Инструменты пользователя
блокировка_устройств_win_10_iot_enterprise
Различия
Здесь показаны различия между двумя версиями данной страницы.
| Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
|
блокировка_устройств_win_10_iot_enterprise [2020/08/05 15:58] vladimir |
блокировка_устройств_win_10_iot_enterprise [2023/09/25 17:45] (текущий) vladimir |
||
|---|---|---|---|
| Строка 1: | Строка 1: | ||
| ====== Блокировка устройств ====== | ====== Блокировка устройств ====== | ||
| - | <WRAP center round important 100%> | + | **Информация в данном разделе актуальна для Windows 10: 1607, 1809.**\\ |
| - | Данная настройка не работает в [[+tab|режим_аудита_win10_iot_enterprise|режиме аудита]] | + | <WRAP center round important 60%> |
| + | Данная настройка не работает в [[+tab|режим_аудита_win10_iot_enterprise|режиме аудита.]]\\ | ||
| </WRAP> | </WRAP> | ||
| Данная настройка необходима для запрета установки новых драйверов или запрета работы уже установленных драйверов. | Данная настройка необходима для запрета установки новых драйверов или запрета работы уже установленных драйверов. | ||
| С помощью данной настройки можно: | С помощью данной настройки можно: | ||
| - | * Настроить правила по ID или GUID'у класса устройств | + | * Настроить правила по: |
| + | * [[+tab|идентификатор_устройства|ID устройства]] | ||
| + | * ID конкретного экземпляра (InstanceID) | ||
| + | * GUID'у класса устройств | ||
| * Запретить установку всех драйверов, которые явно не разрешены (установленные драйверы будут работать) | * Запретить установку всех драйверов, которые явно не разрешены (установленные драйверы будут работать) | ||
| * Запретить установку драйверов для съемных устройств | * Запретить установку драйверов для съемных устройств | ||
| * Разрешить администраторам игнорировать запреты данной настройки | * Разрешить администраторам игнорировать запреты данной настройки | ||
| - | Параметры данной настройки находятся в [[+tab|локальная_групповая_политика|локальной групповой политике]]\\ | + | <wrap em>GUID класса и InstanceID можно найти в том же выпадающем списке, что и ID устройства</wrap>\\ |
| - | "Конфигурация компьютера\Административные шаблоны\Система\Установка устройства\Ограничение на установку устройств"\\ | + | **В диспетчере устройств InstanceID называется "Путь к экземпляру устройства" (Device instance path)** |
| - | (Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions) | + | |
| <WRAP center round tip 100%> | <WRAP center round tip 100%> | ||
| - | В [[+tab|автоматизация_win_10_iot_enterprise|нашем наборе скриптов]] есть скрипт, с помощью которого можно наглядно изменять данную настройку. | + | В [[+tab|автоматизация_win_10_iot_enterprise|нашем наборе скриптов]] есть скрипт, с помощью которого можно наглядно настроить данную возможность. |
| + | </WRAP> | ||
| + | Параметры данной настройки находятся в [[+tab|локальная_групповая_политика|локальной групповой политике]]\\ | ||
| + | "Конфигурация компьютера \ Административные шаблоны \ Система \ Установка устройства\Ограничение на установку устройств"\\ | ||
| + | (Computer Configuration \ Administrative Templates \ System\Device Installation \ Device Installation Restrictions) | ||
| + | ===== Сопоставление указанного и фактического ID ===== | ||
| + | Сопоставление ID в правилах с фактическим ID производится по частичному совпадению с начала строки. Пример:\\ | ||
| + | Правило запрещения устройств с ID "PCI\VEN_8086&DEV_9D23" будет запрещать все устройства по маске "PCI\VEN_8086&DEV_9D23*", т.е. устройство с ID "PCI\VEN_8086&DEV_9D23&SUBSYS_8079103C&REV_21\3&11583659&0&FC" будет запрещено. | ||
| + | ===== Настройка по белому списку ===== | ||
| + | При включении параметра\\ | ||
| + | "Запретить установку устройств, не описанных другими параметрами политики"\\ | ||
| + | (Prevent installation of devices not described by other policy settings)\\ | ||
| + | \\ | ||
| + | будет запрещена установка драйверов на устройства, которые ранее не подключались к системе и не описаны в политиках разрешения:\\ | ||
| + | "Разрешить установку устройств с использованием драйверов, соответствующих этим классам установки устройств"\\ | ||
| + | "Разрешить установку устройств, соответствующих какому-либо из этих кодов устройств"\\ | ||
| + | (Allow installation of devices using drivers that match these device setup classes)\\ | ||
| + | (Allow installation of devices that match any of these device IDs)\\ | ||
| + | <WRAP center round info 100%> | ||
| + | При настройке по белому списку необходимо учесть, что под учетной записью пользователя должно быть разрешено устройство ввода, которое будет использоваться для разблокировки системы. | ||
| + | </WRAP> | ||
| + | ===== Настройка по черному списку ===== | ||
| + | Для запрета установки драйвера на устройства с определенным ID или классом необходимо использовать настройки:\\ | ||
| + | "Запретить установку устройств с использованием драйверов, соответствующих этим классам установки устройств"\\ | ||
| + | "Запретить установку устройств с указанными кодами устройств"\\ | ||
| + | (Prevent installation of devices using drivers that match these device setup classes)\\ | ||
| + | (Prevent installation of devices that match any of these device IDs)\\ | ||
| + | ==== Блокировка работающих устройств ==== | ||
| + | В настройках, указанных в блокировке по черному списку есть флажок\\ | ||
| + | "Также применить для соответствующих устройств, которые уже были установлены"\\ | ||
| + | (Also apply to matching devices that are already installed)\\ | ||
| + | \\ | ||
| + | При использовании данных настроек без установки флажка будет запрещена установка новых драйверов. При установке вышеуказанного флажка будет запрещена работа уже установленных драйверов. | ||
| + | <WRAP center round info 100%> | ||
| + | Чтобы устройство начало работать после снятия запрета на работу установленного драйвера, необходимо обновить драйвер с автоматическим поиском драйвера. | ||
| </WRAP> | </WRAP> | ||
| - | + | ===== Разрешить администраторам заменять установленные ограничения ===== | |
| - | + | Чтобы ограничения не усложняли обслуживание устройства можно отключить влияние настроек на группу «Администраторы», это можно сделать с помощью параметра\\ | |
| - | + | "Разрешить администраторам заменять политики ограничения установки устройств"\\ | |
| - | <WRAP center round todo 100%> | + | (Allow administrators to override Device Installation Restrictions policies) |
| - | Данный раздел еще не дописан | + | <WRAP center round info 100%> |
| + | После установки драйвера администратором на ранее заблокированное устройство такое устройство станет доступно всем пользователям. Т.е. доступность устройств распространяется на всю систему. | ||
| </WRAP> | </WRAP> | ||
| + | ===== Особенности работы блокировки устройств ===== | ||
| + | Пока на устройство не установлены драйверы после запрета, в системе не будет доступен GUID класса и сведения о используемом inf-файле драйвера. Параметры «ClassGUID» и «Mfg» в ветке реестра «HKLM\SYSTEM\CurrentControlSet\Enum» будут отсутствовать. | ||
| + | ===== Официальная документация ===== | ||
| + | [[+tab|https://answers.microsoft.com/ru-ru/windows/forum/windows_10-hardware/%d0%ba%d0%b0%d0%ba/1c6319dc-3cf9-4e81-8cfa-391841610c58|Как запретить установку драйвера устройства в Windows 10?]] | ||
блокировка_устройств_win_10_iot_enterprise.1596632282.txt.gz · Последние изменения: 2020/08/05 15:58 — vladimir
Инструменты страницы
