问 |
| CreateOwnerUpgradePackage.ps1 | - 创建签名者升级预配 (也称为“所有者”) 包和通用重置包。 | - IT 管理员工作站已安装SurfaceUEFI_Manager_ (版本) .msi - 已生成新的所有权证书签名密钥,可供访问 - 已生成现有所有权证书签名密钥,可供访问 |
| CreatePermissionPackages.ps1 | - 演示如何创建权限包。 | - IT 管理员工作站已安装SurfaceUEFI_Manager_ (版本) .msi - 所有权证书签名密钥已生成且可访问 |
| CreateSettingsPackage.ps1 | - 演示如何创建设置包。 | - IT 管理员工作站已安装SurfaceUEFI_Manager_ (版本) .msi - 所有权证书签名密钥已生成且可访问 |
| CreateSurfaceDock2Certificates.ps1 | - 创建一组适合配置 Surface Dock 2 的证书 - 它们可与配置和重置脚本或配置器结合使用 |
- 不适用 |
| CreateSurfaceThunderbolt (TM) 4DockCertificates.ps1 | - 创建一组适合配置 Surface Thunderbolt 4 扩展坞的证书 - 它们可与配置和重置脚本或配置器结合使用 |
- 不适用 |
| CreateTestCertificates.ps1 | - 演示如何创建系统中使用的数字证书。 - 注意: 此处创建的证书适用于测试目的,但简单化,不建议用于实际部署。 - 强烈建议通过阅读有关 PKI 的主题(例如:实现Microsoft Windows Server 2003 公钥基础结构的最佳做法)了解有关 PKI 最佳做法 |
- 不适用 |
| CurrentSettings.ps1 | - 在启动时显示设备上的当前 SEMM 设置。 | - 使用管理员权限运行 - Surface Device 已安装 SurfaceUEFI_Manager_ (版本) .msi |
| ResetSEMM - Dock2.ps1 | - 创建 Surface Dock 重置包 - 应用创建的重置包 |
- 已安装SurfaceUEFI_Manager_ (版本) .msi - 停靠证书颁发机构 (DockCA) - p7b 证书文件,用于控制 Surface Dock 2 的所有权 - 停靠预配证书 (ProvCert) - 一个 pfx 证书文件,用于使用 EKU 1.3.6.1.4.1.311.76.9.21.3 对扩展坞配置包进行签名 - 在将程序包创建预配到 -CertStoreLocation Cert:\LocalMachine\Root 期间,必须在 Surface 计算机上安装此证书及其完全信任链 - 将主机授权证书 (HostCert) - 用于授权 Surface 计算机使用授权用户扩展坞安全策略的 pfx 证书文件 - 此证书及其完全信任链必须在扩展坞预配期间安装在 Surface 计算机上 (,并且只有此证书) 到 -CertStoreLocation Cert:\LocalMachine\Root - 在创建预配包期间,不得在 Surface 计算机上安装此证书 - Surface Dock 2 - Surface Dock 2 的 WMI 实例提供程序。 若要了解详细信息,请参阅 使用 WMI 管理 Surface 扩展坞。 |
| ResetSEMM - Thunderbolt (TM) 4Dock.ps1 | - 创建 Surface Thunderbolt 4 Dock 重置程序包 - 应用创建的重置包 |
- 已安装SurfaceUEFI_Manager_ (版本) .msi - 停靠预配证书 (ProvCert) - 一个 pfx 证书文件,用于使用 EKU 1.3.6.1.4.1.311.76.9.21.3 对扩展坞配置包进行签名 - 在将程序包创建预配到 -CertStoreLocation Cert:\LocalMachine\Root 期间,必须在 Surface 计算机上安装此证书及其完全信任链 - 将主机授权证书 (HostCert) - 用于授权 Surface 计算机使用授权用户扩展坞安全策略的 pfx 证书文件 - 此证书及其完全信任链必须在扩展坞预配期间安装在 Surface 计算机上 (,并且只有此证书) 到 -CertStoreLocation Cert:\LocalMachine\Root - 在创建预配包期间,不得在 Surface 计算机上安装此证书 - Surface Thunderbolt 4 扩展坞 |
| ResetSemm.ps1 | - 为特定设备创建并应用 SEMM 重置包。 | - 设备上的管理权限。 - Surface Device 已安装 SurfaceUEFI_Manager_ (版本) .msi - 证书已生成, (可访问,密码为 1234) - 此 Surface 设备以前是使用相同的证书注册的 |
| ShowSettingsOptions.ps1 | - 打印可应用于 Surface 设备的 UEFI 设置。 | - IT 管理员工作站已安装SurfaceUEFI_Manager_ (版本) .msi |
| VerifyDockSettings.ps1 | - 捕获并显示连接的 Surface 扩展坞的当前配置 | - Surface Dock 2 或 Surface Thunderbolt 4 扩展坞 |
| VerifySettings.ps1 | - 演示如何查看最近更新的当前设置和状态。 | - 使用管理员权限运行 - Surface Device 已安装 SurfaceUEFI_Manager_ (版本) .msi - 应用了包并保存了会话 ID 文件。 |