Управление USB-портами на устройствах Surface
Если функция USB-порта включена по умолчанию на устройствах Surface, многие устройства с Surface UEFI позволяют администраторам отключать подключение к USB-портам. Например, вы можете запретить пользователям копировать данные с USB-накопителей или внешних жестких дисков.
Предварительные условия
Прежде чем начать процесс, описанный в этой статье, ознакомьтесь со следующими технологиями и инструментами:
- Набор средств ДЛЯ ИТ-специалистов Surface можно скачать с сайта Surface Tools for IT.
- Surface UEFI
- Surface Enterprise Management Mode (SEMM)
- Скрипты PowerShell
- Развертывание приложений с помощью Configuration Manager
Get started
Процесс состоит из следующих частей:
Регистрации: Регистрация устройств и док-станций Surface в SEMM с помощью конфигуратора Surface UEFI, как описано в разделе Защита портов док-станции Surface с помощью SEMM. Поддерживаются док-станции Surface Dock 2 и Док-станция Surface Thunderbolt 4. Ключом к этому рабочему процессу является возможность отключения данных USB-C, данных Ethernet и звука USB-C всякий раз, когда устройства отключены от авторизованной док-станции Surface, расположенной, например, в рабочей среде, обрабатывающей конфиденциальные сведения.
Конфигурация клиента: Установите диспетчер UEFI, доступный из библиотеки surface IT Toolkit, на всех устройствах Surface, предназначенных для управления.
Скрипты PowerShell: Перейдите в surface IT Toolkit, чтобы скачать и изменить скрипты PowerShell в соответствии с вашей средой. Используйте Microsoft Configuration Manager для развертывания скриптов (как приложений) на целевых устройствах, следуя инструкциям в разделе Использование Microsoft Configuration Manager для управления устройствами с помощью SEMM.
Рекомендации по использованию см. во встроенных комментариях. Определения и предварительные требования см. в приложении. Технический справочник по скриптам PowerShell ДЛЯ SEMM .
Управление портами USB-A
Для портов USB-A, поддерживающих USB-2 и USB-3, можно отключить протокол данных USB с USB-контроллера, чтобы запретить все функциональные возможности.
Детализированное отключение USB-C
Управление портами USB-C с поддержкой DisplayPort и USB-доставки питания предоставляет больше возможностей, помимо отключения всех функций. Например, можно запретить подключение к данным, чтобы запретить пользователям копировать данные из USB-хранилища, но сохранить возможность расширения дисплеев и зарядки устройства через док-станцию USB-C.
Начиная с Surface Pro 8, Surface Laptop Studio и Surface Go 3, детализированные параметры управления USB-C доступны с помощью сценариев PowerShell SEMM.
Перейдите в раздел Инструменты Surface для ИТ и скачайте SEMM_PowerShell.zip.
Если у вас еще нет собственных сертификатов, их можно получить с помощью соответствующего примера сценария, как описано в приложении на этой странице.
Предостережение
Храните сертификаты в безопасном расположении и убедитесь, что их резервная копия правильно создана. Без них невозможно сбросить Surface UEFI, изменить управляемые параметры Surface UEFI или удалить SEMM с зарегистрированного устройства Surface.
Динамическое отключение USB-C
Динамическое отключение USB-C позволяет клиентам, работающим в средах с высоким уровнем безопасности, предотвратить несанкционированную передачу данных через USB, тем самым предоставляя организациям больший контроль. В сочетании с док-станцией Surface Thunderbolt 4 ИТ-администраторы могут блокировать порты USB-C всякий раз, когда соответствующие устройства Surface отстыкованы или подключены к несанкционированной док-станции.
Совет
Эта функция доступна в Surface Pro 10, Surface Laptop 6 и Surface Laptop Studio 2.
В этом сценарии, когда пользователи подключены к авторизованной док-станции в офисе, порты USB-C будут иметь полную функциональность на своих устройствах. Однако при выходе из сайта они по-прежнему могут подключаться к док-станции, чтобы использовать аксессуары или монитор, но не могут использовать USB-порты для передачи данных.
Динамическое отключение USB-C предоставляет ИТ-администраторам большую гибкость для управления устройствами с помощью нового режима 3 в дополнение к существующим режимам работы:
Режим 0 (режим по умолчанию): Режим по умолчанию, если SEMM не настроен.
Режим 1 (данные отключены): Данные USB-C и Ethernet отключены. Звук через USB-C также отключен. Функция вывода и питания включена.
Режим 2 (полностью отключен): Данные USB-C и Ethernet отключены. Звук через USB-C также отключен. Функция вывода и питания отключена.
Режим 3 (проверка подлинности через USB-порт), также известный как динамическое отключение USB-C. Данные USB-C, данные Ethernet, звук USB-C, вывод и питание функции только в том случае, если устройство подключено к авторизованной док-станции Surface Thunderbolt 4. При подключении к несанкционированной док-станции отображается только и функции питания будут работать.
Управление портами USB-C с помощью набора средств ИТ Surface
Теперь можно управлять портами USB-C во всех режимах с помощью любого из следующих методов:
- Новый конфигуратор UEFI , включенный в набор средств ДЛЯ ИТ-специалистов Surface , обеспечивает поддержку пользовательского интерфейса для настройки портов без использования скриптов PowerShell.
- Скрипты PowerShell, как описано в этой статье.
Целевое поведение
| Состояние USB-порта узла | Enabled | Данные отключены | Оборудование отключено | Проверка подлинности порта (неавторизованная или без док-станции) | Проверка подлинности порта (авторизованная док-станция) |
|---|---|---|---|---|---|
| USB 2.0, 3.x, 4.x | Enabled | Отключена | Отключена | Отключена | Включена |
| Thunderbolt 3 или 4 | Enabled | Отключена | Отключена | Отключена | Включена |
| Аксессуары для аудио | Enabled | Отключена | Отключена | Отключена | Включена |
| Network | Enabled | Отключена | Отключена | Отключена | Включена |
| USB Type C Power | Включена | Включена | Отключена | Включена | Включена |
| PD Power >0W | Включена | Включена | Отключена | Включена | Включена |
| Режим alt DisplayPort | Включена | Включена | Отключена | Включена | Включена |
Подготовка док-станций Surface
Используйте соответствующий скрипт подготовки, как описано в приложении на этой странице.
- ConfigureSEMM — Dock2.ps1
- ConfigureSEMM — Thunderbolt(TM)4Dock-Provisioning
Откройте ConfigureSEMM.ps1 и измените соответствующим образом. Например, чтобы отключить порты USB-C, включите следующий параметр: UsbPortHwDisabled. Все доступные параметры см. в следующей таблице.
Таблица 1: Параметры управления USB-портами для устройств Surface
| Устройство | Параметры USB-A (если он присутствует на устройстве) |
Параметры USB-C (если он присутствует на устройстве) |
Параметры | Идентификаторы SEMM |
|---|---|---|---|---|
| Surface Laptop Surface Laptop 2 Surface Pro Surface Pro 4 Surface Pro 6 Surface Studio Surface Studio 2 |
Включение или отключение данных | Н/Д: нет порта USB-C на устройстве | USBPortEnabled (по умолчанию) USBPortHWDisabled |
370-379 |
| Surface Laptop SE Surface Pro 7 Surface Pro 7+ Surface Go Surface Go 2 Surface Laptop Go Surface Laptop Go Surface Laptop Go 3 Ноутбук Surface 3 (только Intel) Surface Laptop 4 (только Intel) Ноутбук Surface 5 (только Intel) Surface Studio 2+ |
Включение или отключение данных | Включенные данные, отображение и доставка питания Отключенные данные, отображение и доставка питания |
USBPortEnabled (по умолчанию) USBPortHWDisabled |
370-379 |
| Surface Pro 8 Surface Pro 9 Surface Laptop Studio Surface Laptop Studio 2 Surface Go 3 Surface Go 4 |
Включение или отключение данных | Включенные данные, отображение и доставка питания Отключенные данные, но включены отображение и доставка питания Отключенные данные, отображение и доставка питания |
USBPortEnabled (по умолчанию) USBPortDataDisabled USBPortHwDisabled |
380-389 |
| Surface Laptop Studio 2 Surface Pro 10 Ноутбук Surface 6 |
Включение или отключение данных | Включенные данные, отображение и доставка питания Отключенные данные, но включены отображение и доставка питания Отключенные данные, отображение и доставка питания Динамические или отключенные данные |
USBPortEnabled (по умолчанию) USBPortDataDisabled USBPortHwDisabled USBPortAuthenticated |
380-389 |
| Surface Book 2 и более поздних версий | Базовые USB-порты всегда включены | Базовые USB-порты всегда включены | Неприменимо | |
| Surface Book с базой производительности Surface Book |
Базовые USB-порты всегда включены | Н/Д: нет порта USB-C на устройстве | Неприменимо |
Подготовка отдела и организации
Динамическое отключение USB-C обеспечивает связь "многие ко многим" между узлом и док-станцией. Это позволяет клиентам иметь узлы и док-станции, настроенные для работы со всеми узлами и док-станциями, или сделать их специализированными для отдела, чтобы помочь в управлении ресурсами.
Таблица 2. Примеры связей: хост-устройство с док-станцией Surface Thunderbolt 4
| Хост-устройство (Surface Laptop Studio 2) | Неподготовленная док-станция | Глобальная док-станция | Department-X Dock | Док-станция department-Y |
|---|---|---|---|---|
| Не подготовлено | - Узел USB-C: Включен - Док-порт USB: Включен |
- Узел USB-C: Включен - Док-порт USB: Ограниченный, на основе политики док-станции без проверки подлинности |
- Узел USB-C: Включен - Док-порт USB: Ограниченный, на основе политики док-станции без проверки подлинности |
- Узел USB-C: Включен - Док-порт USB: Ограниченный, на основе политики док-станции без проверки подлинности |
| Глобальная | - Узел USB-C: Данные отключены - Док-порт USB: Данные отключены |
- Узел USB-C: Включен - Док-порт USB: Политика проверки подлинности |
- Узел USB-C: Включен - Док-порт USB: Политика проверки подлинности |
- Узел USB-C: Включен - Закрепление: политика проверки подлинности |
| Отдел-X | - Узел USB-C: Данные отключены - Док-порт USB: Данные отключены |
- Узел USB-C: Включен - Док-порт USB: Политика проверки подлинности |
- Узел USB-C: Включен - Док-порт USB: Политика проверки подлинности |
- Узел USB-C: Данные отключены - Док-порт USB: Данные отключены & ограничены на основе политики док-станции без проверки подлинности |
| Отдел-Y | - Узел USB-C: Данные отключены - Док-порт USB: Данные отключены |
- Узел USB-C: Включен - Док-порт USB: Политика проверки подлинности |
- Узел USB-C: Данные отключены - Док-порт USB: Данные отключены & ограничены на основе политики док-станции без проверки подлинности |
- Узел USB-C: Включен - Док: Политика проверки подлинности |
| Хост-устройство (Surface Laptop Studio 2) |
Неподготовленная док-станция | Глобальная док-станция | Department-X Dock | Док-станция department-Y |
|---|---|---|---|---|
| Не подготовлено | - Узел USB-C: Включен - Док-порт USB: Включен |
- Узел USB-C: Включен - Док-порт USB: Ограниченный, на основе политики док-станции без проверки подлинности |
- Узел USB-C: Включен - Док-порт USB: Ограниченный, на основе политики док-станции без проверки подлинности |
- Узел USB-C: Включен - Док-порт USB: Ограниченный, на основе политики док-станции без проверки подлинности |
| Глобальная | - Узел USB-C: Данные отключены - Док-порт USB: Данные отключены |
- Узел USB-C: Включен - Док-порт USB: Политика проверки подлинности |
- Узел USB-C: Включен - Док-порт USB: Политика проверки подлинности |
- Узел USB-C: Включен - Закрепление: политика проверки подлинности |
| Отдел-X | - Узел USB-C: Данные отключены - Док-порт USB: Данные отключены |
- Узел USB-C: Включен - Док-порт USB: Политика проверки подлинности |
- Узел USB-C: Включен - Док-порт USB: Политика проверки подлинности |
- Узел USB-C: Данные отключены - Док-порт USB: Данные отключены & ограничены на основе политики док-станции без проверки подлинности |
| Отдел-Y | - Узел USB-C: Данные отключены - Док-порт USB: Данные отключены |
- Узел USB-C: Включен - Док-порт USB: Политика проверки подлинности |
- Узел USB-C: Данные отключены - Док-порт USB: Данные отключены & ограничены на основе политики док-станции без проверки подлинности |
- Узел USB-C: Включен - Док: Политика проверки подлинности |
Приложение. Технический справочник по сценариям PowerShell SEMM
| Сценарий | Описание | Предварительные условия |
|---|---|---|
| ApplyProvisioningPackage.ps1 | — демонстрирует применение пакетов разрешений и владельца. | — запуск с правами администратора — Устройство Surface установило SurfaceUEFI_Manager_ (версия).msi — пакет был создан с помощью CreateSettingsPackage.ps1 или аналогичного |
| ApplySettingsPackage.ps1 | — демонстрирует применение пакета параметров. | — запуск с правами администратора — Устройство Surface установило SurfaceUEFI_Manager_ (версия).msi — пакет был создан с помощью CreateSettingsPackage.ps1 или аналогичного |
| ConfigureSEMM — Dock2.ps1 | — создает пакет подготовки док-станции Surface. — применяет созданный пакет подготовки. |
— SurfaceUEFI_Manager_ (версия).msi установлена — Центр сертификации док-станции (DockCA) — сертификат p7b, используемый для управления владением док-станцией Surface 2. — Сертификат подготовки док-станции (ProvCert) — сертификат pfx, используемый для подписи пакета конфигурации док-станции с помощью EKU 1.3.6.1.4.1.311.76.9.21.3 - Этот сертификат и его цепочка полного доверия должны быть установлены на компьютере Surface во время создания пакета подготовки в -CertStoreLocation Cert:\LocalMachine\Root — Сертификат авторизации узла док-станции (HostCert) — сертификат PFX, используемый для авторизации компьютера Surface для использования политик безопасности закрепления авторизованных пользователей. — Этот сертификат и его цепочка полного доверия должны быть установлены на компьютере Surface во время подготовки док-станции (и только этого сертификата) к -CertStoreLocation Cert:\LocalMachine\Root. — этот сертификат не должен быть установлен на компьютере Surface во время создания пакета подготовки. — Док-станция Surface 2 -Поставщик экземпляров WMI для док-станции Surface. Дополнительные сведения см. в статье Управление док-станциями Surface с помощью WMI. |
| ConfigureSEMM — Thunderbolt(TM)4Dock-Host-SAM.ps1 | — Создает и применяет пакет SEMM/DFCI, который задает порт USB-C и содержит хэши центра сертификации. — создает и применяет полезные данные CFU центра сертификации SAM. |
— SurfaceUEFI_Manager_ (версия).msi установлена — Центр сертификации док-станции (DockCA) — сертификат p7b, используемый для управления владением док-станцией Surface Thunderbolt 4 — Один из следующих компьютеров Surface (другие модели пока не поддерживаются): Surface Laptop Studio 2 |
| ConfigureSEMM — Thunderbolt(TM)4Dock-Host.ps1 | — создает и применяет пакет CFU для SAM. | — SurfaceUEFI_Manager_ (версия).msi установлена — Список файлов центра сертификации (P7B). SAM может поддерживать до 10 различных ЦС — Один из следующих компьютеров Surface (другие модели пока не поддерживаются): Surface Laptop Studio 2 |
| ConfigureSEMM — Thunderbolt(TM)4Dock-Policy.ps1 | — создает пакет политики док-станции Surface Thunderbolt 4. — Применяет созданный пакет политики. |
— SurfaceUEFI_Manager_ (версия).msi установлена — Сертификат подготовки док-станции (ProvCert) — сертификат pfx, используемый для подписи пакета конфигурации док-станции с помощью EKU 1.3.6.1.4.1.311.76.9.21.3 - Этот сертификат и его цепочка полного доверия должны быть установлены на компьютере Surface во время создания пакета подготовки в -CertStoreLocation Cert:\LocalMachine\Root — Сертификат авторизации узла док-станции (HostCert) — сертификат PFX, используемый для авторизации компьютера Surface для использования политик безопасности закрепления авторизованных пользователей. — Этот сертификат и его цепочка полного доверия должны быть установлены на компьютере Surface во время подготовки док-станции (и только этого сертификата) к -CertStoreLocation Cert:\LocalMachine\Root. — этот сертификат не должен быть установлен на компьютере Surface во время создания пакета подготовки. — Закрепление сертификата проверки подлинности (DockAuthCert) — Док-станция Surface Thunderbolt 4 |
| ConfigureSEMM — Thunderbolt(TM)4Dock-Provisioning.ps1 | — создает пакет подготовки док-станции Surface Thunderbolt 4. — применяет созданный пакет подготовки. |
— SurfaceUEFI_Manager_ (версия).msi установлена — файл центра сертификации dock (DepartmentCA и(или) OrganizationCA) — сертификат p7b, используемый для управления владением док-станцией Surface Thunderbolt 4 — Сертификат подготовки док-станции (ProvCert) — сертификат pfx, используемый для подписи пакета конфигурации док-станции с помощью EKU 1.3.6.1.4.1.311.76.9.21.3 - Этот сертификат и его цепочка полного доверия должны быть установлены на компьютере Surface во время создания пакета подготовки в -CertStoreLocation Cert:\LocalMachine\Root — Сертификат авторизации узла док-станции (HostCert) — сертификат PFX, используемый для авторизации компьютера Surface для использования политик безопасности закрепления авторизованных пользователей. — Этот сертификат и его цепочка полного доверия должны быть установлены на компьютере Surface во время подготовки док-станции (и только этого сертификата) к -CertStoreLocation Cert:\LocalMachine\Root. — этот сертификат не должен быть установлен на компьютере Surface во время создания пакета подготовки. — Закрепление сертификата проверки подлинности (DockAuthCert) — Док-станция Surface Thunderbolt 4 |
| ConfigureSEMM — Thunderbolt(TM)4Dock-USBC.ps1 | — создает и применяет пакет SEMM/DFCI режима USB-C 3. | — SurfaceUEFI_Manager_ (версия).msi установлена — ключ подписи сертификата владения создан и доступен — Один из следующих компьютеров Surface (другие модели пока не поддерживаются): Surface Laptop Studio 2 |
| ConfigureSEMM.ps1 | — создает пакет подготовки подписывателя (также известный как "владелец") и универсальный пакет сброса. — создает пакет разрешений. — применяет созданные пакеты владельцев и разрешений. |
— SurfaceUEFI_Manager_ (версия).msi установлена — ключ подписи сертификата владения создан и доступен — Устройство Surface с совместимым UEFI с поддержкой SEMM |
| CreateOwnerPackage.ps1 | — создает пакет подготовки подписывателя (также известный как "владелец") и универсальный пакет сброса. — может выполняться на рабочей станции ИТ-администратора (не должно быть устройством Surface). |
— на рабочей станции ИТ-администратора установлена SurfaceUEFI_Manager_ (версия).msi — ключ подписи сертификата владения создан и доступен |
| CreateOwnerUpgradePackage.ps1 | — создает пакет подготовки обновления подписывателя (также известный как "владелец") и универсальный пакет сброса. | — на рабочей станции ИТ-администратора установлена SurfaceUEFI_Manager_ (версия).msi — Создан и доступен новый ключ подписи сертификата владения. — Существующий ключ подписи сертификата владения создан и доступен |
| CreatePermissionPackages.ps1 | — демонстрирует создание пакета разрешений. | — на рабочей станции ИТ-администратора установлена SurfaceUEFI_Manager_ (версия).msi — ключ подписи сертификата владения создан и доступен |
| CreateSettingsPackage.ps1 | — демонстрирует создание пакета параметров. | — на рабочей станции ИТ-администратора установлена SurfaceUEFI_Manager_ (версия).msi — ключ подписи сертификата владения создан и доступен |
| CreateSurfaceDock2Certificates.ps1 | — Создает набор сертификатов, подходящих для настройки док-станции Surface 2. — Их можно использовать в сочетании со сценариями настройки и сброса или с помощью конфигуратора. |
- Н/Д |
| CreateSurfaceThunderbolt(TM)4DockCertificates.ps1 | — Создает набор сертификатов, подходящих для настройки док-станции Surface Thunderbolt 4. — Их можно использовать в сочетании со сценариями настройки и сброса или с помощью конфигуратора. |
- Н/Д |
| CreateTestCertificates.ps1 | — демонстрирует создание цифровых сертификатов, используемых в системе. - Примечание: Созданные здесь сертификаты будут работать в целях тестирования, но являются упрощенными и не рекомендуется для фактического развертывания. — Мы настоятельно рекомендуем вам узнать больше о рекомендациях по PKI, прочитав разделы по PKI, например рекомендации по реализации инфраструктуры открытых ключей Microsoft Windows Server 2003. |
- Н/Д |
| CurrentSettings.ps1 | — Отображение текущих параметров SEMM на устройстве при загрузке. | — запуск с правами администратора — Устройство Surface установило SurfaceUEFI_Manager_ (версия).msi |
| ResetSEMM — Dock2.ps1 | — создает пакет сброса док-станции Surface. — применяет созданный пакет сброса. |
— SurfaceUEFI_Manager_ (версия).msi установлена — Центр сертификации док-станции (DockCA) — файл сертификата p7b, используемый для управления владением док-станцией Surface 2. — Сертификат подготовки док-станции (ProvCert) — PFX-файл сертификата, используемый для подписи пакета конфигурации dock с помощью EKU 1.3.6.1.4.1.311.76.9.21.3 - Этот сертификат и его цепочка полного доверия должны быть установлены на компьютере Surface во время создания пакета подготовки в -CertStoreLocation Cert:\LocalMachine\Root — Сертификат авторизации узла док-станции (HostCert) — PFX-файл сертификата, используемый для авторизации компьютера Surface для использования политик безопасности закрепления авторизованных пользователей. — Этот сертификат и его цепочка полного доверия должны быть установлены на компьютере Surface во время подготовки док-станции (и только этого сертификата) к -CertStoreLocation Cert:\LocalMachine\Root. — этот сертификат не должен быть установлен на компьютере Surface во время создания пакета подготовки. — Док-станция Surface 2 — Поставщик экземпляров WMI для док-станции Surface 2. Дополнительные сведения см. в статье Управление док-станциями Surface с помощью WMI. |
| ResetSEMM — Thunderbolt(TM)4Dock.ps1 | — создает пакет сброса док-станции Surface Thunderbolt 4. — применяет созданный пакет сброса. |
— SurfaceUEFI_Manager_ (версия).msi установлена — Сертификат подготовки док-станции (ProvCert) — PFX-файл сертификата, используемый для подписи пакета конфигурации dock с помощью EKU 1.3.6.1.4.1.311.76.9.21.3 - Этот сертификат и его цепочка полного доверия должны быть установлены на компьютере Surface во время создания пакета подготовки в -CertStoreLocation Cert:\LocalMachine\Root — Сертификат авторизации узла док-станции (HostCert) — PFX-файл сертификата, используемый для авторизации компьютера Surface для использования политик безопасности закрепления авторизованных пользователей. — Этот сертификат и его цепочка полного доверия должны быть установлены на компьютере Surface во время подготовки док-станции (и только этого сертификата) к -CertStoreLocation Cert:\LocalMachine\Root. — этот сертификат не должен быть установлен на компьютере Surface во время создания пакета подготовки. — Док-станция Surface Thunderbolt 4 |
| ResetSemm.ps1 | — Создает и применяет пакет сброса SEMM для определенного устройства. | — права администратора на устройстве. — Устройство Surface установило SurfaceUEFI_Manager_ (версия).msi — Сертификат создан и доступен (пароль — 1234). — Это устройство Surface ранее было зарегистрировано с тем же сертификатом. |
| ShowSettingsOptions.ps1 | — выводит параметры UEFI, которые можно применить к устройствам Surface. | — на рабочей станции ИТ-администратора установлена SurfaceUEFI_Manager_ (версия).msi |
| VerifyDockSettings.ps1 | — Запись и отображение текущей конфигурации подключенной док-станции Surface | — Док-станция Surface 2 или док-станция Surface Thunderbolt 4 |
| VerifySettings.ps1 | — показывает, как просмотреть текущие параметры и состояние последних обновлений. | — запуск с правами администратора — Устройство Surface установило SurfaceUEFI_Manager_ (версия).msi — пакеты были применены, а файлы идентификаторов сеанса сохранены. |
Подробнее
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по