Инструменты пользователя

Инструменты сайта


Боковая панель

Главная страница


Часто задаваемые вопросы


Astra Linux Embedded


Windows IoT - общие вопросы


Windows 11 IoT Enterprise


Windows 10 IoT Enterprise


Windows 10 IoT Core


Windows Embedded Standard 8


Windows Embedded Standard 7


Windows Embedded POSReady


Windows Embedded Standard 2009


Windows XP Embedded


Windows Embedded Compact

блокировка_устройств_win_10_iot_enterprise

Блокировка устройств

Информация в данном разделе актуальна для Windows 10: 1607, 1809.

Данная настройка не работает в режиме аудита.

Данная настройка необходима для запрета установки новых драйверов или запрета работы уже установленных драйверов. С помощью данной настройки можно:

  • Настроить правила по:
    • ID конкретного экземпляра (InstanceID)
    • GUID’у класса устройств
  • Запретить установку всех драйверов, которые явно не разрешены (установленные драйверы будут работать)
  • Запретить установку драйверов для съемных устройств
  • Разрешить администраторам игнорировать запреты данной настройки

GUID класса и InstanceID можно найти в том же выпадающем списке, что и ID устройства
В диспетчере устройств InstanceID называется «Путь к экземпляру устройства» (Device instance path)

В нашем наборе скриптов есть скрипт, с помощью которого можно наглядно настроить данную возможность.

Параметры данной настройки находятся в локальной групповой политике
«Конфигурация компьютера \ Административные шаблоны \ Система \ Установка устройства\Ограничение на установку устройств»
(Computer Configuration \ Administrative Templates \ System\Device Installation \ Device Installation Restrictions)

Сопоставление указанного и фактического ID

Сопоставление ID в правилах с фактическим ID производится по частичному совпадению с начала строки. Пример:
Правило запрещения устройств с ID «PCI\VEN_8086&DEV_9D23» будет запрещать все устройства по маске «PCI\VEN_8086&DEV_9D23*», т.е. устройство с ID «PCI\VEN_8086&DEV_9D23&SUBSYS_8079103C&REV_21\3&11583659&0&FC» будет запрещено.

Настройка по белому списку

При включении параметра
«Запретить установку устройств, не описанных другими параметрами политики»
(Prevent installation of devices not described by other policy settings)

будет запрещена установка драйверов на устройства, которые ранее не подключались к системе и не описаны в политиках разрешения:
«Разрешить установку устройств с использованием драйверов, соответствующих этим классам установки устройств»
«Разрешить установку устройств, соответствующих какому-либо из этих кодов устройств»
(Allow installation of devices using drivers that match these device setup classes)
(Allow installation of devices that match any of these device IDs)

При настройке по белому списку необходимо учесть, что под учетной записью пользователя должно быть разрешено устройство ввода, которое будет использоваться для разблокировки системы.

Настройка по черному списку

Для запрета установки драйвера на устройства с определенным ID или классом необходимо использовать настройки:
«Запретить установку устройств с использованием драйверов, соответствующих этим классам установки устройств»
«Запретить установку устройств с указанными кодами устройств»
(Prevent installation of devices using drivers that match these device setup classes)
(Prevent installation of devices that match any of these device IDs)

Блокировка работающих устройств

В настройках, указанных в блокировке по черному списку есть флажок
«Также применить для соответствующих устройств, которые уже были установлены»
(Also apply to matching devices that are already installed)

При использовании данных настроек без установки флажка будет запрещена установка новых драйверов. При установке вышеуказанного флажка будет запрещена работа уже установленных драйверов.

Чтобы устройство начало работать после снятия запрета на работу установленного драйвера, необходимо обновить драйвер с автоматическим поиском драйвера.

Разрешить администраторам заменять установленные ограничения

Чтобы ограничения не усложняли обслуживание устройства можно отключить влияние настроек на группу «Администраторы», это можно сделать с помощью параметра
«Разрешить администраторам заменять политики ограничения установки устройств»
(Allow administrators to override Device Installation Restrictions policies)

После установки драйвера администратором на ранее заблокированное устройство такое устройство станет доступно всем пользователям. Т.е. доступность устройств распространяется на всю систему.

Особенности работы блокировки устройств

Пока на устройство не установлены драйверы после запрета, в системе не будет доступен GUID класса и сведения о используемом inf-файле драйвера. Параметры «ClassGUID» и «Mfg» в ветке реестра «HKLM\SYSTEM\CurrentControlSet\Enum» будут отсутствовать.

Официальная документация

блокировка_устройств_win_10_iot_enterprise.txt · Последние изменения: 2023/09/25 17:45 — vladimir