使用组策略管理设备安装

通过使用 Windows 操作系统,管理员可以确定哪些设备可以安装在他们管理的计算机上。 本指南总结了设备安装过程,并演示了使用组策略控制设备安装的方法。

简介

概要

本分步指南介绍如何控制所管理的计算机上的设备安装,包括指定用户可以和不能安装的设备。 本指南适用于从 Windows 10 版本 1809 开始的所有 Windows 版本。 本指南包括以下方案:

  • 阻止用户安装位于“禁止”列表中的设备。 如果设备不在列表中,则用户可以安装它。
  • 允许用户仅安装“已批准”列表中的设备。 如果设备不在列表中,则用户无法安装它。

本指南介绍设备安装过程,并介绍了 Windows 用于将设备与计算机上可用的设备驱动程序包匹配的设备标识字符串。 本指南还说明了两种控制设备安装的方法。 每个方案分步显示一种可用于允许或阻止安装特定设备或设备类的方法。

方案中使用的示例设备是 USB 存储设备。 可以使用其他设备执行本指南中的步骤。 但是,如果使用其他设备,则指南中的说明不会完全匹配计算机上显示的用户界面。

请务必了解,本指南中提供的组策略仅适用于计算机/计算机组,而不适用于用户/用户组。

重要提示

本指南中提供的步骤适用于测试实验室环境。 本分步指南不应用于在没有随附文档的情况下部署 Windows Server 功能,应自行决定将其用作独立文档。

谁应使用本指南?

本指南面向以下受众:

  • 正在评估Windows 10、Windows 11或 Windows Server 2022 的信息技术规划者和分析师
  • 企业信息技术规划师和设计人员
  • 负责在其组织中实现可信计算的安全架构师
  • 想要熟悉该技术的管理员

使用 组策略 控制设备安装的好处

限制用户可安装的设备可降低数据被盗的风险并降低支持成本。

降低数据被盗的风险

如果用户的计算机无法安装支持可移动媒体的未经批准的设备,则用户更难制作未经授权的公司数据副本。 例如,如果用户无法安装 U 盘设备,则无法将公司数据的副本下载到可移动存储中。 此权益无法消除数据盗窃,但它为未经授权删除数据造成了另一个障碍。

降低支持成本

你可以确保用户仅安装技术支持团队经过培训并已具备支持能力的设备。 此权益可降低支持成本和用户混淆。

场景概述

本指南中介绍的方案说明了如何控制所管理的计算机上的设备安装和使用情况。 这些方案使用本地计算机上的组策略来简化在实验室环境中使用过程。 在管理多台客户端计算机的环境中,应使用 组策略 应用这些设置。 使用 Active Directory 部署的 组策略,可以将设置应用于域中属于某个域或组织单位的所有计算机。 有关如何创建组策略对象以管理客户端计算机的详细信息,请参阅创建组策略对象

方案 描述
方案 #1:阻止安装所有打印机 在此方案中,管理员希望阻止用户安装任何打印机。 因此,这是介绍组策略中设备安装策略的“阻止/允许”功能的基本方案。
方案 #2:阻止安装特定打印机 在此方案中,管理员允许标准用户同时安装所有打印机,但阻止他们安装特定的打印机。
方案 #3:阻止安装所有打印机,同时允许安装特定打印机 在此方案中,你将从方案 #1 和方案 #2 中学到的知识结合起来。 管理员希望允许标准用户仅安装特定打印机,同时阻止安装所有其他打印机。 此方案更现实,可让你更深入地了解设备安装限制策略。
方案 #4:阻止安装特定 USB 设备 此方案虽然与方案 2 类似,但带来了另一层复杂性-设备连接如何在 PnP 树中工作。 管理员希望阻止标准用户安装特定的 USB 设备。 在方案结束时,你应该了解设备嵌套在 PnP 设备连接树下的层中的方式。
方案 5:阻止安装所有 USB 设备,同时仅允许安装授权的 U 盘 在此方案中,结合上述所有四种方案,你将了解如何保护计算机免受所有未经授权的 USB 设备的入侵。 管理员希望允许用户仅安装一小部分经过授权的 USB 设备,同时阻止安装任何其他 USB 设备。 此外,此方案还介绍了如何将“阻止”功能应用于已安装在计算机上的现有 USB 设备,并且管理员希望防止与其进行任何更远的交互, (阻止它们) 。 此方案基于我们在前四个方案中引入的策略和结构,因此最好先了解这些策略和结构,然后再尝试此方案。

技术评论

以下部分简要概述了本指南中讨论的核心技术,并提供了解方案所需的背景信息。

Windows 中的设备安装

设备是 Windows 与之交互以执行某些功能的硬件,或者更技术性的定义中,它是硬件组件的单个实例,在 Windows 即插即用 子系统中具有唯一的表示形式。 Windows 只能通过称为设备驱动程序 (也称为 驱动程序) 的软件与设备通信。 若要安装驱动程序,Windows 会检测设备,识别其类型,然后查找与该类型匹配的驱动程序。

当 Windows 检测到从未安装在计算机上的设备时,操作系统会查询设备以检索其设备标识字符串列表。 设备通常具有设备制造商分配的多个设备标识字符串。 .inf 文件中包含相同的设备标识字符串, (也称为驱动程序包一部分的 INF) 。 Windows 通过将从设备检索到的设备标识字符串与驱动程序包随附的字符串匹配来选择要安装的驱动程序包。

Windows 使用四种类型的标识符来控制设备的安装和配置。 可以使用 Windows 中的组策略设置来指定要允许或阻止哪些标识符。

四种类型的标识符是:

  • 设备实例 ID
  • 设备 ID
  • 设备安装类
  • “可移动设备”设备类型

设备实例 ID

设备实例 ID 是系统提供的设备标识字符串,用于唯一标识系统中的设备。 即插即用 (PnP) 管理器将设备实例 ID 分配给系统设备树中的每个设备节点 (devnode) 。

设备 ID

Windows 可以使用每个字符串将设备与驱动程序包匹配。 字符串的范围从特定(匹配设备的单个制造和型号)到可能应用于整个类设备的常规。 有两种类型的设备标识字符串:硬件 ID 和兼容 ID。

硬件 ID

硬件 ID 是在设备和驱动程序包之间提供完全匹配的标识符。 硬件 ID 列表中的第一个字符串称为设备 ID,因为它与设备的确切版本、型号和修订版相匹配。 列表中的其他硬件 ID 与设备的详细信息不太完全匹配。 例如,硬件 ID 可以标识设备的制造和型号,但不能标识特定修订版。 如果正确修订版的驱动程序不可用,则此方案允许 Windows 将驱动程序用于设备的不同版本。

兼容 ID

如果操作系统找不到与设备 ID 或任何其他硬件 ID 匹配的匹配项,则 Windows 使用这些标识符来选择驱动程序。 兼容的 ID 按适用性递减的顺序列出。 这些字符串是可选的,如果提供,它们是泛型字符串,例如 Disk。 使用兼容 ID 进行匹配时,通常只能使用设备最基本的功能。

安装设备(如打印机、USB 存储设备或键盘)时,Windows 会搜索与你尝试安装的设备匹配的驱动程序包。 在此搜索期间,Windows 会为其发现的每个驱动程序包分配一个“排名”,其中至少有一个匹配项与硬件或兼容 ID 匹配。 排名指示驱动程序与设备匹配程度。 较低的排名数字表示驱动程序和设备之间的匹配效果更好。 秩为零表示最佳匹配。 与驱动程序包中的设备 ID 匹配会导致 () 级别低于其他硬件 ID 之一。 同样,与硬件 ID 的匹配比与任何兼容 ID 的匹配相比,其排名更高。 Windows 对所有驱动程序包进行排名后,会安装总体排名最低的驱动程序包。 有关排名和选择驱动程序包的过程的详细信息,请参阅 Windows 如何为设备选择驱动程序包

注意

有关驱动程序安装过程的详细信息,请参阅驱动程序签名和暂存的分步指南中的“技术评审”部分。

某些物理设备在安装时会创建一个或多个逻辑设备。 每个逻辑设备都可以处理物理设备的部分功能。 例如,多功能设备(如一体的扫描仪/传真/打印机)可能为每个功能使用不同的设备标识字符串。

使用设备安装策略允许或阻止安装使用逻辑设备的设备时,必须允许或阻止该设备的所有设备标识字符串。 例如,如果用户尝试安装多功能设备,而你不允许或阻止物理和逻辑设备的所有标识字符串,则安装尝试可能会产生意外结果。 有关硬件 ID 的更多详细信息,请参阅 设备标识字符串

设备安装类

设备设置类 (也称为 ) 是另一种类型的标识字符串。 制造商将类分配给驱动程序包中的设备。 类以相同方式对安装和配置的设备进行分组。 例如,所有生物识别设备都属于生物识别类 (ClassGuid = {53D29EF7-377C-4D14-864B-EB3A85769359}) ,并且安装时使用相同的辅助安装程序。 一个称为全局唯一标识符的长号 (GUID) 表示每个设备设置类。 Windows 启动时,它将使用所有检测到设备的 GUID 生成内存中树结构。 除了设备本身类的 GUID 之外,Windows 可能需要将设备所附加到的总线类的 GUID 插入树中。

使用设备类允许或阻止用户安装驱动程序时,必须为设备的所有设备安装类指定 GUID,否则可能无法实现所需的结果。 如果希望安装) 成功, (安装可能会失败;如果希望安装失败) ,则安装可能会成功 (。

例如,多功能设备(如一体的扫描仪/传真/打印机)具有通用多功能设备的 GUID、打印机功能的 GUID、扫描仪功能的 GUID 等。 各个函数的 GUID 是多功能设备 GUID 下的“子节点”。 若要安装子节点,Windows 还必须能够安装父节点。 除了打印机和扫描仪功能的任何子 GUID 外,还必须允许为多功能设备安装父 GUID 的设备安装类。

有关详细信息,请参阅设备安装程序类

本指南不描述使用设备安装类的任何方案。 但是,本指南中使用设备标识字符串演示的基本原则也适用于设备设置类。 发现特定设备的设备安装类后,可以在策略中使用它来允许或阻止安装该类设备的驱动程序。

以下两个链接提供了设备安装类的完整列表。 “系统使用”类主要指工厂中计算机/计算机附带的设备,而“供应商”类主要指可连接到现有计算机/计算机的设备:

“可移动设备”设备类型

某些设备可归类为 可移动设备。 如果设备所连接的设备的驱动程序指示设备是 可移动 的,则设备被视为可移动设备。 例如,USB 设备被设备连接到的 USB 集线器的驱动程序报告为可移动。

设备安装的组策略设置

组策略是一种基础结构,允许你通过组策略设置和组策略首选项为用户和计算机指定托管配置。

组策略 中的“设备安装”部分是一组策略,用于控制可以或不能在计算机上安装哪些设备。 无论是要将设置应用于独立计算机还是 Active Directory 域中的多台计算机,都可使用 组策略 对象编辑器配置和应用策略设置。 有关详细信息,请参阅 组策略 对象编辑器

以下段落简要介绍了本指南中使用的设备安装策略。

注意

设备安装控制仅应用于 (“计算机配置”) 的计算机,而不适用于根据 Windows OS 设计的性质 (“用户配置”) 的用户。 这些策略设置会影响登录到应用策略设置的计算机的所有用户。 除了“允许管理员替代设备安装策略”策略外,不能将这些策略应用于特定用户或组。 此策略通过配置本部分所述的其他策略设置,将本地 Administrators 组的成员从应用于计算机的任何设备安装限制中免除。

允许管理员替代设备安装限制策略

此策略设置允许本地管理员组的成员安装和更新任何设备的驱动程序,而不考虑其他策略设置。 如果启用此策略设置,管理员可以使用“添加硬件向导”或“更新驱动程序向导”来安装和更新任何设备的驱动程序。 如果禁用或未配置此策略设置,则管理员将受到限制设备安装的所有策略设置的约束。

允许安装与上述任何设备 ID 匹配的设备

此策略设置指定描述用户可以安装设备的即插即用硬件 ID 和兼容 ID 的列表。 此设置仅在启用“阻止安装其他策略设置描述的设备”策略设置时使用,并且不优先于阻止用户安装设备的任何策略设置。 如果启用此策略设置,则用户可以安装和更新具有与此列表中 ID 匹配的硬件 ID 或兼容 ID 的任何设备,前提是“阻止安装与这些设备 ID 匹配的设备”策略设置、“阻止安装这些设备类的设备”策略设置、 或“阻止安装可移动设备”策略设置。 如果另一个策略设置阻止用户安装设备,则即使此策略设置中的值也描述了设备,用户也无法安装该设备。 如果禁用或未配置此策略设置,并且没有其他策略描述设备,则“阻止安装其他策略设置未描述的设备”策略设置将确定用户是否可以安装该设备。

允许安装与其中任何设备实例 ID 匹配的设备

通过此策略设置,可以指定允许 Windows 安装的设备即插即用设备实例 ID 的列表。 仅当启用“阻止安装其他策略设置未描述的设备”策略设置时,才使用此策略设置。 阻止设备安装的其他策略设置优先于此策略设置。 如果启用此策略设置,则允许 Windows 安装或更新其即插即用设备实例 ID 显示在你创建的列表中的任何设备,除非另一个策略设置专门阻止该安装 (例如,“阻止安装任何与这些设备 ID 匹配的设备”策略设置、“阻止安装这些设备类的设备”策略设置、 “阻止安装与任何这些设备实例 ID 匹配的设备”策略设置,或“阻止安装可移动设备”策略设置) 。 如果在远程桌面服务器上启用此策略设置,该策略设置会影响从远程桌面客户端到远程桌面服务器的指定设备的重定向。

允许使用与这些设备安装类匹配的驱动程序安装设备

此策略设置指定描述用户可以安装的设备的设备安装类 GUID 的列表。 此设置仅在启用“阻止安装其他策略设置描述的设备”策略设置时使用,并且不优先于阻止用户安装设备的任何策略设置。 如果启用此设置,则用户可以安装和更新具有与此列表中其中一个 ID 匹配的硬件 ID 或兼容 ID 的任何设备,前提是“阻止安装与这些设备 ID 匹配的设备”策略设置、“阻止安装这些设备类的设备”策略设置、 或“阻止安装可移动设备”策略设置。 如果另一个策略设置阻止用户安装设备,则即使此策略设置中的值也描述了设备,用户也无法安装该设备。 如果禁用或未配置此策略设置,并且没有其他策略设置描述设备,则阻止安装其他策略设置未描述的设备策略设置将确定用户是否可以安装该设备。

阻止安装与这些设备 ID 匹配的设备

此策略设置指定用户无法安装的设备的即插即用硬件 ID 和兼容 ID 的列表。 如果启用此策略设置,则如果设备的硬件 ID 或兼容 ID 与此列表中的 ID 匹配,则用户无法为其安装或更新驱动程序。 如果禁用或未配置此策略设置,用户可以安装设备并更新其驱动程序,这是设备安装的其他策略设置所允许的。 注意:此策略设置优先于允许用户安装设备的任何其他策略设置。 此策略设置会阻止用户安装设备,即使它与允许安装该设备的另一个策略设置匹配。

阻止安装与上述任何设备实例 ID 匹配的设备

此策略设置允许你为禁止安装 Windows 的设备指定即插即用设备实例 ID 的列表。 此策略设置优先于允许 Windows 安装设备的任何其他策略设置。 如果启用此策略设置,将阻止 Windows 安装设备实例 ID 显示在你创建的列表中的设备。 如果在远程桌面服务器上启用此策略设置,该策略设置会影响从远程桌面客户端到远程桌面服务器的指定设备的重定向。 如果禁用或未配置此策略设置,则可以按照其他策略设置允许或阻止的方式安装和更新设备。

阻止使用与这些设备安装类匹配的驱动程序安装设备

此策略设置指定用户无法安装的设备的即插即用设备设置类 GUID 的列表。 如果启用此策略设置,则用户无法安装或更新属于任何列出的设备安装类的设备。 如果禁用或未配置此策略设置,用户可以按照其他设备安装策略设置的允许安装和更新设备。 注意:此策略设置优先于允许用户安装设备的任何其他策略设置。 此策略设置可防止用户安装设备,即使它与允许安装该设备的另一个策略设置匹配。

对所有设备匹配条件的“允许”和“阻止”设备安装策略应用分层评估顺序

当多个安装策略设置适用于给定设备时,此策略设置将更改应用“允许”和“阻止”策略设置的评估顺序。 启用此策略设置,确保基于已建立的层次结构应用重叠的设备匹配条件,其中更具体的匹配条件取代了不太具体的匹配条件。 指定设备匹配条件的策略设置的评估层次结构顺序如下:

设备实例 ID>设备 ID>设备安装程序类>可移动设备

注意

此策略设置提供比“阻止安装其他策略设置未描述的设备”策略设置更精细的控制。 如果同时启用这些冲突的策略设置,则会启用“对所有设备匹配条件允许和阻止设备安装策略应用分层评估顺序”策略设置,并将忽略其他策略设置。

如果禁用或未配置此策略设置,则使用默认评估。 默认情况下,所有“阻止安装...”策略设置优先于允许 Windows 安装设备的任何其他策略设置。

其中一些策略优先于其他策略。 以下流程图演示了 Windows 如何处理它们,以确定用户是否可以安装设备。

设备安装策略流程图。
设备安装策略流程图

完成方案的要求

概要

若要完成每个方案,请确保:

  • 运行 Windows 的客户端计算机。
  • U 盘。 本指南中所述的方案使用 U 盘作为示例设备 (也称为“可移动磁盘驱动器”、“内存驱动器”、“闪存驱动器”或“密钥环驱动器”) 。 大多数 U 盘不需要制造商提供的任何驱动程序,并且这些设备可与 Windows 内部版本提供的收件箱驱动程序配合使用。
  • 计算机上预安装的 USB/网络打印机。
  • 访问测试计算机上的管理员帐户。 本指南中的过程要求大多数步骤具有管理员权限。

了解应用“阻止”策略追溯的影响

所有“阻止”策略都可以将阻止功能应用于已在该策略生效之前已安装在计算机上的设备。 如果管理员不确定计算机上的设备的安装历史记录,并希望确保策略适用于所有设备,则建议使用此选项。

例如:计算机上已安装打印机,阻止安装所有打印机将阻止安装任何将来的打印机,同时仅使已安装的打印机可用。 若要应用阻止追溯,管理员应检查标记“将此策略应用于已安装的设备”选项。 标记此选项将阻止访问已安装的设备以及将来的任何设备。

此选项是一个功能强大的工具,但必须谨慎使用。

重要提示

将“防止追溯”选项应用于关键设备可能会使计算机无用/不可接受的! 例如:阻止追溯所有“磁盘驱动器”可能会阻止对操作系统启动的磁盘的访问;阻止追溯所有“Net”可能会阻止此计算机访问网络,并修复管理员必须建立直接连接的问题。

确定设备标识字符串

通过执行这些步骤,可以确定设备的设备标识字符串。 如果设备的硬件 ID 和兼容 ID 与本指南中显示的这些 ID 不匹配,请使用适用于你的设备的 ID, (此策略适用于实例 ID 和类,但我们不会在本指南) 中提供它们的示例。

可以通过两种方式确定设备的硬件 ID 和兼容 ID。 可以使用设备管理器(操作系统附带的图形工具)或可用于所有 Windows 版本的命令行工具 PnPUtil。 使用以下过程查看设备的设备标识字符串。

注意

这些过程特定于佳能打印机。 如果使用不同类型的设备,则必须相应地调整步骤。 显著区别在于设备在设备管理器层次结构中的位置。 你必须在相应的节点中找到设备,而不是位于“打印机”节点中。

使用 设备管理器查找设备标识字符串

  1. 确保打印机已接通电源并已安装。

  2. 若要打开设备管理器,请选择“开始”按钮,在“开始搜索”框中键入 mmc devmgmt.msc,然后按 Enter;或搜索设备管理器作为应用程序。

  3. 设备管理器启动并显示一个树,表示计算机上检测到的所有设备。 树的顶部是一个节点,旁边有计算机名称。 较低的节点表示计算机设备分组到其中的各种硬件类别。

  4. 找到“打印机”部分并查找目标打印机

    在 设备管理器 中选择打印机。
    在 设备管理器 中选择打印机

  5. 双击打印机并移动到“详细信息”选项卡。

    “详细信息”选项卡。
    打开“详细信息”选项卡以查找设备标识符

  6. 从“值”窗口中,复制最详细的硬件 ID-我们将在策略中使用此值。

    HWID。

    兼容的 ID。
    HWID 和兼容 ID

    提示

    还可以使用 PnPUtil 命令行实用工具来确定设备标识字符串。 有关详细信息,请参阅 PnPUtil - Windows 驱动程序

使用 PnPUtil 获取设备标识符

pnputil /enum-devices /ids

下面是计算机上单个设备的输出示例:

<snip>
Instance ID:                PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02\3&103a9d54&0&81
Device Description:         Intel(R) Xeon(R) E7 v3/Xeon(R) E5 v3/Core i7 PCIe Ring Interface - 2F34
Class Name:                 System
Class GUID:                 {4d36e97d-e325-11ce-bfc1-08002be10318}
Manufacturer Name:          INTEL
Status:                     Stopped
Driver Name:                oem6.inf
Hardware IDs:               PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02
                            PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086
                            PCI\VEN_8086&DEV_2F34&CC_110100
                            PCI\VEN_8086&DEV_2F34&CC_1101
Compatible IDs:             PCI\VEN_8086&DEV_2F34&REV_02
                            PCI\VEN_8086&DEV_2F34
                            PCI\VEN_8086&CC_110100
                            PCI\VEN_8086&CC_1101
                            PCI\VEN_8086
                            PCI\CC_110100
                            PCI\CC_1101
<snip>

方案 #1:阻止安装所有打印机

在此简单方案中,你将了解如何阻止安装整个类设备。

设置环境

使用以下步骤为方案设置环境:

  1. 打开组策略 编辑器并导航到“设备安装限制”部分。

  2. 禁用以前的所有设备安装策略,但“应用分层评估顺序”除外- 尽管默认情况下禁用了该策略,但建议在大多数实际应用程序中启用此策略。

  3. 如果有任何已启用的策略,将其状态更改为“已禁用”,将从所有参数中清除它们

  4. 有一个 USB/网络打印机可用于测试策略

方案步骤 - 阻止安装禁止的设备

获取正确的设备标识符以防止安装它:

  1. 如果系统上有要阻止的类中的设备,则可以按照上一部分中的步骤通过 设备管理器 或 PnPUtil (类 GUID) 查找设备类标识符。

  2. 如果系统上未安装此类设备或知道类的名称,则可以检查以下两个链接:

  3. 我们当前的方案侧重于阻止安装所有打印机,例如,下面是市场上大多数打印机的类 GUID:

    打印机
    Class = Printer
    ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
    此类包括打印机。

    注意

    如前所述,阻止整个类可能会阻止你完全使用系统。 请确保了解在指定类时将阻止哪些设备。 对于我们的方案,还有其他与打印机相关的类,但在应用它们之前,请确保它们不会阻止对系统至关重要的任何其他现有设备。

创建策略以防止安装所有打印机:

  1. 打开组策略对象编辑器单击“开始”按钮,在“开始搜索”框中键入 mmc gpedit.msc,然后按 Enter;或者键入 Windows 搜索“组策略 编辑器”并打开 UI。

  2. 导航到“设备安装限制”页:

    计算机配置 > 管理模板 > 系统 > 设备安装 > 设备安装限制

  3. 请确保禁用所有策略, (建议将“应用分层评估顺序”策略保持启用) 。

  4. 打开 “阻止使用与这些设备设置类策略匹配的驱动程序安装设备 ”,然后选择“启用”单选按钮。

  5. 在左下角的“选项”窗口中,单击“显示...””箱。 此选项将转到一个表,可在其中输入要阻止的类标识符。

  6. 使用大括号输入找到的打印机类 GUID: {4d36e979-e325-11ce-bfc1-08002be10318}

    阻止类 GUID 的列表
    阻止类 GUID 的列表

  7. 单击“确定”。

  8. 单击策略窗口右下角的“应用”,此选项将推送策略并阻止将来的所有打印机安装,但不适用于现有安装。

  9. 可选- 如果要将策略应用于现有安装:再次打开 “阻止使用与这些设备安装类匹配的驱动程序安装设备” 策略;在“选项”窗口中标记“也适用于已安装的匹配设备”的复选框

重要提示

使用“阻止”策略 (如我们在上述方案 #1 中使用的策略) ,并将其应用于以前安装的所有设备 (请参阅步骤 #9) 可能会使关键设备不可用;因此,请谨慎使用。 例如:如果 IT 管理员想要阻止所有可移动存储设备安装在计算机上,则使用“磁盘驱动器”类来阻止和应用它追溯可能会使内部硬盘驱动器不可用并中断计算机。

测试方案 1

  1. 如果尚未完成步骤 9,请执行以下步骤:

    1. 卸载打印机:设备管理器>打印机>右键单击佳能打印机>,单击“卸载设备”。
    2. 对于 USB 打印机拔下电源并插回电缆;对于网络设备,请在 Windows 设置应用中搜索打印机。
    3. 你不应重新安装打印机。
  2. 如果已完成上述步骤 9 并重启了计算机,请在“设备管理器”或“Windows 设置”应用下查找打印机,并看到它不再可供你使用。

方案 #2:阻止安装特定打印机

此方案基于方案 #1 阻止安装所有打印机。 在此方案中,你以特定打印机为目标,以防止在计算机上安装。

设置环境

使用以下步骤为方案设置环境:

  1. 打开组策略 编辑器并导航到“设备安装限制”部分。

  2. 确保禁用除“应用分层评估顺序”之外的所有以前的设备安装策略, (此先决条件是可选的,可打开/关闭此方案) 。 尽管默认情况下禁用了策略,但建议在大多数实际应用程序中启用该策略。 对于方案 2,它是可选的。

方案步骤 - 阻止安装特定设备

获取正确的设备标识符以防止安装它:

  1. 获取打印机的硬件 ID。 在此示例中,我们将使用之前找到的标识符。

    打印机硬件 ID 标识符。
    打印机硬件 ID

  2. 在本例中,请记下设备 ID (硬件 ID) : WSDPRINT\CanonMX920_seriesC1A0;。 使用更具体的标识符,以确保阻止特定打印机而不是打印机系列

创建策略以防止安装单个打印机:

  1. 打开组策略对象编辑器。

  2. 导航到“设备安装限制”页:

    计算机配置 > 管理模板 > 系统 > 设备安装 > 设备安装限制

  3. 打开 “阻止安装与上述任何设备 ID 策略匹配的设备 ”,然后选择“启用”单选按钮。

  4. 在左下角的“选项”窗口中,单击“显示...””箱。 此选项将带你到一个表,你可以在其中输入要阻止的设备标识符。

  5. 输入上面找到的打印机设备 ID: WSDPRINT\CanonMX920_seriesC1A0

    阻止设备 ID 列表。
    阻止设备 ID 列表

  6. 单击“确定”。

  7. 单击策略窗口右下角的“应用”。 此选项在将来的安装中推送策略并阻止目标打印机,但不适用于现有安装。

  8. (可选)如果要将策略应用于现有安装,请再次打开 “阻止安装与其中任何设备 ID 匹配的设备 ”策略。 在“选项”窗口中,标记“也适用于已安装的匹配设备”复选框。

测试方案 2

如果已完成上述步骤 8 并重启了计算机,请在“设备管理器”或“Windows 设置”应用下查找打印机,并查看它不再可供你使用。

如果尚未完成步骤 8,请执行以下步骤:

  1. 卸载打印机:设备管理器>打印机>右键单击佳能打印机>,单击“卸载设备”。

  2. 对于 USB 打印机,请拔下电缆并插回;对于网络设备,请在 Windows 设置应用中搜索打印机。

  3. 你不应重新安装打印机。

方案 #3:阻止安装所有打印机,同时允许安装特定打印机

现在,使用上述两种方案的知识,你将了解如何在允许安装单个打印机的同时阻止安装整个类设备。

设置环境

使用以下步骤为方案设置环境:

  1. 打开组策略 编辑器并导航到“设备安装限制”部分。

  2. 禁用所有以前的设备安装策略,并启用“应用分层评估顺序”。

  3. 如果有任何已启用的策略,将其状态更改为“已禁用”,则会将其从所有参数中清除。

  4. 有一个 USB/网络打印机可用于测试策略。

方案步骤 - 在允许特定打印机时阻止安装整个类

获取打印机类和特定打印机的设备标识符-按照方案 1 中的步骤查找类标识符和方案 #2 查找设备标识符,可以获取此方案所需的标识符:

  • ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
  • 硬件 ID = WSDPRINT\CanonMX920_seriesC1A0

首先创建“阻止类”策略,然后创建“允许设备”策略:

  1. 打开组策略对象编辑器单击“开始”按钮,在“开始搜索”框中键入 mmc gpedit.msc,然后按 Enter;或者键入 Windows 搜索“组策略 编辑器”并打开 UI。

  2. 导航到“设备安装限制”页:

    计算机配置 > 管理模板 > 系统 > 设备安装 > 设备安装限制

  3. 确保禁用所有策略

  4. 打开 “阻止使用与这些设备设置类策略匹配的驱动程序安装设备 ”,然后选择“启用”单选按钮。

  5. 在左下角的“选项”窗口中,单击“显示...””箱。 此选项将带你到一个表,你可以在其中输入要阻止的类标识符。

  6. 使用大括号输入上面找到的打印机类 GUID, (此值很重要!否则,它将无法) {4d36e979-e325-11ce-bfc1-08002be10318}

    阻止类 ID 的列表
    阻止类 GUID 的列表

  7. 单击“确定”。

  8. 单击策略窗口右下角的“应用”,此选项将推送策略并阻止将来的所有打印机安装,但不适用于现有安装。

  9. 若要完成所有未来和现有打印机的覆盖,请再次打开 “阻止使用与这些设备设置类匹配的驱动程序安装设备” 策略;在“选项”窗口中标记“也适用于已安装的匹配设备”复选框,然后单击“确定”

  10. 打开“ 在所有设备匹配条件中对允许和阻止设备安装策略应用分层评估顺序 ”策略并启用该策略。此策略使你能够覆盖特定设备的“阻止”策略的广泛覆盖范围。

    本地组策略 编辑器的屏幕截图,其中显示了“设备安装限制”下的策略和此步骤中命名的策略。

    显示此步骤中名为 的策略的当前设置的图像,“对所有设备匹配条件的允许和阻止设备安装策略应用分层评估顺序。
    应用评估策略的分层顺序

  11. 现在打开 “允许安装符合上述任何设备 ID 策略的设备 ”,然后选择“启用”单选按钮。

  12. 在左下角的“选项”窗口中,单击“显示...””箱。 此选项将你带到一个表,你可以在其中输入允许的设备标识符。

  13. 输入上面找到的打印机设备 ID:WSDPRINT\CanonMX920_seriesC1A0。

    允许打印机硬件 ID。
    允许打印机硬件 ID

  14. 单击“确定”。

  15. 单击策略窗口右下角的“应用”-此选项将推送策略,并允许目标打印机安装 (或保持安装) 。

测试方案 3

  1. 在“设备管理器”或“Windows 设置”应用下查找你的打印机,并查看它仍然在那里且可访问。 或者仅打印测试文档。

  2. 返回组策略 编辑器,禁用对所有设备匹配条件策略的“允许”和“阻止设备安装策略应用分层评估顺序”,然后再次测试打印机-你不应犹豫打印任何内容或根本无法访问打印机。

方案 #4:阻止安装特定 USB 设备

此方案基于场景 2“阻止安装特定打印机”中的知识。 在此方案中,你将了解某些设备如何内置到 PnP (即插即用) 设备树中。

设置环境

使用以下步骤为方案设置环境:

  1. 打开组策略 编辑器并导航到“设备安装限制”部分

  2. 确保禁用除“应用分层评估顺序”之外的所有以前的设备安装策略。 此先决条件是可选的,可打开/关闭此方案。 尽管默认情况下禁用了策略,但建议在大多数实际应用程序中启用该策略。

方案步骤 - 阻止安装特定设备

获取正确的设备标识符以防止安装它及其在 PnP 树中的位置:

  1. 将 U 盘连接到计算机

  2. 打开“设备管理器”

  3. 找到 U 盘并选择它。

    在 设备管理器 中选择 U 盘。
    在 设备管理器 中选择 U 盘

  4. 将顶部菜单中的“视图 () 更改为”设备(按连接)。 此视图表示设备在 PnP 树中的安装方式。

    更改 设备管理器 中的视图以查看 PnP 连接树。
    在 设备管理器 中更改视图以查看 PnP 连接树

    注意

    阻止\阻止位于 PnP 树中较高位置的设备时,将阻止其下的所有设备。 例如:阻止安装“通用 USB 集线器”,将阻止位于“通用 USB 集线器”下的所有设备。

    阻止根目录中的嵌套设备。
    阻止一个设备时,嵌套在设备下方的所有设备也会被阻止

  5. 双击 U 盘并移动到“详细信息”选项卡。

  6. 从“值”窗口中,复制最详细的硬件 ID-我们将在策略中使用此值。 在这种情况下,设备 ID = USBSTOR\DiskGeneric_Flash_Disk______8.07

    USB 设备硬件 ID。
    USB 设备硬件 ID

创建策略以防止安装单个 U thumb 驱动器:

  1. 打开组策略对象编辑器单击“开始”按钮,在“开始搜索”框中键入 mmc gpedit.msc,然后按 Enter;或键入 Windows 搜索“组策略 编辑器”并打开 UI。

  2. 导航到“设备安装限制”页:

    计算机配置 > 管理模板 > 系统 > 设备安装 > 设备安装限制

  3. 打开 “阻止安装与上述任何设备 ID 策略匹配的设备 ”,然后选择“启用”单选按钮。

  4. 在左下角的“选项”窗口中,单击“显示”框。 此选项将带你到一个表,你可以在其中输入要阻止的设备标识符。

  5. 输入上面USBSTOR\DiskGeneric_Flash_Disk______8.07找到的 U 盘设备 ID。

    阻止设备 ID 列表。
    阻止设备 ID 列表

  6. 单击“确定”。

  7. 单击策略窗口右下角的“应用”。 此选项在将来的安装中推送策略并阻止目标 U 盘,但不适用于现有安装。

  8. 可选 - 如果要将策略应用于现有安装,请再次打开 “阻止安装与其中任何设备 ID 匹配的设备 ”策略。 在“选项”窗口中,标记“也适用于已安装的匹配设备”复选框。

测试方案 4

  1. 如果尚未完成步骤 8,请执行以下步骤:

    • 卸载 U 盘:设备管理器>磁盘驱动器>右键单击目标 U 盘>,单击“卸载设备”。
    • 你不应重新安装设备。
  2. 如果已完成上述步骤 8 并重启了计算机,请在“设备管理器”下查找磁盘驱动器,并查看它不再可供使用。

方案 #5:阻止安装所有 USB 设备,同时仅允许安装授权的 U 盘

现在,你将使用前四种方案的知识,了解如何在允许安装单个授权的 U 盘的同时阻止安装整个类设备。

设置环境

使用以下步骤为方案设置环境:

  1. 打开组策略 编辑器并导航到“设备安装限制”部分。

  2. 禁用所有以前的设备安装策略,并 启用 “应用分层评估顺序”。

  3. 如果有任何已启用的策略,将其状态更改为“已禁用”,则会将其从所有参数中清除。

  4. 有一个 U 盘可用于测试策略。

方案步骤 - 阻止安装所有 USB 设备,同时仅允许授权的 U 盘

获取 USB 类和特定 U 盘的设备标识符,并按照方案 1 中的步骤查找类标识符和方案 #4 查找设备标识符,可以获取此方案所需的标识符:

  • USB 总线设备 (集线器和主机控制器)

    • 类 = USB
    • ClassGuid = {36fc9e60-c465-11cf-8056-444553540000}
    • 此类包括 USB 主机控制器和 USB 集线器,但不包括 USB 外围设备。 此类的驱动程序是系统提供的。
  • USB 设备

    • 类 = USBDevice
    • ClassGuid = {88BAE032-5A81-49f0-BC3D-A4FF138216D6}
    • USBDevice 包括不属于其他类的所有 USB 设备。 此类不用于 USB 主机控制器和集线器。
  • 硬件 ID = USBSTOR\DiskGeneric_Flash_Disk______8.07

如方案 4 中所述,仅启用单个硬件 ID 以启用单个 U 盘是不够的。 IT 管理员必须确保目标设备之前的所有 USB 设备不会被阻止 (允许) 。 在本例中,必须允许以下设备,以便也可以允许目标 U 盘:

  • “Intel (R) USB 3.0 扩展主机控制器 - 1.0 (Microsoft) ” -> PCI\CC_0C03
  • “USB 根集线器 (USB 3.0) ”-> USB\ROOT_HUB30
  • “通用 USB 集线器” -> USB\USB20_HUB

嵌套在 PnP 树中的 USB 设备。
PnP 树中相互嵌套的 USB 设备

这些设备是计算机上的内部设备,用于定义与外部世界的 USB 端口连接。 启用它们不应允许在计算机上安装任何外部/外围设备。

重要提示

系统中的某些设备具有多个连接层,用于定义其在系统上的安装。 U 盘就是此类设备。 因此,在系统上阻止或允许它们时,请务必了解每个设备的连接路径。 有几个通用设备 ID 通常用于系统,在这种情况下,可以为生成“允许列表”提供良好的开端。 有关列表,请参阅下文:

PCI\CC_0C03;PCI\CC_0C0330;PCI\VEN_8086;PNP0CA1;PNP0CA1&主机控制器的主机 () /USB\ROOT_HUB30;USB 根集线器的 USB\ROOT_HUB20 () /通用 USB 集线器的 USB\USB20_HUB () /

特别是对于台式计算机,在上面的列表中列出键盘和鼠标通过连接的所有 USB 设备非常重要。 否则可能会阻止用户通过 HID 设备访问其计算机。

不同的电脑制造商有时有不同的方法在 PnP 树中嵌套 USB 设备,但通常就是这样完成的。

首先创建“阻止类”策略,然后创建“允许设备”策略:

  1. 打开组策略对象编辑器:单击“开始”按钮,在“开始搜索”框中键入 mmc gpedit.msc,然后按 Enter;或者键入 Windows 搜索“组策略 编辑器”并打开 UI。

  2. 导航到“设备安装限制”页:

    计算机配置 > 管理模板 > 系统 > 设备安装 > 设备安装限制

  3. 确保禁用所有策略

  4. 打开 “阻止使用与这些设备设置类策略匹配的驱动程序安装设备 ”,然后选择“启用”单选按钮。

  5. 在左下角的“选项”窗口中,单击“显示...””箱。 此选项将带你到一个表,你可以在其中输入要阻止的类标识符。

  6. 使用大括号输入上面找到的两个 USB 类 GUID:

    {36fc9e60-c465-11cf-8056-444553540000}/ {88BAE032-5A81-49f0-BC3D-A4FF138216D6}

  7. 单击“确定”。

  8. 单击策略窗口右下角的“应用”。 此选项推送策略并阻止所有将来的 USB 设备安装,但不适用于现有安装。

    重要提示

    上一步阻止安装所有将来的 USB 设备。 在转到下一步之前,请确保拥有尽可能完整的所有 USB 主机控制器、USB 根集线器和通用 USB 集线器设备 ID 列表,以防止阻止你通过键盘和鼠标与系统交互。

  9. 打开“ 对所有设备匹配条件允许和阻止设备安装策略应用分层评估顺序” 策略并启用它。 此策略使你能够覆盖特定设备的“阻止”策略的广泛覆盖范围。

    应用评估策略的分层顺序。
    应用评估策略的分层顺序

  10. 现在打开 “允许安装符合上述任何设备 ID 策略的设备 ”,然后选择“启用”单选按钮。

  11. 在左下角的“选项”窗口中,单击“显示...””箱。 此选项将你带到一个表,你可以在其中输入允许的设备标识符。

  12. 输入上面找到的 USB 设备 ID 的完整列表,包括要授权安装USBSTOR\DiskGeneric_Flash_Disk______8.07的特定 USB Thumb 驱动器。

    已为策略“允许安装与其中任何设备 ID 匹配的设备”配置的设备示例列表的图像。
    允许的 USB 设备 ID 列表

  13. 单击“确定”。

  14. 单击策略窗口右下角的“应用”。

  15. 若要对当前安装的所有 USB 设备应用“阻止”覆盖范围,请再次打开 “阻止使用与这些设备设置类匹配的驱动程序安装设备” 策略;在“选项”窗口中标记“也适用于已安装的匹配设备”的复选框,然后单击“确定”。

测试方案 5

不应安装任何 U 盘,但你授权使用的 U 盘除外。