Я пытаюсь внести некоторые изменения в наш установочный образ Windows 10 Enterprise, который развертывается на нескольких конечных точках. В частности, я пытаюсь наложить ограничения на подключение USB-устройства для повышения безопасности:
- Запретить установку и использование любого периферийного USB-устройства (клавиатуры и т.д.)
- Запретить установку и использование любого USB-накопителя, который не выпущен компанией
- Используйте фирменное запоминающее устройство USB, которое после установки "разблокирует" использование периферийных устройств.
- После того, как это USB-устройство, выпущенное компанией, удалено, снова запретите использование любого периферийного USB-устройства.
Возможно ли что-то подобное?
Вот несколько вещей, которые я пытался сделать:
- Я пытался настроить GP, чтобы предотвратить установку любого устройства, но на самом деле это не сработает для нас, так как нам нужно будет подключиться к этим конечным точкам;
- Я попытался внести в белый список некоторые устройства, что работает нормально, однако я застрял в белом списке идентификаторов устройств, который не будет работать, поскольку я хотел бы иметь возможность выдавать несколько таких USB-накопителей, которые действуют как ключ для "разблокировка" использования USB-устройства;
- Я пытался создать приложение, которое слушает USB-соединение / отключение и пытается что-то сделать там, но без особого успеха.
В качестве подтверждения концепции я внес в белый список одно USB-устройство и создал автозапуск для этого устройства, чтобы вызвать изменения GP, и это работает при подключении, однако я не совсем уверен, как справляться с отключениями в таких ситуациях. Но опять же, это не то, что мы хотим сделать. Есть ли способ изменить или обогатить информацию об устройстве на USB-накопителе, добавить некоторую дополнительную информацию, например, специальный идентификатор, который мы сгенерируем, а затем автоматически внести в белый список все устройства, имеющие это значение?
В конце концов, здесь есть два вопроса:
- сценарий, перечисленный в начале, даже возможно реализовать и
- Можно ли изменить / обогатить информацию USB-устройства, чтобы иметь возможность легко вносить в белый список несколько устройств с помощью групповой политики?
Любая помощь здесь будет оценена!