Ограничение USB-устройств, что это такое
Обновлено: 21.11.2024
Чтобы предотвратить заражение вредоносным ПО или потерю данных в вашей организации, вы можете заблокировать определенные типы USB-устройств, например флэш-накопитель USB или камеру, и разрешить другие типы USB-устройств, например клавиатуру или мышь. Или вы можете разрешить USB-устройства по идентификаторам устройств.
В этой статье описывается, как настроить такие элементы управления с помощью административных шаблонов Intune.
Создайте профиль
Выберите Устройства > Профили конфигурации > Создать профиль.
Выберите Windows 10 и более поздние версии в разделе «Платформа», выберите «Административные шаблоны» в профиле, затем нажмите «Создать».
В разделе «Основные» введите описательное имя профиля в поле «Имя». Например, Ограничить USB-устройства. Введите описание профиля в поле Описание (этот параметр необязателен).
Выберите "Далее".
В настройках конфигурации настройте следующие параметры:
Выберите Запретить установку устройств, не описанных другими параметрами политики, а затем выберите Включено.
Выберите Разрешить установку устройств с помощью драйверов, соответствующих этим классам установки устройств, а затем выберите Включено. Добавьте GUID классов устройств, которые вы хотите разрешить. В следующем примере разрешены классы Keyboard, Mouse и Multimedia.
Выберите Разрешить установку устройств, соответствующих любому из этих идентификаторов устройств, а затем выберите Включено. Найдите идентификатор поставщика устройства или идентификатор продукта для устройств, которые вы хотите разрешить, а затем добавьте идентификаторы в список.
В разделе "Назначения" выберите группы устройств, которые получат профиль, а затем нажмите "Далее".
В разделе "Проверить + создать" проверьте свои настройки. Когда вы выбираете Создать, ваши изменения сохраняются, и профиль назначается.
Подтвердить на устройствах с Windows 10
После развертывания профиля конфигурации устройства на целевых устройствах с Windows 10 убедитесь, что он работает правильно.
Если USB-устройство не разрешено устанавливать, вы увидите следующее сообщение:
В следующем примере iPad заблокирован, поскольку идентификатор его устройства отсутствует в списке разрешенных идентификаторов устройств.
Устройство заблокировано по ошибке
Вы можете обнаружить, что USB-устройства, соответствующие разрешенным классам устройств, заблокированы неправильно. Например, камера заблокирована, несмотря на то, что в параметре Разрешить установку устройств с помощью драйверов, соответствующих этим классам установки устройств, указан GUID класса мультимедиа.
Чтобы устранить эту проблему, выполните следующие действия:
На устройстве с Windows 10 откройте файл %windir%\inf\setupapi.dev.log.
Найдите в файле Ограниченная установка устройств, не описанных политикой, а затем найдите строку, в которой GUID класса устройства изменен на: в том же разделе установки устройства.
В следующем примере найдите строку, в которой GUID класса устройства изменен на: .
В профиле конфигурации устройства добавьте GUID класса в параметр Разрешить установку устройств с помощью драйверов, соответствующих этим классам установки устройств.
Если проблема не устранена, повторите шаги с 1 по 3, чтобы добавить дополнительные идентификаторы GUID класса, пока устройство не будет установлено.
В этом примере в профиль устройства необходимо добавить следующие идентификаторы GUID класса:
Идентификаторы GUID классов для разрешения определенных USB-устройств
Чтобы разрешить использование клавиатуры и мыши, добавьте в профиль устройства следующие идентификаторы GUID:
Чтобы разрешить использование камер, наушников и микрофонов, добавьте в профиль устройства следующие идентификаторы GUID:
Чтобы разрешить использование наушников 3,5 мм, добавьте в профиль устройства следующие идентификаторы GUID:
В зависимости от устанавливаемых устройств и драйверов фактически добавляемые идентификаторы GUID могут различаться.
Отказ от ответственности за стороннюю информацию
Обсуждаемые в этой статье сторонние продукты производятся компаниями, независимыми от Microsoft. Microsoft не дает никаких гарантий, подразумеваемых или иных, в отношении производительности или надежности этих продуктов.
Хотите контролировать использование неавторизованных USB-устройств в вашей сети? В этом руководстве я покажу вам, как отключить USB-порты тремя различными способами: с помощью специального программного обеспечения для управления устройствами для отключения USB-портов, Диспетчера устройств Windows и групповых политик через Active Directory.
С помощью этих методов вы сможете отключить USB-порты в Windows 10, Windows 7 и других операционных системах Windows.
AccessPatrol – это программное решение для управления устройствами, которое защищает конфиденциальные данные от кражи на переносных устройствах хранения.
AccessPatrol обеспечивает безопасность данных с помощью…
- Предотвращение кражи данных или передачи вредоносных файлов пользователями с помощью легко скрываемых USB-накопителей.
- Ведение подлежащих аудиту записей о передаче файлов на переносные устройства хранения и…
- Запуск оповещений в режиме реального времени при нарушении политик безопасности
Центральная консоль AccessPatrol позволяет вам применять политики безопасности и создавать отчеты о действиях вашего пользователя на USB-накопителе прямо из веб-браузера.
Политики безопасности применяются программным агентом, установленным на компьютерах ваших пользователей. Это ограничивает и контролирует устройства, даже если компьютеры отключены от сети.
Вот обзор основных функций AccessPatrol.
В разделе «Разрешения устройства» вы можете назначить уникальные политики управления устройствами для определенных групп компьютеров или пользователей.
AccessPatrol управляет различными периферийными устройствами, включая…
- Устройства хранения данных, такие как USB-накопители и внешние жесткие диски.
- Беспроводные устройства, такие как Bluetooth, инфракрасный порт и Wi-Fi.
- Коммуникационные порты, такие как последовательные и параллельные порты
- Устройства обработки изображений, такие как сканеры или камеры, и…
- Другие устройства, такие как общие сетевые диски, принтеры и мобильные телефоны.
В списке разрешенных вы можете указать доверенные устройства, которые можно использовать на ваших компьютерах.
Если вам нужно временно снять ограничения для устройств, которых нет в списке разрешенных, вы можете использовать генератор кода доступа.
Это позволяет установить ограниченное по времени исключение политики для определенного компьютера. Для работы генератора кодов доступа не требуется доступ в Интернет, что делает его идеальным решением для путешествующих пользователей и других особых обстоятельств.
Для дополнительной защиты конфиденциальных данных AccessPatrol позволяет блокировать передачу файлов на основании их имен и расширений. Это гарантирует, что даже разрешенные устройства не смогут передавать конфиденциальные данные.
AccessPatrol также включает различные отчеты об активности USB, которые помогают организациям контролировать передачу данных и использование периферийных устройств.
Эти отчеты дают представление о…
- Все файлы, которые были скопированы, созданы, переименованы или удалены с USB-накопителей и…
- История устройств с отметками времени для каждого пользователя, включая попытки использования заблокированных устройств.
Отчеты AccessPatrol могут создаваться по запросу, по заданному расписанию или автоматически отправляться в ваш почтовый ящик, чтобы предупредить вас об определенных событиях.
Не позволяйте предотвратимой утечке данных разрушить вашу организацию. Верните себе контроль над переносными устройствами хранения с помощью бесплатной пробной версии AccessPatrol.
Если во время оценки у вас возникнут вопросы, наша служба технической поддержки готова помочь вам по телефону, в чате или по электронной почте.
Оглавление
Зачем отключать порты USB?
Предотвращение кражи данных
Ваши сотрудники имеют доступ к корпоративным данным и знаниям о внутренних системах. Без надлежащих мер контроля доступа украсть данные так же просто, как перенести их на портативное запоминающее устройство, такое как флэш-накопитель USB.
Флэш-накопители могут хранить более 1 ТБ данных, чего более чем достаточно для кражи баз данных, электронных таблиц, файлов проекта и любой другой интеллектуальной собственности, которую необходимо защитить.
Одним из способов использования программного обеспечения для предотвращения потери данных (DLP) является блокирование копирования файлов на флэш-накопитель USB. Это не позволяет сотрудникам использовать свое привилегированное положение для кражи конфиденциальной информации, такой как коммерческая тайна и личная информация.
Нажмите здесь, чтобы узнать о передовых методах защиты данных во время увольнения и получить доступ к загружаемому контрольному списку ИТ-аутбординга.
Защита конечных точек от вредоносных программ USB
Отключение USB-портов защищает конечные точки от мошеннических USB-устройств, превентивно предотвращая передачу вредоносных файлов.