Инструменты пользователя

Инструменты сайта


блокировка_устройств_win_10_iot_enterprise

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия
Предыдущая версия
блокировка_устройств_win_10_iot_enterprise [2020/08/05 16:00]
vladimir
блокировка_устройств_win_10_iot_enterprise [2023/09/25 17:45] (текущий)
vladimir
Строка 1: Строка 1:
 ====== Блокировка устройств ====== ====== Блокировка устройств ======
 **Информация в данном разделе актуальна для Windows 10: 1607, 1809.**\\ **Информация в данном разделе актуальна для Windows 10: 1607, 1809.**\\
-<WRAP center round important ​100%> +<WRAP center round important ​60%> 
-Данная настройка не работает в [[+tab|режим_аудита_win10_iot_enterprise|режиме аудита]]+Данная настройка не работает в [[+tab|режим_аудита_win10_iot_enterprise|режиме аудита.]]\\
 </​WRAP>​ </​WRAP>​
 Данная настройка необходима для запрета установки новых драйверов или запрета работы уже установленных драйверов. Данная настройка необходима для запрета установки новых драйверов или запрета работы уже установленных драйверов.
 С помощью данной настройки можно: С помощью данной настройки можно:
-  * Настроить правила по ID или GUID'​у класса устройств+  * Настроить правила по
 +    * [[+tab|идентификатор_устройства|ID устройства]] 
 +    * ID конкретного экземпляра (InstanceID) 
 +    * GUID'​у класса устройств
   * Запретить установку всех драйверов,​ которые явно не разрешены (установленные драйверы будут работать)   * Запретить установку всех драйверов,​ которые явно не разрешены (установленные драйверы будут работать)
   * Запретить установку драйверов для съемных устройств   * Запретить установку драйверов для съемных устройств
   * Разрешить администраторам игнорировать запреты данной настройки   * Разрешить администраторам игнорировать запреты данной настройки
 +<wrap em>GUID класса и InstanceID можно найти в том же выпадающем списке,​ что и ID устройства</​wrap>​\\
 +**В диспетчере устройств InstanceID называется "​Путь к экземпляру устройства"​ (Device instance path)**
 <WRAP center round tip 100%> <WRAP center round tip 100%>
 В [[+tab|автоматизация_win_10_iot_enterprise|нашем наборе скриптов]] есть скрипт,​ с помощью которого можно наглядно настроить данную возможность. В [[+tab|автоматизация_win_10_iot_enterprise|нашем наборе скриптов]] есть скрипт,​ с помощью которого можно наглядно настроить данную возможность.
 </​WRAP>​ </​WRAP>​
 Параметры данной настройки находятся в [[+tab|локальная_групповая_политика|локальной групповой политике]]\\ Параметры данной настройки находятся в [[+tab|локальная_групповая_политика|локальной групповой политике]]\\
-"​Конфигурация компьютера\Административные шаблоны\Система\Установка устройства\Ограничение на установку устройств"​\\ +"​Конфигурация компьютера \ Административные шаблоны \ Система \ Установка устройства\Ограничение на установку устройств"​\\ 
-(Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions) +(Computer Configuration \ Administrative Templates \ System\Device Installation \ Device Installation Restrictions) 
- +===== Сопоставление указанного и фактического ID ===== 
- +Сопоставление ID в правилах с фактическим ID производится по частичному совпадению с начала строки. Пример:​\\ 
- +Правило запрещения устройств с ID "​PCI\VEN_8086&​DEV_9D23"​ будет запрещать все устройства по маске "​PCI\VEN_8086&​DEV_9D23*",​ т.е. устройство с ID "​PCI\VEN_8086&​DEV_9D23&​SUBSYS_8079103C&​REV_21\3&​11583659&​0&​FC"​ будет запрещено. 
-<WRAP center round todo 100%> +===== Настройка по белому списку ===== 
-Данный раздел еще не дописан+При включении параметра\\ 
 +"​Запретить установку устройств,​ не описанных другими параметрами политики"​\\ 
 +(Prevent installation of devices not described by other policy settings)\\ 
 +\\ 
 +будет запрещена установка драйверов на устройства,​ которые ранее не подключались к системе и не описаны в политиках ​разрешения:​\\ 
 +"​Разрешить установку устройств с использованием ​драйверов, соответствующих этим классам установки устройств"​\\ 
 +"​Разрешить установку устройств,​ соответствующих какому-либо из этих кодов устройств"​\\ 
 +(Allow installation of devices using drivers that match these device setup classes)\\ 
 +(Allow installation of devices that match any of these device IDs)\\ 
 +<WRAP center round info 100%> 
 +При настройке по белому списку ​необходимо учесть,​ что под учетной записью пользователя должно быть разрешено устройство ввода, которое будет использоваться для разблокировки системы.
 </​WRAP>​ </​WRAP>​
 +===== Настройка по черному списку ===== 
 +Для запрета установки драйвера на устройства с определенным ID или классом необходимо использовать настройки:​\\ 
 +"​Запретить установку устройств с использованием драйверов,​ соответствующих этим классам установки устройств"​\\ 
 +"​Запретить установку устройств с указанными кодами устройств"​\\ 
 +(Prevent installation of devices using drivers that match these device setup classes)\\ 
 +(Prevent installation of devices that match any of these device IDs)\\ 
 +==== Блокировка работающих устройств ==== 
 +В настройках,​ указанных в блокировке по черному списку есть флажок\\ 
 +"​Также применить для соответствующих устройств,​ которые уже были установлены"​\\ 
 +(Also apply to matching devices that are already installed)\\ 
 +\\ 
 +При использовании данных настроек без установки флажка будет запрещена установка новых драйверов. При установке вышеуказанного флажка будет запрещена работа уже установленных драйверов. 
 +<WRAP center round info 100%> 
 +Чтобы устройство начало работать после снятия запрета на работу установленного драйвера,​ необходимо обновить драйвер с автоматическим поиском драйвера. 
 +</​WRAP>​ 
 +===== Разрешить администраторам заменять установленные ограничения ===== 
 +Чтобы ограничения не усложняли обслуживание устройства можно отключить влияние настроек на группу «Администраторы»,​ это можно сделать с помощью параметра\\ 
 +"​Разрешить администраторам заменять политики ограничения установки устройств"​\\ 
 +(Allow administrators to override Device Installation Restrictions policies) 
 +<WRAP center round info 100%> 
 +После установки драйвера администратором на ранее заблокированное устройство такое устройство станет доступно всем пользователям. Т.е. доступность устройств распространяется на всю систему. 
 +</​WRAP>​ 
 +===== Особенности работы блокировки устройств ===== 
 +Пока на устройство не установлены драйверы после запрета,​ в системе не будет доступен GUID класса и сведения о используемом inf-файле драйвера. Параметры «ClassGUID» и «Mfg» в ветке реестра «HKLM\SYSTEM\CurrentControlSet\Enum» будут отсутствовать. 
 +===== Официальная документация ===== 
 +[[+tab|https://​answers.microsoft.com/​ru-ru/​windows/​forum/​windows_10-hardware/​%d0%ba%d0%b0%d0%ba/​1c6319dc-3cf9-4e81-8cfa-391841610c58|Как запретить установку драйвера устройства в Windows 10?]]
блокировка_устройств_win_10_iot_enterprise.1596632402.txt.gz · Последние изменения: 2020/08/05 16:00 — vladimir