Информация в данном разделе актуальна для Windows 11: 24H2

Данная настройка необходима для запрета установки новых драйверов или запрета работы уже установленных драйверов. С помощью данной настройки можно:

• Настроить правила по ID устройства или GUID’у класса устройств
• Запретить установку всех драйверов, которые явно не разрешены (установленные драйверы будут работать)
• Запретить установку драйверов для съемных устройств
• Разрешить администраторам игнорировать запреты данной настройки

Чтобы узнать ID и GUID устройств нужно запустить среду «PowerShell» выполнив команду «powershell», а в среде «powershell» выполнить команду

Get-PnpDevice | Select Name, Description, HardwareID, ClassGUID | fl

В значении «HardwareID» может быть перечислено множество значений, нужно использовать первое значение. У используемого «HardwareID» необходимо обрезать окончание строки начиная с символов:

• &SUBSYS
• &REV
• &CC

Например, из строки «USB\VID_05E3&PID_0749&REV_1532» должна получиться строка «USB\VID_05E3&PID_0749»

Сопоставление ID в правилах с фактическим ID производится по частичному совпадению с начала строки. Пример:
Правило запрещения устройств с ID «PCI\VEN_8086&DEV_9D23» будет запрещать все устройства по маске «PCI\VEN_8086&DEV_9D23*», т.е. устройство с ID «PCI\VEN_8086&DEV_9D23&SUBSYS_8079103C&REV_21\3&11583659&0&FC» будет запрещено.

Параметры данной настройки находятся в локальной групповой политике
«Конфигурация компьютера \ Административные шаблоны \ Система \ Установка устройства \ Ограничение на установку устройств»
(Computer Configuration \ Administrative Templates \ System \ Device Installation \ Device Installation Restrictions)

Для запрета установки съемных устройств необходимо параметру
«Запретить установку съемных устройств» (Prevent installation of removable devices)
установить значение «Включено» (Enabled).