Ограничение USB-устройств, что это такое

Обновлено: 04.07.2024

Чтобы предотвратить заражение вредоносным ПО или потерю данных в вашей организации, вы можете заблокировать определенные типы USB-устройств, например флэш-накопитель USB или камеру, и разрешить другие типы USB-устройств, например клавиатуру или мышь. Или вы можете разрешить USB-устройства по идентификаторам устройств.

В этой статье описывается, как настроить такие элементы управления с помощью административных шаблонов Intune.

Создайте профиль

Выберите Устройства > Профили конфигурации > Создать профиль.

Выберите Windows 10 и более поздние версии в разделе «Платформа», выберите «Административные шаблоны» в профиле, затем нажмите «Создать».

В разделе «Основные» введите описательное имя профиля в поле «Имя». Например, Ограничить USB-устройства. Введите описание профиля в поле Описание (этот параметр необязателен).

Выберите "Далее".

В настройках конфигурации настройте следующие параметры:

Выберите Запретить установку устройств, не описанных другими параметрами политики, а затем выберите Включено.

Скриншот Запретить установку устройств, не описанных другими параметрами политики.

Выберите Разрешить установку устройств с помощью драйверов, соответствующих этим классам установки устройств, а затем выберите Включено. Добавьте GUID классов устройств, которые вы хотите разрешить. В следующем примере разрешены классы Keyboard, Mouse и Multimedia.

Снимок экрана с параметром Разрешить установку устройств с использованием драйверов, соответствующих этим параметрам классов установки устройств.

Выберите Разрешить установку устройств, соответствующих любому из этих идентификаторов устройств, а затем выберите Включено. Найдите идентификатор поставщика устройства или идентификатор продукта для устройств, которые вы хотите разрешить, а затем добавьте идентификаторы в список.

Снимок экрана с параметром Разрешить установку устройств, соответствующих любому из этих идентификаторов устройств.

В разделе "Назначения" выберите группы устройств, которые получат профиль, а затем нажмите "Далее".

В разделе "Проверить + создать" проверьте свои настройки. Когда вы выбираете Создать, ваши изменения сохраняются, и профиль назначается.

Подтвердить на устройствах с Windows 10

После развертывания профиля конфигурации устройства на целевых устройствах с Windows 10 убедитесь, что он работает правильно.

Если USB-устройство не разрешено устанавливать, вы увидите следующее сообщение:

Установка устройства запрещена системной политикой.

В следующем примере iPad заблокирован, поскольку идентификатор его устройства отсутствует в списке разрешенных идентификаторов устройств.

Устройство заблокировано групповой политикой.

Устройство заблокировано по ошибке

Вы можете обнаружить, что USB-устройства, соответствующие разрешенным классам устройств, заблокированы неправильно. Например, камера заблокирована, несмотря на то, что в параметре Разрешить установку устройств с помощью драйверов, соответствующих этим классам установки устройств, указан GUID класса мультимедиа.

Не удается найти сообщение о камере.

LifeCam заблокирован.

Чтобы устранить эту проблему, выполните следующие действия:

На устройстве с Windows 10 откройте файл %windir%\inf\setupapi.dev.log.

Найдите в файле Ограниченная установка устройств, не описанных политикой, а затем найдите строку, в которой GUID класса устройства изменен на: в том же разделе установки устройства.

В следующем примере найдите строку, в которой GUID класса устройства изменен на: .

В профиле конфигурации устройства добавьте GUID класса в параметр Разрешить установку устройств с помощью драйверов, соответствующих этим классам установки устройств.

Если проблема не устранена, повторите шаги с 1 по 3, чтобы добавить дополнительные идентификаторы GUID класса, пока устройство не будет установлено.

В этом примере в профиль устройства необходимо добавить следующие идентификаторы GUID класса:

Идентификаторы GUID классов для разрешения определенных USB-устройств

Чтобы разрешить использование клавиатуры и мыши, добавьте в профиль устройства следующие идентификаторы GUID:

Чтобы разрешить использование камер, наушников и микрофонов, добавьте в профиль устройства следующие идентификаторы GUID:

Чтобы разрешить использование наушников 3,5 мм, добавьте в профиль устройства следующие идентификаторы GUID:

В зависимости от устанавливаемых устройств и драйверов фактически добавляемые идентификаторы GUID могут различаться.

Отказ от ответственности за стороннюю информацию

Обсуждаемые в этой статье сторонние продукты производятся компаниями, независимыми от Microsoft. Microsoft не дает никаких гарантий, подразумеваемых или иных, в отношении производительности или надежности этих продуктов.

Флэш-накопитель USB на 32 гигабайта на клавиатуре компьютера

Хотите контролировать использование неавторизованных USB-устройств в вашей сети? В этом руководстве я покажу вам, как отключить USB-порты тремя различными способами: с помощью специального программного обеспечения для управления устройствами для отключения USB-портов, Диспетчера устройств Windows и групповых политик через Active Directory.

С помощью этих методов вы сможете отключить USB-порты в Windows 10, Windows 7 и других операционных системах Windows.

AccessPatrol – это программное решение для управления устройствами, которое защищает конфиденциальные данные от кражи на переносных устройствах хранения.

AccessPatrol обеспечивает безопасность данных с помощью…

  • Предотвращение кражи данных или передачи вредоносных файлов пользователями с помощью легко скрываемых USB-накопителей.
  • Ведение подлежащих аудиту записей о передаче файлов на переносные устройства хранения и…
  • Запуск оповещений в режиме реального времени при нарушении политик безопасности

Центральная консоль AccessPatrol позволяет вам применять политики безопасности и создавать отчеты о действиях вашего пользователя на USB-накопителе прямо из веб-браузера.

Политики безопасности применяются программным агентом, установленным на компьютерах ваших пользователей. Это ограничивает и контролирует устройства, даже если компьютеры отключены от сети.

Вот обзор основных функций AccessPatrol.

В разделе «Разрешения устройства» вы можете назначить уникальные политики управления устройствами для определенных групп компьютеров или пользователей.

AccessPatrol управляет различными периферийными устройствами, включая…

  • Устройства хранения данных, такие как USB-накопители и внешние жесткие диски.
  • Беспроводные устройства, такие как Bluetooth, инфракрасный порт и Wi-Fi.
  • Коммуникационные порты, такие как последовательные и параллельные порты
  • Устройства обработки изображений, такие как сканеры или камеры, и…
  • Другие устройства, такие как общие сетевые диски, принтеры и мобильные телефоны.

В списке разрешенных вы можете указать доверенные устройства, которые можно использовать на ваших компьютерах.

Если вам нужно временно снять ограничения для устройств, которых нет в списке разрешенных, вы можете использовать генератор кода доступа.

Это позволяет установить ограниченное по времени исключение политики для определенного компьютера. Для работы генератора кодов доступа не требуется доступ в Интернет, что делает его идеальным решением для путешествующих пользователей и других особых обстоятельств.

Для дополнительной защиты конфиденциальных данных AccessPatrol позволяет блокировать передачу файлов на основании их имен и расширений. Это гарантирует, что даже разрешенные устройства не смогут передавать конфиденциальные данные.

AccessPatrol также включает различные отчеты об активности USB, которые помогают организациям контролировать передачу данных и использование периферийных устройств.

Эти отчеты дают представление о…

  • Все файлы, которые были скопированы, созданы, переименованы или удалены с USB-накопителей и…
  • История устройств с отметками времени для каждого пользователя, включая попытки использования заблокированных устройств.

Отчеты AccessPatrol могут создаваться по запросу, по заданному расписанию или автоматически отправляться в ваш почтовый ящик, чтобы предупредить вас об определенных событиях.

Не позволяйте предотвратимой утечке данных разрушить вашу организацию. Верните себе контроль над переносными устройствами хранения с помощью бесплатной пробной версии AccessPatrol.

Если во время оценки у вас возникнут вопросы, наша служба технической поддержки готова помочь вам по телефону, в чате или по электронной почте.

Оглавление

Зачем отключать порты USB?

Предотвращение кражи данных

Ваши сотрудники имеют доступ к корпоративным данным и знаниям о внутренних системах. Без надлежащих мер контроля доступа украсть данные так же просто, как перенести их на портативное запоминающее устройство, такое как флэш-накопитель USB.

Флэш-накопители могут хранить более 1 ТБ данных, чего более чем достаточно для кражи баз данных, электронных таблиц, файлов проекта и любой другой интеллектуальной собственности, которую необходимо защитить.

Одним из способов использования программного обеспечения для предотвращения потери данных (DLP) является блокирование копирования файлов на флэш-накопитель USB. Это не позволяет сотрудникам использовать свое привилегированное положение для кражи конфиденциальной информации, такой как коммерческая тайна и личная информация.

предотвращение кражи данных — руководство по увольнению сотрудников — CurrentWare

Нажмите здесь, чтобы узнать о передовых методах защиты данных во время увольнения и получить доступ к загружаемому контрольному списку ИТ-аутбординга.

Защита конечных точек от вредоносных программ USB


Отключение USB-портов защищает конечные точки от мошеннических USB-устройств, превентивно предотвращая передачу вредоносных файлов.

Как отключить USB-порты с помощью AccessPatrol