Здесь показаны различия между двумя версиями данной страницы.
Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
блокировка_устройств_win_10_iot_enterprise [2020/08/05 16:00] vladimir |
блокировка_устройств_win_10_iot_enterprise [2023/09/25 17:45] vladimir |
||
---|---|---|---|
Строка 1: | Строка 1: | ||
====== Блокировка устройств ====== | ====== Блокировка устройств ====== | ||
**Информация в данном разделе актуальна для Windows 10: 1607, 1809.**\\ | **Информация в данном разделе актуальна для Windows 10: 1607, 1809.**\\ | ||
- | <WRAP center round important 100%> | + | <WRAP center round important 60%> |
- | Данная настройка не работает в [[+tab|режим_аудита_win10_iot_enterprise|режиме аудита]] | + | Данная настройка не работает в [[+tab|режим_аудита_win10_iot_enterprise|режиме аудита.]]\\ |
</WRAP> | </WRAP> | ||
Данная настройка необходима для запрета установки новых драйверов или запрета работы уже установленных драйверов. | Данная настройка необходима для запрета установки новых драйверов или запрета работы уже установленных драйверов. | ||
С помощью данной настройки можно: | С помощью данной настройки можно: | ||
- | * Настроить правила по ID или GUID'у класса устройств | + | * Настроить правила по: |
+ | * [[+tab|идентификатор_устройства|ID устройства]] | ||
+ | * ID конкретного экземпляра (InstanceID) | ||
+ | * GUID'у класса устройств | ||
* Запретить установку всех драйверов, которые явно не разрешены (установленные драйверы будут работать) | * Запретить установку всех драйверов, которые явно не разрешены (установленные драйверы будут работать) | ||
* Запретить установку драйверов для съемных устройств | * Запретить установку драйверов для съемных устройств | ||
* Разрешить администраторам игнорировать запреты данной настройки | * Разрешить администраторам игнорировать запреты данной настройки | ||
+ | <wrap em>GUID класса и InstanceID можно найти в том же выпадающем списке, что и ID устройства</wrap>\\ | ||
+ | **В диспетчере устройств InstanceID называется "Путь к экземпляру устройства" (Device instance path)** | ||
<WRAP center round tip 100%> | <WRAP center round tip 100%> | ||
В [[+tab|автоматизация_win_10_iot_enterprise|нашем наборе скриптов]] есть скрипт, с помощью которого можно наглядно настроить данную возможность. | В [[+tab|автоматизация_win_10_iot_enterprise|нашем наборе скриптов]] есть скрипт, с помощью которого можно наглядно настроить данную возможность. | ||
</WRAP> | </WRAP> | ||
Параметры данной настройки находятся в [[+tab|локальная_групповая_политика|локальной групповой политике]]\\ | Параметры данной настройки находятся в [[+tab|локальная_групповая_политика|локальной групповой политике]]\\ | ||
- | "Конфигурация компьютера\Административные шаблоны\Система\Установка устройства\Ограничение на установку устройств"\\ | + | "Конфигурация компьютера \ Административные шаблоны \ Система \ Установка устройства\Ограничение на установку устройств"\\ |
- | (Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions) | + | (Computer Configuration \ Administrative Templates \ System\Device Installation \ Device Installation Restrictions) |
- | + | ===== Сопоставление указанного и фактического ID ===== | |
- | + | Сопоставление ID в правилах с фактическим ID производится по частичному совпадению с начала строки. Пример:\\ | |
- | + | Правило запрещения устройств с ID "PCI\VEN_8086&DEV_9D23" будет запрещать все устройства по маске "PCI\VEN_8086&DEV_9D23*", т.е. устройство с ID "PCI\VEN_8086&DEV_9D23&SUBSYS_8079103C&REV_21\3&11583659&0&FC" будет запрещено. | |
- | <WRAP center round todo 100%> | + | ===== Настройка по белому списку ===== |
- | Данный раздел еще не дописан | + | При включении параметра\\ |
+ | "Запретить установку устройств, не описанных другими параметрами политики"\\ | ||
+ | (Prevent installation of devices not described by other policy settings)\\ | ||
+ | \\ | ||
+ | будет запрещена установка драйверов на устройства, которые ранее не подключались к системе и не описаны в политиках разрешения:\\ | ||
+ | "Разрешить установку устройств с использованием драйверов, соответствующих этим классам установки устройств"\\ | ||
+ | "Разрешить установку устройств, соответствующих какому-либо из этих кодов устройств"\\ | ||
+ | (Allow installation of devices using drivers that match these device setup classes)\\ | ||
+ | (Allow installation of devices that match any of these device IDs)\\ | ||
+ | <WRAP center round info 100%> | ||
+ | При настройке по белому списку необходимо учесть, что под учетной записью пользователя должно быть разрешено устройство ввода, которое будет использоваться для разблокировки системы. | ||
</WRAP> | </WRAP> | ||
+ | ===== Настройка по черному списку ===== | ||
+ | Для запрета установки драйвера на устройства с определенным ID или классом необходимо использовать настройки:\\ | ||
+ | "Запретить установку устройств с использованием драйверов, соответствующих этим классам установки устройств"\\ | ||
+ | "Запретить установку устройств с указанными кодами устройств"\\ | ||
+ | (Prevent installation of devices using drivers that match these device setup classes)\\ | ||
+ | (Prevent installation of devices that match any of these device IDs)\\ | ||
+ | ==== Блокировка работающих устройств ==== | ||
+ | В настройках, указанных в блокировке по черному списку есть флажок\\ | ||
+ | "Также применить для соответствующих устройств, которые уже были установлены"\\ | ||
+ | (Also apply to matching devices that are already installed)\\ | ||
+ | \\ | ||
+ | При использовании данных настроек без установки флажка будет запрещена установка новых драйверов. При установке вышеуказанного флажка будет запрещена работа уже установленных драйверов. | ||
+ | <WRAP center round info 100%> | ||
+ | Чтобы устройство начало работать после снятия запрета на работу установленного драйвера, необходимо обновить драйвер с автоматическим поиском драйвера. | ||
+ | </WRAP> | ||
+ | ===== Разрешить администраторам заменять установленные ограничения ===== | ||
+ | Чтобы ограничения не усложняли обслуживание устройства можно отключить влияние настроек на группу «Администраторы», это можно сделать с помощью параметра\\ | ||
+ | "Разрешить администраторам заменять политики ограничения установки устройств"\\ | ||
+ | (Allow administrators to override Device Installation Restrictions policies) | ||
+ | <WRAP center round info 100%> | ||
+ | После установки драйвера администратором на ранее заблокированное устройство такое устройство станет доступно всем пользователям. Т.е. доступность устройств распространяется на всю систему. | ||
+ | </WRAP> | ||
+ | ===== Особенности работы блокировки устройств ===== | ||
+ | Пока на устройство не установлены драйверы после запрета, в системе не будет доступен GUID класса и сведения о используемом inf-файле драйвера. Параметры «ClassGUID» и «Mfg» в ветке реестра «HKLM\SYSTEM\CurrentControlSet\Enum» будут отсутствовать. | ||
+ | ===== Официальная документация ===== | ||
+ | [[+tab|https://answers.microsoft.com/ru-ru/windows/forum/windows_10-hardware/%d0%ba%d0%b0%d0%ba/1c6319dc-3cf9-4e81-8cfa-391841610c58|Как запретить установку драйвера устройства в Windows 10?]] |