Поделиться через

Управление USB-портами на устройствах Surface

  • Статья
  • Применяется к:
    Windows 10, Windows 11

Если функция USB-порта включена по умолчанию на устройствах Surface, многие устройства с Surface UEFI позволяют администраторам отключать подключение к USB-портам. Например, вы можете запретить пользователям копировать данные с USB-накопителей или внешних жестких дисков.

Предварительные условия

Прежде чем начать процесс, описанный в этой статье, ознакомьтесь со следующими технологиями и инструментами:

Get started

Процесс состоит из следующих частей:

  1. Набор: Регистрация устройств и док-станций Surface в SEMM с помощью конфигуратора Surface UEFI, как описано в разделе Защита портов док-станции Surface с помощью SEMM. Поддерживаются док-станции Surface Dock 2 и Док-станция Surface Thunderbolt 4. Ключом к этому рабочему процессу является возможность отключения данных USB-C, данных Ethernet и звука USB-C всякий раз, когда устройства отключены от авторизованной док-станции Surface, расположенной, например, в рабочей среде, обрабатывающей конфиденциальные сведения.

  2. Конфигурация клиента: Установите диспетчер UEFI, доступный из библиотеки surface IT Toolkit, на всех устройствах Surface, предназначенных для управления.

  3. Скрипты PowerShell: Перейдите в surface IT Toolkit, чтобы скачать и изменить скрипты PowerShell в соответствии с вашей средой. Используйте Microsoft Configuration Manager для развертывания скриптов (как приложений) на целевых устройствах, следуя инструкциям в разделе Использование Microsoft Configuration Manager для управления устройствами с помощью SEMM.

Рекомендации по использованию см. во встроенных комментариях. Определения и предварительные требования см. в приложении. Технический справочник по скриптам PowerShell ДЛЯ SEMM .

Управление портами USB-A

Для портов USB-A, поддерживающих USB-2 и USB-3, можно отключить протокол данных USB с USB-контроллера, чтобы запретить все функциональные возможности.

Детализированное отключение USB-C

Управление портами USB-C с поддержкой DisplayPort и USB-доставки питания предоставляет больше возможностей, помимо отключения всех функций. Например, можно запретить подключение к данным, чтобы запретить пользователям копировать данные из USB-хранилища, но сохранить возможность расширения дисплеев и зарядки устройства через док-станцию USB-C.

Начиная с Surface Pro 8, Surface Laptop Studio и Surface Go 3, детализированные параметры управления USB-C доступны с помощью сценариев POWERShell SEMM.

  1. Перейдите в раздел Инструменты Surface для ИТ и скачайте SEMM_PowerShell.zip.

  2. Если у вас еще нет собственных сертификатов, их можно получить с помощью соответствующего примера сценария, как описано в приложении на этой странице.

Предостережение

Храните сертификаты в безопасном расположении и убедитесь, что их резервная копия правильно создана. Без них невозможно сбросить Surface UEFI, изменить управляемые параметры Surface UEFI или удалить SEMM с зарегистрированного устройства Surface.

Динамическое отключение USB-C

Динамическое отключение USB-C позволяет клиентам, работающим в средах с высоким уровнем безопасности, предотвратить несанкционированную передачу данных через USB, тем самым предоставляя организациям больший контроль. В сочетании с док-станцией Surface Thunderbolt 4 ИТ-администраторы могут блокировать порты USB-C всякий раз, когда соответствующие устройства Surface отстыкованы или подключены к несанкционированной док-станции.

Совет

Эта функция доступна в Surface Pro 10, Surface Laptop 6 и Surface Laptop Studio 2.

В этом сценарии, когда пользователи подключены к авторизованной док-станции в офисе, порты USB-C будут иметь полную функциональность на своих устройствах. Однако при выходе из сайта они по-прежнему могут подключаться к док-станции, чтобы использовать аксессуары или монитор, но не могут использовать USB-порты для передачи данных.

Динамическое отключение USB-C предоставляет ИТ-администраторам большую гибкость для управления устройствами с помощью нового режима 3 в дополнение к существующим режимам работы:

  • Режим 0 (режим по умолчанию): Режим по умолчанию, если SEMM не настроен.

  • Режим 1 (данные отключены): Данные USB-C и Ethernet отключены. Звук через USB-C также отключен. Функция вывода и питания включена.

  • Режим 2 (полностью отключен): Данные USB-C и Ethernet отключены. Звук через USB-C также отключен. Функция вывода и питания отключена.

  • Режим 3 (проверка подлинности через USB-порт), также известный как динамическое отключение USB-C. Данные USB-C, данные Ethernet, звук USB-C, вывод и питание функции только в том случае, если устройство подключено к авторизованной док-станции Surface Thunderbolt 4. При подключении к несанкционированной док-станции отображается только и функции питания будут работать.

Управление портами USB-C с помощью набора средств ИТ Surface

Теперь можно управлять портами USB-C во всех режимах с помощью любого из следующих методов:

Целевое поведение

Состояние USB-порта узла Enabled Данные отключены Оборудование отключено Проверка подлинности порта (неавторизованная или без док-станции) Проверка подлинности порта (авторизованная док-станция)
USB 2.0, 3.x, 4.x Enabled Отключена Отключена Отключена Включена
Thunderbolt 3 или 4 Enabled Отключена Отключена Отключена Включена
Аксессуары для аудио Enabled Отключена Отключена Отключена Включена
Network Enabled Отключена Отключена Отключена Включена
USB Type C Power Включена Включена Отключена Включена Включена
PD Power >0W Включена Включена Отключена Включена Включена
Режим alt DisplayPort Включена Включена Отключена Включена Включена

Подготовка док-станций Surface

  1. Используйте соответствующий скрипт подготовки, как описано в приложении на этой странице.

    • ConfigureSEMM — Dock2.ps1
    • ConfigureSEMM — Thunderbolt(TM)4Dock-Provisioning

  2. Откройте ConfigureSEMM.ps1 и измените соответствующим образом. Например, чтобы отключить порты USB-C, включите следующий параметр: UsbPortHwDisabled. Все доступные параметры см. в следующей таблице.

Таблица 1: Параметры управления USB-портами для устройств Surface

Устройство Параметры USB-A
(если он присутствует на устройстве)		 Параметры USB-C
(если он присутствует на устройстве)		 Параметры Идентификаторы SEMM
Surface Laptop
Surface Laptop 2
Surface Pro
Surface Pro 4
Surface Pro 6
Surface Studio
Surface Studio 2		 Включение или отключение данных Н/Д: нет порта USB-C на устройстве USBPortEnabled (по умолчанию)

USBPortHWDisabled		 370-379
Surface Laptop SE
Surface Pro 7
Surface Pro 7+
Surface Go
Surface Go 2
Surface Laptop Go
Surface Laptop Go
Surface Laptop Go 3
Surface Laptop 3 (только Intel)
Surface Laptop 4 (только Intel)
Surface Laptop 5 (только Intel)
Surface Studio 2+		 Включение или отключение данных Включенные данные, отображение и доставка питания

Отключенные данные, отображение и доставка питания		 USBPortEnabled (по умолчанию)

USBPortHWDisabled		 370-379
Surface Pro 8
Surface Pro 9
Surface Pro (11-е издание)
Surface Laptop (7-е издание)
Surface Laptop Studio
Surface Laptop Studio 2
Surface Go 3
Surface Go 4		 Включение или отключение данных Включенные данные, отображение и доставка питания

Отключенные данные, но включены отображение и доставка питания

Отключенные данные, отображение и доставка питания		 USBPortEnabled (по умолчанию)
USBPortDataDisabled
USBPortHwDisabled		 380-389
Surface Laptop Studio 2
Surface Pro 10
Surface Pro 10 с 5G
Surface Laptop 6		 Включение или отключение данных Включенные данные, отображение и доставка питания

Отключенные данные, но включены отображение и доставка питания

Отключенные данные, отображение и доставка питания

Динамические или отключенные данные		 USBPortEnabled (по умолчанию)
USBPortDataDisabled
USBPortHwDisabled
USBPortAuthenticated		 380-389
Surface Book 2 и более поздних версий Базовые USB-порты всегда включены Базовые USB-порты всегда включены Неприменимо
Surface Book с базой производительности
Surface Book		 Базовые USB-порты всегда включены Н/Д: нет порта USB-C на устройстве Неприменимо

Подготовка отдела и организации

Динамическое отключение USB-C обеспечивает связь "многие ко многим" между узлом и док-станцией. Это позволяет клиентам иметь узлы и док-станции, настроенные для работы со всеми узлами и док-станциями, или сделать их специализированными для отдела, чтобы помочь в управлении ресурсами.

Таблица 2. Примеры связей: хост-устройство с док-станцией Surface Thunderbolt 4

Хост-устройство (Surface Laptop Studio 2) Неподготовленная док-станция Глобальная док-станция Department-X Dock Док-станция department-Y
Не подготовлено - Узел USB-C: Включен
- Док-порт USB: Включен		 - Узел USB-C: Включен
- Док-порт USB: Ограниченный, на основе политики док-станции без проверки подлинности		 - Узел USB-C: Включен
- Док-порт USB: Ограниченный, на основе политики док-станции без проверки подлинности		 - Узел USB-C: Включен
- Док-порт USB: Ограниченный, на основе политики док-станции без проверки подлинности
Глобальная - Узел USB-C: Данные отключены
- Док-порт USB: Данные отключены		 - Узел USB-C: Включен
- Док-порт USB: Политика проверки подлинности		 - Узел USB-C: Включен
- Док-порт USB: Политика проверки подлинности		 - Узел USB-C: Включен
- Закрепление: политика проверки подлинности
Отдел-X - Узел USB-C: Данные отключены
- Док-порт USB: Данные отключены		 - Узел USB-C: Включен
- Док-порт USB: Политика проверки подлинности		 - Узел USB-C: Включен
- Док-порт USB: Политика проверки подлинности		 - Узел USB-C: Данные отключены
- Док-порт USB: Данные отключены & ограничены на основе политики док-станции без проверки подлинности
Отдел-Y - Узел USB-C: Данные отключены
- Док-порт USB: Данные отключены		 - Узел USB-C: Включен
- Док-порт USB: Политика проверки подлинности		 - Узел USB-C: Данные отключены
- Док-порт USB: Данные отключены & ограничены на основе политики док-станции без проверки подлинности		 - Узел USB-C: Включен
- Док: Политика проверки подлинности
Хост-устройство
(Surface Laptop Studio 2)		 Неподготовленная док-станция Глобальная док-станция Department-X Dock Док-станция department-Y
Не подготовлено - Узел USB-C: Включен
- Док-порт USB: Включен		 - Узел USB-C: Включен
- Док-порт USB: Ограниченный, на основе политики док-станции без проверки подлинности		 - Узел USB-C: Включен
- Док-порт USB: Ограниченный, на основе политики док-станции без проверки подлинности		 - Узел USB-C: Включен
- Док-порт USB: Ограниченный, на основе политики док-станции без проверки подлинности
Глобальная - Узел USB-C: Данные отключены
- Док-порт USB: Данные отключены		 - Узел USB-C: Включен
- Док-порт USB: Политика проверки подлинности		 - Узел USB-C: Включен
- Док-порт USB: Политика проверки подлинности		 - Узел USB-C: Включен
- Закрепление: политика проверки подлинности
Отдел-X - Узел USB-C: Данные отключены
- Док-порт USB: Данные отключены		 - Узел USB-C: Включен
- Док-порт USB: Политика проверки подлинности		 - Узел USB-C: Включен
- Док-порт USB: Политика проверки подлинности		 - Узел USB-C: Данные отключены
- Док-порт USB: Данные отключены & ограничены на основе политики док-станции без проверки подлинности
Отдел-Y - Узел USB-C: Данные отключены
- Док-порт USB: Данные отключены		 - Узел USB-C: Включен
- Док-порт USB: Политика проверки подлинности		 - Узел USB-C: Данные отключены
- Док-порт USB: Данные отключены & ограничены на основе политики док-станции без проверки подлинности		 - Узел USB-C: Включен
- Док: Политика проверки подлинности

Приложение. Технический справочник по сценариям PowerShell SEMM

Сценарий Описание Предварительные условия
ApplyProvisioningPackage.ps1 — демонстрирует применение пакетов разрешений и владельца. — запуск с правами администратора

— Устройство Surface установило SurfaceUEFI_Manager_ (версия).msi

— пакет был создан с помощью CreateSettingsPackage.ps1 или аналогичного
ApplySettingsPackage.ps1 — демонстрирует применение пакета параметров. — запуск с правами администратора

— Устройство Surface установило SurfaceUEFI_Manager_ (версия).msi

— пакет был создан с помощью CreateSettingsPackage.ps1 или аналогичного
ConfigureSEMM — Dock2.ps1 — создает пакет подготовки док-станции Surface.

— применяет созданный пакет подготовки.		 — SurfaceUEFI_Manager_ (версия).msi установлена

— Центр сертификации док-станции (DockCA) — сертификат p7b, используемый для управления владением док-станцией Surface 2.

— Сертификат подготовки док-станции (ProvCert) — сертификат pfx, используемый для подписи пакета конфигурации док-станции с помощью EKU 1.3.6.1.4.1.311.76.9.21.3

- Этот сертификат и его цепочка полного доверия должны быть установлены на компьютере Surface во время создания пакета подготовки в -CertStoreLocation Cert:\LocalMachine\Root

— Сертификат авторизации узла док-станции (HostCert) — сертификат PFX, используемый для авторизации компьютера Surface для использования политик безопасности закрепления авторизованных пользователей.

— Этот сертификат и его цепочка полного доверия должны быть установлены на компьютере Surface во время подготовки док-станции (и только этого сертификата) к -CertStoreLocation Cert:\LocalMachine\Root.

— этот сертификат не должен быть установлен на компьютере Surface во время создания пакета подготовки.

— Док-станция Surface 2

-Поставщик экземпляров WMI для док-станции Surface. Дополнительные сведения см. в статье Управление док-станциями Surface с помощью WMI.
ConfigureSEMM — Thunderbolt(TM)4Dock-Host-SAM.ps1 — Создает и применяет пакет SEMM/DFCI, который задает порт USB-C и содержит хэши центра сертификации.

— создает и применяет полезные данные CFU центра сертификации SAM.		 — SurfaceUEFI_Manager_ (версия).msi установлена

— Центр сертификации док-станции (DockCA) — сертификат p7b, используемый для управления владением док-станцией Surface Thunderbolt 4

— Один из следующих компьютеров Surface (другие модели еще не поддерживаются): Surface Laptop Studio 2
ConfigureSEMM — Thunderbolt(TM)4Dock-Host.ps1 — создает и применяет пакет CFU для SAM. — SurfaceUEFI_Manager_ (версия).msi установлена

— Список файлов центра сертификации (P7B). SAM может поддерживать до 10 различных ЦС

— Один из следующих компьютеров Surface (другие модели еще не поддерживаются): Surface Laptop Studio 2
ConfigureSEMM — Thunderbolt(TM)4Dock-Policy.ps1 — создает пакет политики док-станции Surface Thunderbolt 4.

— Применяет созданный пакет политики.		 — SurfaceUEFI_Manager_ (версия).msi установлена

— Сертификат подготовки док-станции (ProvCert) — сертификат pfx, используемый для подписи пакета конфигурации док-станции с помощью EKU 1.3.6.1.4.1.311.76.9.21.3

- Этот сертификат и его цепочка полного доверия должны быть установлены на компьютере Surface во время создания пакета подготовки в -CertStoreLocation Cert:\LocalMachine\Root

— Сертификат авторизации узла док-станции (HostCert) — сертификат PFX, используемый для авторизации компьютера Surface для использования политик безопасности закрепления авторизованных пользователей.

— Этот сертификат и его цепочка полного доверия должны быть установлены на компьютере Surface во время подготовки док-станции (и только этого сертификата) к -CertStoreLocation Cert:\LocalMachine\Root.

— этот сертификат не должен быть установлен на компьютере Surface во время создания пакета подготовки.

— Закрепление сертификата проверки подлинности (DockAuthCert)

— Док-станция Surface Thunderbolt 4
ConfigureSEMM — Thunderbolt(TM)4Dock-Provisioning.ps1 — создает пакет подготовки док-станции Surface Thunderbolt 4.

— применяет созданный пакет подготовки.		 — SurfaceUEFI_Manager_ (версия).msi установлена

— файл центра сертификации dock (DepartmentCA и(или) OrganizationCA) — сертификат p7b, используемый для управления владением док-станцией Surface Thunderbolt 4

— Сертификат подготовки док-станции (ProvCert) — сертификат pfx, используемый для подписи пакета конфигурации док-станции с помощью EKU 1.3.6.1.4.1.311.76.9.21.3

- Этот сертификат и его цепочка полного доверия должны быть установлены на компьютере Surface во время создания пакета подготовки в -CertStoreLocation Cert:\LocalMachine\Root

— Сертификат авторизации узла док-станции (HostCert) — сертификат PFX, используемый для авторизации компьютера Surface для использования политик безопасности закрепления авторизованных пользователей.

— Этот сертификат и его цепочка полного доверия должны быть установлены на компьютере Surface во время подготовки док-станции (и только этого сертификата) к -CertStoreLocation Cert:\LocalMachine\Root.

— этот сертификат не должен быть установлен на компьютере Surface во время создания пакета подготовки.

— Закрепление сертификата проверки подлинности (DockAuthCert)

— Док-станция Surface Thunderbolt 4
ConfigureSEMM — Thunderbolt(TM)4Dock-USBC.ps1 — создает и применяет пакет SEMM/DFCI режима USB-C 3. — SurfaceUEFI_Manager_ (версия).msi установлена

— ключ подписи сертификата владения создан и доступен

— Один из следующих компьютеров Surface (другие модели еще не поддерживаются): Surface Laptop Studio 2
ConfigureSEMM.ps1 — создает пакет подготовки подписывателя (также известный как "владелец") и универсальный пакет сброса.

— создает пакет разрешений.

— применяет созданные пакеты владельцев и разрешений.		 — SurfaceUEFI_Manager_ (версия).msi установлена

— ключ подписи сертификата владения создан и доступен

— Устройство Surface с совместимым UEFI с поддержкой SEMM
CreateOwnerPackage.ps1 — создает пакет подготовки подписывателя (также известный как "владелец") и универсальный пакет сброса.

— может выполняться на рабочей станции ИТ-администратора (не должно быть устройством Surface).		 — на рабочей станции ИТ-администратора установлена SurfaceUEFI_Manager_ (версия).msi

— ключ подписи сертификата владения создан и доступен
CreateOwnerUpgradePackage.ps1 — создает пакет подготовки обновления подписывателя (также известный как "владелец") и универсальный пакет сброса. — на рабочей станции ИТ-администратора установлена SurfaceUEFI_Manager_ (версия).msi

— Создан и доступен новый ключ подписи сертификата владения.

— Существующий ключ подписи сертификата владения создан и доступен
CreatePermissionPackages.ps1 — демонстрирует создание пакета разрешений. — на рабочей станции ИТ-администратора установлена SurfaceUEFI_Manager_ (версия).msi

— ключ подписи сертификата владения создан и доступен
CreateSettingsPackage.ps1 — демонстрирует создание пакета параметров. — на рабочей станции ИТ-администратора установлена SurfaceUEFI_Manager_ (версия).msi

— ключ подписи сертификата владения создан и доступен
CreateSurfaceDock2Certificates.ps1 — Создает набор сертификатов, подходящих для настройки док-станции Surface 2.

— Их можно использовать в сочетании со сценариями настройки и сброса или с помощью конфигуратора.		 - Н/Д
CreateSurfaceThunderbolt(TM)4DockCertificates.ps1 — Создает набор сертификатов, подходящих для настройки док-станции Surface Thunderbolt 4.

— Их можно использовать в сочетании со сценариями настройки и сброса или с помощью конфигуратора.		 - Н/Д
CreateTestCertificates.ps1 — демонстрирует создание цифровых сертификатов, используемых в системе.

- Заметка: Созданные здесь сертификаты будут работать в целях тестирования, но являются упрощенными и не рекомендуется для фактического развертывания.

— Мы настоятельно рекомендуем вам узнать больше о рекомендациях по PKI, прочитав разделы по PKI, например рекомендации по реализации инфраструктуры открытых ключей Microsoft Windows Server 2003.		 - Н/Д
CurrentSettings.ps1 — Отображение текущих параметров SEMM на устройстве при загрузке. — запуск с правами администратора

— Устройство Surface установило SurfaceUEFI_Manager_ (версия).msi
ResetSEMM — Dock2.ps1 — создает пакет сброса док-станции Surface.

— применяет созданный пакет сброса.		 — SurfaceUEFI_Manager_ (версия).msi установлена

— Центр сертификации док-станции (DockCA) — файл сертификата p7b, используемый для управления владением док-станцией Surface 2.

— Сертификат подготовки док-станции (ProvCert) — PFX-файл сертификата, используемый для подписи пакета конфигурации dock с помощью EKU 1.3.6.1.4.1.311.76.9.21.3

- Этот сертификат и его цепочка полного доверия должны быть установлены на компьютере Surface во время создания пакета подготовки в -CertStoreLocation Cert:\LocalMachine\Root

— Сертификат авторизации узла док-станции (HostCert) — PFX-файл сертификата, используемый для авторизации компьютера Surface для использования политик безопасности закрепления авторизованных пользователей.

— Этот сертификат и его цепочка полного доверия должны быть установлены на компьютере Surface во время подготовки док-станции (и только этого сертификата) к -CertStoreLocation Cert:\LocalMachine\Root.

— этот сертификат не должен быть установлен на компьютере Surface во время создания пакета подготовки.

— Док-станция Surface 2

— Поставщик экземпляров WMI для док-станции Surface 2. Дополнительные сведения см. в статье Управление док-станциями Surface с помощью WMI.
ResetSEMM — Thunderbolt(TM)4Dock.ps1 — создает пакет сброса док-станции Surface Thunderbolt 4.

— применяет созданный пакет сброса.		 — SurfaceUEFI_Manager_ (версия).msi установлена

— Сертификат подготовки док-станции (ProvCert) — PFX-файл сертификата, используемый для подписи пакета конфигурации dock с помощью EKU 1.3.6.1.4.1.311.76.9.21.3

- Этот сертификат и его цепочка полного доверия должны быть установлены на компьютере Surface во время создания пакета подготовки в -CertStoreLocation Cert:\LocalMachine\Root

— Сертификат авторизации узла док-станции (HostCert) — PFX-файл сертификата, используемый для авторизации компьютера Surface для использования политик безопасности закрепления авторизованных пользователей.

— Этот сертификат и его цепочка полного доверия должны быть установлены на компьютере Surface во время подготовки док-станции (и только этого сертификата) к -CertStoreLocation Cert:\LocalMachine\Root.

— этот сертификат не должен быть установлен на компьютере Surface во время создания пакета подготовки.

— Док-станция Surface Thunderbolt 4
ResetSemm.ps1 — Создает и применяет пакет сброса SEMM для определенного устройства. — права администратора на устройстве.

— Устройство Surface установило SurfaceUEFI_Manager_ (версия).msi

— Сертификат создан и доступен (пароль — 1234).

— Это устройство Surface ранее было зарегистрировано с тем же сертификатом.
ShowSettingsOptions.ps1 — выводит параметры UEFI, которые можно применить к устройствам Surface. — на рабочей станции ИТ-администратора установлена SurfaceUEFI_Manager_ (версия).msi
VerifyDockSettings.ps1 — Запись и отображение текущей конфигурации подключенной док-станции Surface — Док-станция Surface 2 или док-станция Surface Thunderbolt 4
VerifySettings.ps1 — показывает, как просмотреть текущие параметры и состояние последних обновлений. — запуск с правами администратора

— Устройство Surface установило SurfaceUEFI_Manager_ (версия).msi

— пакеты были применены, а файлы идентификаторов сеанса сохранены.

Подробнее