我正在尝试对部署到多个端点的Windows 10 Enterprise安装映像进行一些自定义。具体来说,我试图对USB设备连接施加限制以提高安全性:
- 防止安装和使用任何USB外围设备(键盘等)
- 防止安装和使用非公司发行的任何USB存储设备
- 使用公司发行的USB存储设备,一旦插入,就“解锁”外围设备的使用
- 一旦该公司发布的USB存储设备被移除,再次阻止使用任何USB外围设备
这样的事情有可能吗?
以下是我尝试过的一些事情:
- 我已经尝试配置GP以防止安装任何设备,但这实际上并不适用于我们,因为我们需要实际连接到这些端点;
- 我试图将一些设备列入白名单,这样可以正常工作,但我仍然坚持设备ID白名单,这是行不通的,因为我希望能够发出多个作为密钥的USB驱动器“解锁”USB设备使用;
- 我已经尝试创建一个应用程序来监听USB连接/断开连接并试图在那里做一些事情,但收效甚微。
就像一个概念验证一样,我将一个USB设备列入白名单并为该设备创建了一个自动运行,以便调用GP更改并且可以在连接上运行,但是不确定如何解决这些情况下的断开连接。但话说回来,那不是我们想要做的。有没有办法修改或丰富USB驱动器的设备信息,包括一些额外的信息,如我们将生成的自定义ID,然后自动将所有具有该值的设备列入白名单?
最后,这里实际上有两个问题:
- 是开头列出的场景甚至可以实现和
- 是否可以修改/丰富USB设备信息,以便能够通过组策略轻松地将多个设备列入白名单?
任何帮助在这里将不胜感激!
请澄清您的具体问题或添加其他详细信息以突出您需要的内容。正如目前所写,很难确切地说出你在问什么。
—
Ramhound
@Ramhound希望我现在已经说得更清楚了。总而言之,我在那里提出两个问题:我列出的场景是否可行,是否可以丰富设备信息,以便更好地控制我们如何配置设备并将设备列入白名单。
—
Milan
@Milan,您的问题非常广泛,需要专业的深入考虑。您正在寻找的功能可能已经完成,但可能不是免费使用MS工具,并且可能不太可靠,因为操作系统升级并且新设备问世。您可以使用自定义编程来完成它,但是您仍然无法维护该自定义代码。 Sophos和其他防病毒软件可以将特定类型的USB设备列入黑名单,也许还有白名单替代品。
—
Christopher Hostage