Gerenciar Instalação de Dispositivos com Política de Grupo

Usando sistemas operacionais Windows, os administradores podem determinar quais dispositivos podem ser instalados em computadores que gerenciam. Este guia resume o processo de instalação do dispositivo e demonstra várias técnicas para controlar a instalação do dispositivo usando Política de Grupo.

Introdução

Geral

Este guia passo a passo descreve como você pode controlar a instalação do dispositivo nos computadores que você gerencia, incluindo designar quais dispositivos os usuários podem ou não instalar. Este guia se aplica a todas as versões do Windows começando com Windows 10, versão 1809. O guia inclui os seguintes cenários:

  • Impedir que os usuários instalem dispositivos que estão em uma lista "proibida". Se um dispositivo não estiver na lista, o usuário poderá instalá-lo.
  • Permitir que os usuários instalem apenas dispositivos que estão em uma lista "aprovada". Se um dispositivo não estiver na lista, o usuário não poderá instalá-lo.

Este guia descreve o processo de instalação do dispositivo e apresenta as cadeias de caracteres de identificação do dispositivo que o Windows usa para corresponder um dispositivo com os pacotes de driver de dispositivo disponíveis em um computador. O guia também ilustra dois métodos de controle da instalação do dispositivo. Cada cenário mostra, passo a passo, um método que você pode usar para permitir ou impedir a instalação de um dispositivo específico ou uma classe de dispositivos.

O dispositivo de exemplo usado nos cenários é um dispositivo de armazenamento USB. Você pode executar as etapas neste guia usando um dispositivo diferente. No entanto, se você usar um dispositivo diferente, as instruções no guia não corresponderão exatamente à interface do usuário exibida no computador.

É importante entender que as Políticas de Grupo apresentadas neste guia são aplicadas somente a computadores/grupos de máquinas, não a usuários/grupos de usuários.

Importante

As etapas fornecidas neste guia destinam-se a ser usadas em um ambiente de laboratório de teste. Este guia passo a passo não deve ser usado para implantar recursos do Windows Server sem a documentação que acompanha e deve ser usado com discrição como um documento autônomo.

Quem deve usar este guia?

Este guia é direcionado aos seguintes públicos:

  • Planejadores e analistas de tecnologia da informação que estão avaliando Windows 10, Windows 11 ou Windows Server 2022
  • Planejadores e designers de tecnologia da informação empresarial
  • Arquitetos de segurança responsáveis por implementar a computação confiável em sua organização
  • Administradores que querem se familiarizar com a tecnologia

Benefícios de controlar a instalação do dispositivo usando Política de Grupo

Restringir os dispositivos que os usuários podem instalar reduz o risco de roubo de dados e reduz o custo do suporte.

Reduzir o risco de roubo de dados

É mais difícil para os usuários fazer cópias não autorizadas de dados da empresa se os computadores dos usuários não puderem instalar dispositivos não aprovados que dão suporte a mídia removível. Por exemplo, se os usuários não puderem instalar um dispositivo de pen drive USB, eles não poderão baixar cópias de dados da empresa em um armazenamento removível. Esse benefício não pode eliminar o roubo de dados, mas cria outra barreira para a remoção não autorizada de dados.

Reduzir custos de suporte

Você pode garantir que os usuários instalem apenas os dispositivos que sua equipe de suporte técnico está treinada e equipada para dar suporte. Esse benefício reduz os custos de suporte e a confusão do usuário.

Visão geral do cenário

Os cenários apresentados neste guia ilustram como você pode controlar a instalação e o uso do dispositivo nos computadores que você gerencia. Os cenários usam Política de Grupo em um computador local para simplificar o uso dos procedimentos em um ambiente de laboratório. Em um ambiente em que você gerencia vários computadores cliente, você deve aplicar essas configurações usando Política de Grupo. Com Política de Grupo implantado pelo Active Directory, você pode aplicar configurações a todos os computadores que são membros de um domínio ou de uma unidade organizacional em um domínio. Para obter mais informações sobre como criar um objeto de política de grupo para gerenciar seus computadores cliente, consulte Criar um objeto Política de Grupo.

Cenário Descrição
Cenário nº 1: impedir a instalação de todas as impressoras Nesse cenário, o administrador deseja impedir que os usuários instalem impressoras. Portanto, é um cenário básico para apresentá-lo à funcionalidade 'prevent/allow' das políticas de instalação do dispositivo no Política de Grupo.
Cenário nº 2: impedir a instalação de uma impressora específica Nesse cenário, o administrador permite que os usuários padrão instalem todas as impressoras, mas impedindo que elas instalem uma específica.
Cenário nº 3: impedir a instalação de todas as impressoras, permitindo que uma impressora específica seja instalada Nesse cenário, você combina o que aprendeu com o cenário nº 1 e o cenário nº 2. O administrador deseja permitir que os usuários padrão instalem apenas uma impressora específica, impedindo a instalação de todas as outras impressoras. Esse cenário é mais realista e traz um passo mais adiante na compreensão das políticas de restrições de instalação do dispositivo.
Cenário nº 4: impedir a instalação de um dispositivo USB específico Esse cenário, embora semelhante ao cenário nº 2, traz outra camada de complexidade- como funciona a conectividade do dispositivo na árvore PnP. O administrador deseja impedir que os usuários padrão instalem um dispositivo USB específico. Ao final do cenário, você deve entender a forma como os dispositivos são aninhados em camadas sob a árvore de conectividade do dispositivo PnP.
Cenário nº 5: impedir a instalação de todos os dispositivos USB, permitindo a instalação de apenas uma unidade de pen usb autorizada Nesse cenário, combinando todos os quatro cenários anteriores, você aprenderá a proteger um computador de todos os dispositivos USB não autorizados. O administrador deseja permitir que os usuários instalem apenas um pequeno conjunto de dispositivos USB autorizados, impedindo que qualquer outro dispositivo USB seja instalado. Além disso, esse cenário inclui uma explicação de como aplicar a funcionalidade 'prevent' a dispositivos USB existentes que já foram instalados no computador, e o administrador gosta de impedir qualquer interação mais adiante com eles (bloqueando todos eles juntos). Esse cenário baseia-se nas políticas e na estrutura que introduzimos nos quatro primeiros cenários e, portanto, é preferível passar por cima delas primeiro antes de tentar esse cenário.

Revisão de Tecnologia

As seções a seguir fornecem uma breve visão geral das principais tecnologias discutidas neste guia e fornecem informações em segundo plano necessárias para entender os cenários.

Instalação do dispositivo no Windows

Um dispositivo é uma parte do hardware com a qual o Windows interage para executar alguma função ou em uma definição mais técnica - é uma única instância de um componente de hardware com uma representação exclusiva no subsistema windows Plug and Play. O Windows só pode se comunicar com um dispositivo por meio de um software chamado driver de dispositivo (também conhecido como driver). Para instalar um driver, o Windows detecta o dispositivo, reconhece seu tipo e, em seguida, encontra o driver que corresponde a esse tipo.

Quando o Windows detecta um dispositivo que nunca foi instalado no computador, o sistema operacional consulta o dispositivo para recuperar sua lista de cadeias de caracteres de identificação do dispositivo. Um dispositivo geralmente tem várias cadeias de caracteres de identificação de dispositivo, que o fabricante do dispositivo atribui. As mesmas cadeias de caracteres de identificação do dispositivo são incluídas no arquivo .inf (também conhecido como INF) que faz parte do pacote de driver. O Windows escolhe qual pacote de driver instalar correspondendo as cadeias de caracteres de identificação do dispositivo recuperadas do dispositivo às cadeias de caracteres incluídas nos pacotes do driver.

O Windows usa quatro tipos de identificadores para controlar a instalação e a configuração do dispositivo. Você pode usar as configurações de Política de Grupo no Windows para especificar qual desses identificadores permitir ou bloquear.

Os quatro tipos de identificadores são:

  • ID da instância do dispositivo
  • ID do dispositivo
  • Classes de instalação do dispositivo
  • Tipo de dispositivo 'Dispositivos Removíveis'

ID da instância do dispositivo

Uma ID da instância do dispositivo é uma cadeia de caracteres de identificação de dispositivo fornecida pelo sistema que identifica exclusivamente um dispositivo no sistema. O gerenciador de Plug and Play (PnP) atribui uma ID da instância do dispositivo a cada nó de dispositivo (devnode) na árvore de dispositivos de um sistema.

ID do dispositivo

O Windows pode usar cada cadeia de caracteres para corresponder um dispositivo a um pacote de driver. As cadeias de caracteres variam do específico, correspondendo a uma única make e modelo de um dispositivo, ao geral, possivelmente aplicando-se a uma classe inteira de dispositivos. Há dois tipos de cadeias de caracteres de identificação do dispositivo: IDs de hardware e IDs compatíveis.

Hardware IDs

As IDs de hardware são os identificadores que fornecem a correspondência exata entre um dispositivo e um pacote de driver. A primeira cadeia de caracteres na lista de IDs de hardware é chamada de ID do dispositivo, pois corresponde à marca, modelo e revisão exatos do dispositivo. As outras IDs de hardware na lista correspondem aos detalhes do dispositivo menos exatamente. Por exemplo, uma ID de hardware pode identificar a criação e o modelo do dispositivo, mas não a revisão específica. Esse esquema permite que o Windows use um driver para uma revisão diferente do dispositivo se o driver da revisão correta não estiver disponível.

IDs compatíveis

O Windows usa esses identificadores para selecionar um driver se o sistema operacional não conseguir encontrar uma correspondência com a ID do dispositivo ou qualquer uma das outras IDs de hardware. As IDs compatíveis são listadas na ordem de diminuição da adequação. Essas cadeias de caracteres são opcionais e, quando fornecidas, são genéricas, como Disco. Quando uma correspondência é feita usando uma ID compatível, normalmente você pode usar apenas as funções mais básicas do dispositivo.

Quando você instala um dispositivo, como uma impressora, um dispositivo de armazenamento USB ou um teclado, o Windows procura pacotes de driver que correspondam ao dispositivo que você está tentando instalar. Durante essa pesquisa, o Windows atribui uma "classificação" a cada pacote de driver que ele descobre com pelo menos uma correspondência com um hardware ou ID compatível. A classificação indica o quão bem o driver corresponde ao dispositivo. Números de classificação mais baixos indicam melhores correspondências entre o driver e o dispositivo. Uma classificação de zero representa a melhor correspondência possível. Uma correspondência com a ID do dispositivo para uma no pacote de driver resulta em uma classificação menor (melhor) do que uma correspondência com uma das outras IDs de hardware. Da mesma forma, uma correspondência com uma ID de hardware resulta em uma classificação melhor do que uma correspondência com qualquer uma das IDs compatíveis. Depois que o Windows classifica todos os pacotes de driver, ele instala aquele com a classificação geral mais baixa. Para obter mais informações sobre o processo de classificação e seleção de pacotes de driver, confira Como o Windows seleciona um pacote de driver para um dispositivo.

Observação

Para obter mais informações sobre o processo de instalação do driver, consulte a seção "Revisão de tecnologia" do Guia Passo a Passo para Assinatura e Preparo do Driver.

Alguns dispositivos físicos criam um ou mais dispositivos lógicos quando são instalados. Cada dispositivo lógico pode lidar com parte da funcionalidade do dispositivo físico. Por exemplo, um dispositivo de várias funções, como um scanner/fax/impressora all-in-one, pode ter uma cadeia de caracteres de identificação de dispositivo diferente para cada função.

Quando você usa políticas de instalação de dispositivo para permitir ou impedir a instalação de um dispositivo que usa dispositivos lógicos, você deve permitir ou impedir todas as cadeias de caracteres de identificação do dispositivo para esse dispositivo. Por exemplo, se um usuário tentar instalar um dispositivo multifuncional e você não permitir ou impedir todas as cadeias de caracteres de identificação para dispositivos físicos e lógicos, você poderá obter resultados inesperados da tentativa de instalação. Para obter informações mais detalhadas sobre IDs de hardware, consulte Cadeias de caracteres de identificação do dispositivo.

Classes de instalação do dispositivo

As classes de instalação do dispositivo (também conhecidas como Classe) são outro tipo de cadeia de caracteres de identificação. O fabricante atribui a Classe a um dispositivo no pacote de driver. A Classe agrupa dispositivos instalados e configurados da mesma forma. Por exemplo, todos os dispositivos biométricos pertencem à Classe Biométrica (ClassGuid = {53D29EF7-377C-4D14-864B-EB3A85769359}) e usam o mesmo co-instalador quando instalados. Um número longo chamado GUID (identificador globalmente exclusivo) representa cada classe de configuração do dispositivo. Quando o Windows é iniciado, ele cria uma estrutura de árvore na memória com os GUIDs para todos os dispositivos detectados. Junto com o GUID para a classe do dispositivo em si, o Windows pode precisar inserir na árvore o GUID para a Classe do barramento à qual o dispositivo está anexado.

Quando você usa classes de dispositivo para permitir ou impedir que os usuários instalem drivers, você deve especificar os GUIDs para todas as classes de configuração de dispositivo do dispositivo ou talvez não alcance os resultados desejados. A instalação pode falhar (se você quiser que ela tenha êxito) ou pode ter êxito (se você quiser que ela falhe).

Por exemplo, um dispositivo de várias funções, como um scanner/fax/impressora all-in-one, tem um GUID para um dispositivo genérico de várias funções, um GUID para a função de impressora, um GUID para a função de scanner e assim por diante. Os GUIDs para as funções individuais são "nós filho" no GUID do dispositivo de várias funções. Para instalar um nó filho, o Windows também deve ser capaz de instalar o nó pai. Você deve permitir a instalação da classe de instalação do dispositivo do GUID pai para o dispositivo de várias funções, além de quaisquer GUIDs filho para as funções de impressora e scanner.

Para obter mais informações, consulte Classes de instalação de dispositivos.

Este guia não descreve nenhum cenário que use classes de configuração de dispositivo. No entanto, os princípios básicos demonstrados com cadeias de caracteres de identificação de dispositivo neste guia também se aplicam às classes de instalação do dispositivo. Depois de descobrir a classe de instalação do dispositivo para um dispositivo específico, você poderá usá-la em uma política para permitir ou impedir a instalação de drivers para essa classe de dispositivos.

Os dois links a seguir fornecem a lista completa de Classes de Instalação de Dispositivo. As classes 'Uso do Sistema' são principalmente referidas a dispositivos que vêm com um computador/computador da fábrica, enquanto as classes 'Vendor' são principalmente referidas a dispositivos que poderiam ser conectados a um computador/computador existente:

Tipo de dispositivo 'Removível'

Alguns dispositivos podem ser classificados como Dispositivo Removível. Um dispositivo é considerado removível quando o driver do dispositivo ao qual ele está conectado indica que o dispositivo é removível. Por exemplo, um dispositivo USB é relatado como removível pelos drivers para o hub USB ao qual o dispositivo está conectado.

configurações de Política de Grupo para instalação do dispositivo

Política de Grupo é uma infraestrutura que permite especificar configurações gerenciadas para usuários e computadores por meio de configurações de Política de Grupo e preferências de Política de Grupo.

A seção Instalação do dispositivo no Política de Grupo é um conjunto de políticas que controlam qual dispositivo pode ou não ser instalado em um computador. Se você quiser aplicar as configurações a um computador autônomo ou a muitos computadores em um domínio do Active Directory, use o objeto Política de Grupo Editor para configurar e aplicar as configurações da política. Para obter mais informações, consulte Editor objeto Política de Grupo.

As passagens a seguir são breves descrições das políticas de instalação do dispositivo usadas neste guia.

Observação

O controle de instalação do dispositivo é aplicado apenas a computadores ('configuração do computador') e não aos usuários ('configuração do usuário') pela natureza do design do sistema operacional Windows. Essas configurações de política afetam todos os usuários que fazem logon no computador em que as configurações de política são aplicadas. Você não pode aplicar essas políticas a usuários ou grupos específicos, exceto à política Permitir que os administradores substituam a política de instalação do dispositivo. Essa política isenta os membros do grupo administradores locais de qualquer uma das restrições de instalação do dispositivo que você aplica ao computador configurando outras configurações de política, conforme descrito nesta seção.

Permitir que os administradores substituam as políticas de restrição de instalação de dispositivo

Essa configuração de política permite que os membros do grupo administradores locais instalem e atualizem os drivers para qualquer dispositivo, independentemente de outras configurações de política. Se você habilitar essa configuração de política, os administradores poderão usar o Assistente de Adição de Hardware ou o Assistente de Atualização do Driver para instalar e atualizar os drivers de qualquer dispositivo. Se você desabilitar ou não configurar essa configuração de política, os administradores estarão sujeitos a todas as configurações de política que restringem a instalação do dispositivo.

Permitir a instalação de dispositivos que correspondam a qualquer uma dessas IDs do dispositivo

Essa configuração de política especifica uma lista de Plug and Play IDs de hardware e IDs compatíveis que descrevem dispositivos que os usuários podem instalar. Essa configuração destina-se a ser usada somente quando a instalação Prevent de dispositivos não descrita por outras configurações de política estiver habilitada e não tiver precedência sobre qualquer configuração de política que impeça os usuários de instalar um dispositivo. Se você habilitar essa configuração de política, os usuários poderão instalar e atualizar qualquer dispositivo com uma ID de hardware ou uma ID compatível que corresponda a uma ID nesta lista se essa instalação não tiver sido impedida pela instalação Prevent de dispositivos que correspondam a essas configurações de política de IDs de dispositivo, a configuração impedir a instalação de dispositivos para essas classes de dispositivo, ou a configuração impedir a instalação da política de dispositivos removíveis. Se outra configuração de política impedir que os usuários instalem um dispositivo, os usuários não poderão instalá-lo mesmo que o dispositivo também seja descrito por um valor nesta configuração de política. Se você desabilitar ou não configurar essa configuração de política e nenhuma outra política descrever o dispositivo, a configuração Impedir a instalação de dispositivos não descrita por outras configurações de política determina se os usuários podem instalar o dispositivo.

Permitir a instalação de dispositivos que correspondam a qualquer uma dessas IDs da instância do dispositivo

Essa configuração de política permite especificar uma lista de Plug and Play IDs de instância do dispositivo para dispositivos que o Windows tem permissão para instalar. Use essa configuração de política somente quando a configuração da política "Impedir a instalação de dispositivos não descritos por outras configurações de política" estiver habilitada. Outras configurações de política que impedem a instalação do dispositivo têm precedência sobre esta. Se você habilitar essa configuração de política, o Windows poderá instalar ou atualizar qualquer dispositivo cuja ID da instância do dispositivo Plug and Play aparece na lista criada, a menos que outra configuração de política impeça especificamente essa instalação (por exemplo, a configuração de política "Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de dispositivo", a configuração de política "Impedir a instalação de dispositivos para essas classes de dispositivo", a configuração de política "Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de instância de dispositivo" ou a configuração de política "Impedir a instalação de dispositivos removíveis"). Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração da política afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota.

Permitir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo

Essa configuração de política especifica uma lista de GUIDs da classe de instalação do dispositivo que descrevem dispositivos que os usuários podem instalar. Essa configuração destina-se a ser usada somente quando a instalação Prevent de dispositivos não descrita por outras configurações de política estiver habilitada e não tiver precedência sobre qualquer configuração de política que impeça os usuários de instalar um dispositivo. Se você habilitar essa configuração, os usuários poderão instalar e atualizar qualquer dispositivo com uma ID de hardware ou uma ID compatível que corresponda a uma das IDs desta lista se essa instalação não tiver sido impedida pela instalação Prevent de dispositivos que correspondam à configuração da política de IDs do dispositivo, a configuração impedir a instalação de dispositivos para essas classes de dispositivo, ou a configuração impedir a instalação da política de dispositivos removíveis. Se outra configuração de política impedir que os usuários instalem um dispositivo, os usuários não poderão instalá-lo mesmo que o dispositivo também seja descrito por um valor nesta configuração de política. Se você desabilitar ou não configurar essa configuração de política e nenhuma outra configuração de política descrever o dispositivo, a configuração Impedir a instalação de dispositivos não descrita por outras configurações de política determina se os usuários podem instalar o dispositivo.

Impedir a instalação de dispositivos que correspondam a essas IDs de dispositivo

Essa configuração de política especifica uma lista de Plug and Play IDs de hardware e IDs compatíveis para dispositivos que os usuários não podem instalar. Se você habilitar essa configuração de política, os usuários não poderão instalar ou atualizar o driver para um dispositivo se sua ID de hardware ou ID compatível corresponder a uma nesta lista. Se você desabilitar ou não configurar essa configuração de política, os usuários poderão instalar dispositivos e atualizar seus drivers, conforme permitido por outras configurações de política para instalação do dispositivo. Observação: essa configuração de política tem precedência sobre qualquer outra configuração de política que permita que os usuários instalem um dispositivo. Essa configuração de política impede que os usuários instalem um dispositivo mesmo que ele corresponda a outra configuração de política que permita a instalação desse dispositivo.

Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de instância do dispositivo

Essa configuração de política permite especificar uma lista de Plug and Play IDs de instância do dispositivo para dispositivos que o Windows está impedido de instalar. Essa configuração de política tem precedência sobre qualquer outra configuração de política que permita ao Windows instalar um dispositivo. Se você habilitar essa configuração de política, o Windows será impedido de instalar um dispositivo cuja ID da instância do dispositivo aparece na lista criada. Se você habilitar essa configuração de política em um servidor de área de trabalho remota, a configuração da política afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota. Se você desabilitar ou não configurar essa configuração de política, os dispositivos poderão ser instalados e atualizados conforme permitido ou impedido por outras configurações de política.

Impedir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de dispositivo

Essa configuração de política especifica uma lista de GUIDs da classe de instalação do dispositivo Plug and Play para dispositivos que os usuários não podem instalar. Se você habilitar essa configuração de política, os usuários não poderão instalar ou atualizar dispositivos que pertencem a qualquer uma das classes de configuração de dispositivo listadas. Se você desabilitar ou não configurar essa configuração de política, os usuários poderão instalar e atualizar dispositivos conforme permitido por outras configurações de política para instalação do dispositivo. Observação: essa configuração de política tem precedência sobre qualquer outra configuração de política que permita que os usuários instalem um dispositivo. Essa configuração de política impede que os usuários instalem um dispositivo, mesmo que corresponda a outra configuração de política que permita a instalação desse dispositivo.

Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação do dispositivo em todos os critérios de correspondência do dispositivo

Essa configuração de política altera a ordem de avaliação na qual as configurações Permitir e Impedir política são aplicadas quando mais de uma configuração de política de instalação é aplicável a um determinado dispositivo. Habilite essa configuração de política para garantir que os critérios de correspondência de dispositivo sobrepostos sejam aplicados com base em uma hierarquia estabelecida em que critérios de correspondência mais específicos substituem critérios de correspondência menos específicos. A ordem hierárquica de avaliação para configurações de política que especificam critérios de correspondência de dispositivo é a seguinte:

IDs da instância do> dispositivoIDs do> dispositivoClasse >de instalação do dispositivoDispositivos removíveis

Observação

Essa configuração de política fornece um controle mais granular do que a configuração de política "Impedir a instalação de dispositivos não descritos por outras configurações de política". Se essas configurações de política conflitantes estiverem habilitadas ao mesmo tempo, a configuração de política "Aplicar ordem de avaliação em camadas para Permitir e Impedir políticas de instalação de dispositivos em todos os critérios de correspondência de dispositivos" será habilitada e a outra configuração de política será ignorada.

Se você desabilitar ou não configurar essa configuração de política, a avaliação padrão será usada. Por padrão, todos "Impedir a instalação..." As configurações de política têm precedência sobre qualquer outra configuração de política que permita ao Windows instalar um dispositivo.

Algumas dessas políticas têm precedência sobre outras políticas. O fluxograma a seguir ilustra como o Windows os processa para determinar se um usuário pode instalar um dispositivo ou não.

Gráfico de fluxo de políticas de instalação do dispositivo.
Gráfico de fluxo de políticas de instalação do dispositivo

Requisitos para concluir os cenários

Geral

Para concluir cada um dos cenários, verifique se você tem:

  • Um computador cliente que executa o Windows.
  • Um pen drive USB. Os cenários descritos neste guia usam uma unidade de pen drive USB como o dispositivo de exemplo (também conhecido como "unidade de disco removível", "unidade de memória", uma "unidade flash" ou uma "unidade de chaveamento"). A maioria das unidades de pen drive USB não exige drivers fornecidos pelo fabricante, e esses dispositivos funcionam com os drivers de caixa de entrada fornecidos com o build do Windows.
  • Uma impressora USB/rede pré-instalada no computador.
  • Acesso à conta de administrador no computador de teste. Os procedimentos neste guia exigem privilégios de administrador para a maioria das etapas.

Entender as implicações da aplicação de políticas de 'Prevenção' retroativas

Todas as políticas 'Prevent' podem aplicar a funcionalidade de bloco a dispositivos-dispositivos já instalados que foram instalados no computador antes da política entrar em vigor. Usar essa opção é recomendável quando o administrador não tem certeza do histórico de instalação de dispositivos no computador e deseja garantir que a política se aplique a todos os dispositivos.

Por exemplo: uma impressora já está instalada no computador, impedindo que a instalação de todas as impressoras bloqueie a instalação de qualquer impressora futura, mantendo apenas a impressora instalada utilizável. Para aplicar o bloco retroativo, o administrador deve marcar marcar a opção "aplicar essa política a dispositivos já instalados". Marcar essa opção impedirá o acesso a dispositivos já instalados, além de outros futuros.

Essa opção é uma ferramenta poderosa, mas, como tal, precisa ser usada com cuidado.

Importante

Aplicar a opção "Prevenir retroativos" a dispositivos cruciais pode tornar o computador inútil/inaceitável! Por exemplo: impedir retroativo todas as 'Unidades de Disco' poderiam bloquear o acesso ao disco com o qual o sistema operacional inicializa; Impedir que todos os 'Net' retroativos possam impedir que esse computador acesse a rede e para corrigir o problema, o administrador terá que ter uma conexão direta.

Determinar cadeias de caracteres de identificação do dispositivo

Seguindo estas etapas, você pode determinar as cadeias de caracteres de identificação do dispositivo para seu dispositivo. Se as IDs de hardware e as IDs compatíveis para seu dispositivo não corresponderem às IDs mostradas neste guia, use as IDs apropriadas ao seu dispositivo (essa política se aplica a IDs e Classes de Instância, mas não daremos um exemplo para elas neste guia).

Você pode determinar as IDs de hardware e as IDs compatíveis para seu dispositivo de duas maneiras. Você pode usar Gerenciador de Dispositivos, uma ferramenta gráfica incluída no sistema operacional ou PnPUtil, uma ferramenta de linha de comando disponível para todas as versões do Windows. Use o procedimento a seguir para exibir as cadeias de caracteres de identificação do dispositivo para seu dispositivo.

Observação

Esses procedimentos são específicos para uma impressora Canon. Se você estiver usando um tipo diferente de dispositivo, deverá ajustar as etapas de acordo. A diferença significativa será o local do dispositivo na hierarquia Gerenciador de Dispositivos. Em vez de estar localizado no nó Impressoras, você deve localizar seu dispositivo no nó apropriado.

Para localizar cadeias de caracteres de identificação do dispositivo usando Gerenciador de Dispositivos

  1. Verifique se a impressora está conectada e instalada.

  2. Para abrir Gerenciador de Dispositivos, selecione o botão Iniciar, digite mmc devmgmt.msc na caixa Iniciar Pesquisa e pressione ENTER; ou pesquise Gerenciador de Dispositivos como aplicativo.

  3. Gerenciador de Dispositivos inicia e exibe uma árvore que representa todos os dispositivos detectados em seu computador. Na parte superior da árvore há um nó com o nome dos computadores ao lado dele. Os nós inferiores representam as várias categorias de hardware nas quais os dispositivos de computadores são agrupados.

  4. Encontre a seção "Impressoras" e localize a impressora de destino

    Selecionando a impressora no Gerenciador de Dispositivos.
    Selecionando a impressora no Gerenciador de Dispositivos

  5. Clique duas vezes na impressora e passe para a guia 'Detalhes'.

    Guia 'Detalhes'.
    Abra a guia 'Detalhes' para procurar os identificadores do dispositivo

  6. Na janela 'Valor', copie a ID de Hardware mais detalhada- usaremos esse valor nas políticas.

    HWID.

    ID compatível.
    ID compatível e HWID

    Dica

    Você também pode determinar as cadeias de caracteres de identificação do dispositivo usando o utilitário de linha de comando PnPUtil. Para obter mais informações, consulte Drivers PnPUtil – Windows.

Obtendo identificadores de dispositivo usando PnPUtil

pnputil /enum-devices /ids

Aqui está um exemplo de uma saída para um único dispositivo em um computador:

<snip>
Instance ID:                PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02\3&103a9d54&0&81
Device Description:         Intel(R) Xeon(R) E7 v3/Xeon(R) E5 v3/Core i7 PCIe Ring Interface - 2F34
Class Name:                 System
Class GUID:                 {4d36e97d-e325-11ce-bfc1-08002be10318}
Manufacturer Name:          INTEL
Status:                     Stopped
Driver Name:                oem6.inf
Hardware IDs:               PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02
                            PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086
                            PCI\VEN_8086&DEV_2F34&CC_110100
                            PCI\VEN_8086&DEV_2F34&CC_1101
Compatible IDs:             PCI\VEN_8086&DEV_2F34&REV_02
                            PCI\VEN_8086&DEV_2F34
                            PCI\VEN_8086&CC_110100
                            PCI\VEN_8086&CC_1101
                            PCI\VEN_8086
                            PCI\CC_110100
                            PCI\CC_1101
<snip>

Cenário nº 1: impedir a instalação de todas as impressoras

Neste cenário simples, você aprenderá a impedir a instalação de uma classe inteira de dispositivos.

Configurando o ambiente

Configurando o ambiente para o cenário com as seguintes etapas:

  1. Abra Política de Grupo Editor e navegue até a seção Restrição de Instalação do Dispositivo.

  2. Desabilite todas as políticas anteriores de instalação do dispositivo, exceto "Aplicar ordem de avaliação em camadas" - embora a política esteja desabilitada no padrão, essa política é recomendada para ser habilitada na maioria dos aplicativos práticos.

  3. Se houver políticas habilitadas, alterar suas status para "desabilitadas", as limpará de todos os parâmetros

  4. Ter uma impressora USB/rede disponível para testar a política com

Etapas de cenário – impedindo a instalação de dispositivos proibidos

Obter o identificador de dispositivo certo para impedir que ele seja instalado:

  1. Se você tiver no sistema um dispositivo da classe que deseja bloquear, poderá seguir as etapas na seção anterior para localizar o identificador de Classe de Dispositivo por meio de Gerenciador de Dispositivos ou PnPUtil (Guid de Classe).

  2. Se você não tiver esse dispositivo instalado em seu sistema ou souber o nome da classe, poderá marcar os dois links a seguir:

  3. Nosso cenário atual está focado em impedir que todas as impressoras sejam instaladas, como tal, aqui está o GUID de Classe para a maioria das impressoras no mercado:

    Printers
    Classe = Impressora
    ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
    Essa classe inclui impressoras.

    Observação

    Conforme mencionado anteriormente, impedir que uma Classe inteira possa impedi-lo de usar seu sistema completamente. Verifique se você entende quais dispositivos serão bloqueados ao especificar uma Classe. Para nosso cenário, há outras classes relacionadas a impressoras, mas antes de aplicá-las, verifique se elas não estão bloqueando nenhum outro dispositivo existente que seja crucial para seu sistema.

Criando a política para impedir que todas as impressoras sejam instaladas:

  1. Abra Política de Grupo Objeto Editor clique no botão Iniciar, digite mmc gpedit.msc na caixa Iniciar Pesquisa e pressione ENTER; ou digite na pesquisa do Windows "Política de Grupo Editor" e abra a interface do usuário.

  2. Navegue até a página Restrição de Instalação do Dispositivo:

    Restrições > de instalação do dispositivo de instalação do dispositivo de configuração >> do computador >

  3. Verifique se todas as políticas estão desabilitadas (recomendado para manter a política de "ordem de avaliação em camadas aplicada" habilitada).

  4. Abra Impedir a instalação de dispositivos usando drivers que correspondam à política de classes de instalação do dispositivo e selecione o botão de rádio "Habilitar".

  5. No lado inferior esquerdo, na janela 'Opções', clique em 'Mostrar...' Caixa. Essa opção leva você a uma tabela em que você pode inserir o identificador de classe para bloquear.

  6. Insira a classe de impressora GUID que você encontrou com as chaves encaracoladas: {4d36e979-e325-11ce-bfc1-08002be10318}.

    Lista de guids de classe de prevenção
    Lista de guids de classe de prevenção

  7. Clique em 'OK'.

  8. Clique em 'Aplicar' no canto inferior direito da janela da política - essa opção pressiona a política e bloqueia todas as instalações futuras da impressora, mas não se aplica às instalações existentes.

  9. Opcional- se você quiser aplicar a política a instalações existentes: Abra a política Impedir a instalação de dispositivos usando drivers que correspondam a essas políticas de classes de configuração de dispositivo novamente; na janela 'Opções', marque a caixa de seleção que diz que 'também se aplicam a dispositivos correspondentes que já estão instalados'

Importante

Usar uma política Prevent (como a que usamos no cenário nº 1 acima) e aplicá-la a todos os dispositivos instalados anteriormente (consulte a etapa nº 9) pode tornar os dispositivos cruciais inutilizáveis; portanto, use com cuidado. Por exemplo: se um administrador de TI quiser impedir que todos os dispositivos de armazenamento removíveis sejam instalados no computador, usar a classe 'Disk Drive' para bloquear e aplicá-la retroativa poderá tornar o disco rígido interno inutilizável e interromper o computador.

Cenário de teste 1

  1. Se você ainda não concluiu a etapa nº 9, siga estas etapas:

    1. Desinstale sua impressora: Gerenciador de Dispositivos > Impressoras clique com o botão direito do mouse na Impressora > Canon em "Desinstalar > dispositivo".
    2. Para desligar a impressora USB e conectar o cabo; para fazer uma pesquisa de dispositivo de rede para a impressora no aplicativo Configurações do Windows.
    3. Você não deve ser capaz de reinstalar a impressora.

  2. Se você concluiu a etapa nº 9 acima e reiniciou o computador, procure sua impressora em Gerenciador de Dispositivos ou no aplicativo Configurações do Windows e veja se ele não está mais disponível para você usar.

Cenário nº 2: impedir a instalação de uma impressora específica

Esse cenário se baseia no cenário nº 1, impedir a instalação de todas as impressoras. Nesse cenário, você tem como destino uma impressora específica para evitar a instalação no computador.

Configurando o ambiente

Configurando o ambiente para o cenário com as seguintes etapas:

  1. Abra Política de Grupo Editor e navegue até a seção Restrição de Instalação do Dispositivo.

  2. Verifique se todas as políticas de instalação de dispositivo anteriores estão desabilitadas, exceto "Aplicar ordem de avaliação em camadas" (esse pré-requisito é opcional para ativar/desativar esse cenário). Embora a política esteja desabilitada no padrão, é recomendável estar habilitada na maioria dos aplicativos práticos. Para o cenário nº 2, é opcional.

Etapas do cenário – impedindo a instalação de um dispositivo específico

Obter o identificador de dispositivo certo para impedir que ele seja instalado:

  1. Obtenha a ID de Hardware da impressora. Neste exemplo, usaremos o identificador que encontramos anteriormente.

    Identificador de ID do Hardware da Impressora.
    ID do Hardware da Impressora

  2. Anote a ID do dispositivo (nesse caso, ID de hardware): WSDPRINT\CanonMX920_seriesC1A0;. Pegue o identificador mais específico para garantir que você bloqueie uma impressora específica e não uma família de impressoras

Criando a política para impedir que uma única impressora seja instalada:

  1. Abra Política de Grupo Editor de objeto.

  2. Navegue até a página Restrição de Instalação do Dispositivo:

    Restrições > de instalação do dispositivo de instalação do dispositivo de configuração >> do computador >

  3. Abra Impedir a instalação de dispositivos que correspondam a qualquer uma dessas políticas de IDs do dispositivo e selecione o botão de rádio "Habilitar".

  4. No lado inferior esquerdo, na janela 'Opções', clique em 'Mostrar...' Caixa. Essa opção o levará a uma tabela em que você pode inserir o identificador do dispositivo para bloquear.

  5. Insira a ID do dispositivo da impressora encontrada acima: WSDPRINT\CanonMX920_seriesC1A0.

    Impedir a lista de ID do dispositivo.
    Impedir a ID do dispositivo

  6. Clique em 'OK'.

  7. Clique em 'Aplicar' no canto inferior direito da janela da política. Essa opção pressiona a política e bloqueia a impressora de destino em instalações futuras, mas não se aplica a uma instalação existente.

  8. Opcionalmente, se você quiser aplicar a política a uma instalação existente, abra a política Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs do dispositivo novamente. Na janela 'Opções', marque a caixa de seleção que diz "Aplicar também a dispositivos correspondentes que já estão instalados".

Cenário de teste 2

Se você concluiu a etapa nº 8 acima e reiniciou o computador, procure sua impressora em Gerenciador de Dispositivos ou no aplicativo Configurações do Windows e veja se ele não está mais disponível para você usar.

Se você ainda não concluiu a etapa nº 8, siga estas etapas:

  1. Desinstale sua impressora: Gerenciador de Dispositivos > Impressoras clique com o botão direito do mouse na Impressora > Canon em "Desinstalar > dispositivo".

  2. Para impressora USB, desconecte e conecte o cabo; para dispositivo de rede, pesquise a impressora no aplicativo Configurações do Windows.

  3. Você não deve ser capaz de reinstalar a impressora.

Cenário nº 3: impedir a instalação de todas as impressoras, permitindo que uma impressora específica seja instalada

Agora, usando o conhecimento de ambos os cenários anteriores, você aprenderá a impedir a instalação de uma classe inteira de dispositivos, permitindo que uma única impressora seja instalada.

Configurando o ambiente

Configurando o ambiente para o cenário com as seguintes etapas:

  1. Abra Política de Grupo Editor e navegue até a seção Restrição de Instalação do Dispositivo.

  2. Desabilite todas as políticas anteriores de instalação do dispositivo e habilite "Aplicar ordem de avaliação em camadas".

  3. Se houver políticas habilitadas, alterar sua status para "desabilitada", as limpará de todos os parâmetros.

  4. Tenha uma impressora USB/rede disponível para testar a política.

Etapas de cenário – impedindo a instalação de uma classe inteira, permitindo uma impressora específica

Obtendo o identificador de dispositivo para a Classe impressora e uma impressora específica seguindo as etapas do cenário nº 1 para localizar o identificador de classe e o cenário nº 2 para localizar o identificador de dispositivo, você pode obter os identificadores necessários para este cenário:

  • ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
  • Hardware ID = WSDPRINT\CanonMX920_seriesC1A0

Primeiro crie uma política de "Impedir Classe" e crie uma :"Permitir Dispositivo":

  1. Abra Política de Grupo Objeto Editor clique no botão Iniciar, digite mmc gpedit.msc na caixa Iniciar Pesquisa e pressione ENTER; ou digite na pesquisa do Windows "Política de Grupo Editor" e abra a interface do usuário.

  2. Navegue até a página Restrição de Instalação do Dispositivo:

    Restrições > de instalação do dispositivo de instalação do dispositivo de configuração >> do computador >

  3. Verifique se todas as políticas estão desabilitadas

  4. Abra Impedir a instalação de dispositivos usando drivers que correspondam à política de classes de instalação do dispositivo e selecione o botão de rádio "Habilitar".

  5. No lado inferior esquerdo, na janela 'Opções', clique em 'Mostrar...' Caixa. Essa opção o levará a uma tabela em que você pode inserir o identificador de classe para bloquear.

  6. Insira a classe de impressora GUID que você encontrou acima com as chaves encaracoladas (esse valor é importante! Caso contrário, não funcionará): {4d36e979-e325-11ce-bfc1-08002be10318}

    Lista de IDs de classe de prevenção
    Lista de guids de classe de prevenção

  7. Clique em 'OK'.

  8. Clique em 'Aplicar' no canto inferior direito da janela da política - essa opção pressiona a política e bloqueia todas as instalações futuras da impressora, mas não se aplica às instalações existentes.

  9. Para concluir a cobertura de todas as impressoras futuras e existentes, abra a política Impedir a instalação de dispositivos usando drivers que correspondam à política de classes de instalação do dispositivo novamente; na janela 'Opções', marque a caixa de seleção que diz que 'também se aplicam a dispositivos correspondentes que já estão instalados' e clique em 'OK'

  10. Abra a ordem de avaliação Aplicar em camadas para permitir e impedir políticas de instalação do dispositivo em todas as políticas de critérios de correspondência de dispositivo e habilite -essa política permitirá que você substitua a ampla cobertura da política "Impedir" com um dispositivo específico.

    Captura de tela do local Política de Grupo Editor que mostra as políticas em Restrições de Instalação de Dispositivo e a política nomeada nesta etapa.

    Imagem que mostra as configurações atuais da política nomeada nesta etapa:
    Aplicar a ordem de avaliação em camadas

  11. Agora, Abra Permitir a instalação de dispositivos que correspondam a qualquer uma dessas políticas de IDs do dispositivo e selecione o botão de rádio "Habilitar".

  12. No lado inferior esquerdo, na janela 'Opções', clique em 'Mostrar...' Caixa. Essa opção o levará a uma tabela em que você pode inserir o identificador do dispositivo para permitir.

  13. Insira a ID do dispositivo da impressora que você encontrou acima: WSDPRINT\CanonMX920_seriesC1A0.

    Permitir a ID do Hardware da Impressora.
    Permitir iD de hardware da impressora

  14. Clique em 'OK'.

  15. Clique em 'Aplicar' no canto inferior direito da janela da política - essa opção pressiona a política e permite que a impressora de destino seja instalada (ou permaneça instalada).

Cenário de teste 3

  1. Procure sua impressora em Gerenciador de Dispositivos ou no aplicativo Configurações do Windows e veja se ela ainda está lá e acessível. Ou apenas imprimir um documento de teste.

  2. Voltar à Política de Grupo Editor, desabilitar Aplicar ordem de avaliação em camadas para permitir e impedir políticas de instalação de dispositivo em todas as políticas de critérios de correspondência de dispositivo e testar novamente sua impressora - você não deve ser bale para imprimir nada ou capaz de acessar a impressora em tudo.

Cenário nº 4: impedir a instalação de um dispositivo USB específico

O cenário baseia-se no conhecimento do cenário nº 2, Impedir a instalação de uma impressora específica. Nesse cenário, você obterá uma compreensão de como alguns dispositivos são incorporados à árvore de dispositivos PnP (Plug and Play).

Configurando o ambiente

Configurando o ambiente para o cenário com as seguintes etapas:

  1. Abra Política de Grupo Editor e navegue até a seção Restrição de Instalação do Dispositivo

  2. Verifique se todas as políticas de instalação de dispositivo anteriores estão desabilitadas, exceto "Aplicar ordem de avaliação em camadas". Esse pré-requisito é opcional para ativar/desativar esse cenário. Embora a política esteja desabilitada no padrão, é recomendável estar habilitada na maioria dos aplicativos práticos.

Etapas do cenário – impedindo a instalação de um dispositivo específico

Obter o identificador de dispositivo certo para impedir que ele seja instalado e sua localização na árvore PnP:

  1. Conectar um pen drive USB ao computador

  2. Abrir o Gerenciador de Dispositivos

  3. Encontre o pen drive USB e selecione-o.

    Selecionando a pen drive no Gerenciador de Dispositivos.
    Selecionando a pen drive no Gerenciador de Dispositivos

  4. Alterar Exibição (no menu superior) para "Dispositivos por conexões". Essa exibição representa a forma como os dispositivos são instalados na árvore PnP.

    Alterar a exibição no Gerenciador de Dispositivos para ver a árvore de conexão PnP.
    Alterar a exibição no Gerenciador de Dispositivos para ver a árvore de conexão PnP

    Observação

    Ao bloquear\Impedir um dispositivo que fica mais alto na árvore PnP, todos os dispositivos que se sentam sob ele serão bloqueados. Por exemplo: impedindo que um "Hub USB Genérico" seja instalado, todos os dispositivos que estão abaixo de um "Hub USB Genérico" serão bloqueados.

    Bloquear dispositivos aninhados da raiz.
    Ao bloquear um dispositivo, todos os dispositivos aninhados abaixo dele também serão bloqueados

  5. Clique duas vezes na pen drive USB e mova para a guia 'Detalhes'.

  6. Na janela 'Valor', copie a ID de Hardware mais detalhada- usaremos esse valor nas políticas. Nesse caso, ID do dispositivo = USBSTOR\DiskGeneric_Flash_Disk______8.07

    IDs de hardware do dispositivo USB.
    IDs de hardware do dispositivo USB

Criando a política para impedir que uma única unidade de pen drive USB seja instalada:

  1. Abra Política de Grupo Objeto Editor e clique no botão Iniciar, digite mmc gpedit.msc na caixa Iniciar Pesquisa e pressione ENTER; ou digite na pesquisa do Windows "Política de Grupo Editor" e abra a interface do usuário.

  2. Navegue até a página Restrição de Instalação do Dispositivo:

    Restrições > de instalação do dispositivo de instalação do dispositivo de configuração >> do computador >

  3. Abra Impedir a instalação de dispositivos que correspondam a qualquer uma dessas políticas de IDs do dispositivo e selecione o botão de rádio "Habilitar".

  4. No lado inferior esquerdo, na janela 'Opções', clique na caixa 'Mostrar'. Essa opção o levará a uma tabela em que você pode inserir o identificador do dispositivo para bloquear.

  5. Insira a ID do dispositivo pen drive que você encontrou acimaUSBSTOR\DiskGeneric_Flash_Disk______8.07.

    Impedir a lista de IDs do dispositivo.
    Impedir IDs do dispositivo

  6. Clique em 'OK'.

  7. Clique em 'Aplicar' no canto inferior direito da janela da política. Essa opção pressiona a política e bloqueia a pen drive USB de destino em instalações futuras, mas não se aplica a uma instalação existente.

  8. Opcional – se você quiser aplicar a política a uma instalação existente, abra a política Impedir a instalação de dispositivos que correspondam a qualquer uma dessas IDs do dispositivo novamente. Na janela 'Opções', marque a caixa de seleção que diz "também se aplicar a dispositivos correspondentes que já estão instalados".

Cenário de teste 4

  1. Se você ainda não concluiu a etapa nº 8, siga estas etapas:

    • Desinstale sua unidade de pen usb: Gerenciador de Dispositivos > Unidades > de disco com o botão direito do mouse na unidade > de pen usb de destino clique em "Desinstalar dispositivo".
    • Você não deve ser capaz de reinstalar o dispositivo.

  2. Se você concluiu a etapa nº 8 acima e reiniciou o computador, procure suas unidades de disco em Gerenciador de Dispositivos e veja se ele não está mais disponível para você usar.

Cenário nº 5: impedir a instalação de todos os dispositivos USB, permitindo a instalação de apenas uma pen drive USB autorizada

Agora, usando o conhecimento de todos os quatro cenários anteriores, você aprenderá a impedir a instalação de uma Classe inteira de dispositivos, permitindo que uma única unidade usb autorizada seja instalada.

Configurando o ambiente

Configurando o ambiente para o cenário com as seguintes etapas:

  1. Abra Política de Grupo Editor e navegue até a seção Restrição de Instalação do Dispositivo.

  2. Desabilite todas as políticas anteriores de instalação do dispositivo e habilite "Aplicar ordem de avaliação em camadas".

  3. Se houver políticas habilitadas, alterar sua status para "desabilitada", as limpará de todos os parâmetros.

  4. Tenha uma pen drive USB disponível para testar a política.

Etapas do cenário – impedindo a instalação de todos os dispositivos USB, permitindo apenas uma unidade de pen usb autorizada

Obtendo o identificador do dispositivo para as Classes USB e uma unidade de pen usb específica e seguindo as etapas no cenário nº 1 para encontrar o identificador de classe e o cenário nº 4 para encontrar o identificador de dispositivo, você pode obter os identificadores necessários para este cenário:

  • Dispositivos de Barramento USB (hubs e controladores de host)

    • Classe = USB
    • ClassGuid = {36fc9e60-c465-11cf-8056-444553540000}
    • Essa classe inclui controladores de host USB e hubs USB, mas não periféricos USB. Os drivers dessa classe são fornecidos pelo sistema.

  • Dispositivo USB

    • Classe = USBDevice
    • ClassGuid = {88BAE032-5A81-49f0-BC3D-A4FF138216D6}
    • O USBDevice inclui todos os dispositivos USB que não pertencem a outra classe. Essa classe não é usada para controladores e hubs de host USB.

  • Hardware ID = USBSTOR\DiskGeneric_Flash_Disk______8.07

Conforme mencionado no cenário nº 4, não é suficiente habilitar apenas uma única ID de hardware para habilitar uma única unidade de pen drive USB. O administrador de TI precisa garantir que todos os dispositivos USB que precedem o destino também não sejam bloqueados (permitidos). No Nosso caso, os seguintes dispositivos devem ser permitidos para que a pen drive USB de destino também possa ser permitida:

  • "Controlador de Host eXtensível Intel(R) USB 3.0 – 1.0 (Microsoft)" –> PCI\CC_0C03
  • "Hub Raiz USB (USB 3.0)" –> USB\ROOT_HUB30
  • "Hub USB Genérico" –> USB\USB20_HUB

Dispositivos USB aninhados na árvore PnP.
Dispositivos USB aninhados entre si na árvore PnP

Esses dispositivos são dispositivos internos no computador que definem a conexão da porta USB com o mundo exterior. Habilitá-los não deve permitir que nenhum dispositivo externo/periférico seja instalado no computador.

Importante

Alguns dispositivos no sistema têm várias camadas de conectividade para definir sua instalação no sistema. As unidades de polegar USB são esses dispositivos. Assim, ao procurar bloquear ou permitir que eles estejam em um sistema, é importante entender o caminho da conectividade para cada dispositivo. Há várias IDs genéricas de dispositivo que são comumente usadas em sistemas e podem fornecer um bom começo para criar uma "lista de permissões" nesses casos. Confira abaixo a lista:

PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST (para controladores de host)/ USB\ROOT_HUB30; USB\ROOT_HUB20 (para Hubs Raiz USB)/ USB\USB20_HUB (para Hubs USB Genéricos)/

Especificamente para computadores desktop, é muito importante listar todos os dispositivos USB pelos quais seus teclados e mouses estão conectados na lista acima. Não fazer isso pode impedir que um usuário acesse seu computador por meio de dispositivos HID.

Fabricantes de computadores diferentes às vezes têm maneiras diferentes de aninhar dispositivos USB na árvore PnP, mas em geral é assim que é feito.

Primeiro crie uma política de "Impedir Classe" e crie uma :"Permitir Dispositivo":

  1. Abra Política de Grupo Objeto Editor: clique no botão Iniciar, digite mmc gpedit.msc na caixa Iniciar Pesquisa e pressione ENTER; ou digite na pesquisa do Windows "Política de Grupo Editor" e abra a interface do usuário.

  2. Navegue até a página Restrição de Instalação do Dispositivo:

    Restrições > de instalação do dispositivo de instalação do dispositivo de configuração >> do computador >

  3. Verifique se todas as políticas estão desabilitadas

  4. Abra Impedir a instalação de dispositivos usando drivers que correspondam à política de classes de instalação do dispositivo e selecione o botão de rádio "Habilitar".

  5. No lado inferior esquerdo, na janela 'Opções', clique em 'Mostrar...' Caixa. Essa opção o levará a uma tabela em que você pode inserir o identificador de classe para bloquear.

  6. Insira as duas classes USB GUID encontradas acima com as chaves encaracoladas:

    {36fc9e60-c465-11cf-8056-44455354000}/ {88BAE032-5A81-49f0-BC3D-A4FF138216D6}

  7. Clique em 'OK'.

  8. Clique em 'Aplicar' no canto inferior direito da janela da política. Essa opção pressiona a política e bloqueia todas as futuras instalações de dispositivo USB, mas não se aplica às instalações existentes.

    Importante

    A etapa anterior impede que todos os dispositivos USB futuros sejam instalados. Antes de passar para a próxima etapa, certifique-se de ter a lista o mais completa possível de todos os Controladores de Host USB, hubs raiz USB e IDs de dispositivo de hubs USB genéricos disponíveis para impedir que você interaja com seu sistema por meio de teclados e mouses.

  9. Abra a ordem de avaliação Aplicar em camadas para permitir e impedir políticas de instalação do dispositivo em todas as políticas de critérios de correspondência de dispositivo e habilitá-la. Essa política permitirá que você substitua a ampla cobertura da política 'Prevent' com um dispositivo específico.

    Aplique a ordem em camadas da política de avaliação.
    Aplicar a ordem de avaliação em camadas

  10. Agora, Abra Permitir a instalação de dispositivos que correspondam a qualquer uma dessas políticas de IDs do dispositivo e selecione o botão de rádio "Habilitar".

  11. No lado inferior esquerdo, na janela 'Opções', clique em 'Mostrar...' Caixa. Essa opção o levará a uma tabela em que você pode inserir o identificador do dispositivo para permitir.

  12. Insira a lista completa de IDs de dispositivo USB encontradas acima, incluindo a unidade de polegar USB específica que você gostaria de autorizar para instalação-USBSTOR\DiskGeneric_Flash_Disk______8.07.

    Imagem de uma lista de exemplos de dispositivos que foram configurados para a política
    Lista de IDs de dispositivo USB permitidas

  13. Clique em 'OK'.

  14. Clique em 'Aplicar' no canto inferior direito da janela da política.

  15. Para aplicar a cobertura 'Impedir' de todos os dispositivos USB atualmente instalados, abra a política Impedir a instalação de dispositivos usando drivers que correspondam a essas políticas de classes de instalação de dispositivo novamente; na janela 'Opções', marque a caixa de seleção que diz "também se aplicar a dispositivos correspondentes que já estão instalados" e clique em 'OK'.

Cenário de teste 5

Você não deve ser capaz de instalar nenhuma pen drive USB, exceto a que você autorizou para uso.