Verwalten von USB-Anschlüssen auf Surface-Geräten
Wenn die USB-Portfunktionalität auf Surface-Geräten standardmäßig aktiviert ist, ermöglichen viele Geräte mit Surface UEFI Administratoren das Deaktivieren der Konnektivität mit USB-Anschlüssen. Sie können beispielsweise verhindern, dass Benutzer Daten von USB-Sticks oder externen Festplatten kopieren.
Voraussetzungen
Bevor Sie mit dem in diesem Artikel beschriebenen Prozess beginnen, machen Sie sich mit den folgenden Technologien und Tools vertraut:
- Das Surface IT Toolkit kann von Surface Tools für IT heruntergeladen werden.
- Surface UEFI
- Surface Enterprise Management Mode (SEMM)
- PowerShell-Skripterstellung
- Bereitstellen von Anwendungen mit Configuration Manager
Erste Schritte
Der Prozess besteht aus den folgenden Teilen:
Einschreibung: Registrieren Sie Surface-Geräte und Docks in SEMM mithilfe des Surface UEFI Configurator, wie unter Schützen von Surface Dock-Ports mit SEMM beschrieben. Zu den unterstützten Docks gehören Surface Dock 2 und Surface Thunderbolt 4 Dock. Der Schlüssel zu diesem Workflow ist die Möglichkeit, USB-C-Daten, Ethernet-Daten und USB-C-Audio zu deaktivieren, wenn Geräte von einem autorisierten Surface Dock getrennt werden, z. B. in einer Arbeitsplatzumgebung, in der hochsensible Informationen verarbeitet werden.
Clientkonfiguration: Installieren Sie den UEFI-Manager, der in der Surface IT Toolkit-Bibliothek verfügbar ist, auf allen Surface-Geräten, die für die Verwaltung vorgesehen sind.
PowerShell-Skripts: Wechseln Sie zum Surface IT Toolkit , um die PowerShell-Skripts herunterzuladen und entsprechend Ihrer Umgebung zu ändern. Verwenden Sie Microsoft Configuration Manager, um die Skripts (als Anwendungen) auf Zielgeräten bereitzustellen. Befolgen Sie dazu die Anweisungen unter Verwenden von Microsoft Configuration Manager zum Verwalten von Geräten mit SEMM.
Eine Anleitung zur Verwendung finden Sie in den eingebetteten Kommentaren. Definitionen und Voraussetzungen finden Sie in der Technischen Referenz zu SEMM PowerShell-Skripts .
Verwalten von USB-A-Anschlüssen
Bei USB-A-Anschlüssen, die USB-2 und USB-3 unterstützen, können Sie das USB-Datenprotokoll vom USB-Controller ausschalten, um alle Funktionen zu verhindern.
Differenzierte USB-C-Deaktivierung
Die Verwaltung von USB-C-Anschlüssen mit Unterstützung für DisplayPort und USB Power Delivery bietet mehr Optionen als das Deaktivieren aller Funktionen. Beispielsweise können Sie die Datenkonnektivität verhindern, um zu verhindern, dass Benutzer Daten aus dem USB-Speicher kopieren, aber die Möglichkeit erhalten, Bildschirme zu erweitern und das Gerät über ein USB-C-Dock aufzuladen.
Ab Surface Pro 8, Surface Laptop Studio und Surface Go 3 sind präzise USB-C-Verwaltungsoptionen über die SEMM PowerShell-Skripts verfügbar.
Wechseln Sie zu Surface Tools für IT, und laden Sie SEMM_PowerShell.zipherunter.
Wenn Sie noch nicht über Ihre eigenen Zertifikate verfügen, können Sie Zertifikate über das entsprechende Beispielskript abrufen, wie im Anhang auf dieser Seite dokumentiert.
Achtung
Bewahren Sie Zertifikate an einem sicheren Ort auf, und stellen Sie sicher, dass sie ordnungsgemäß gesichert sind. Ohne sie ist es unmöglich, Surface UEFI zurückzusetzen, verwaltete Surface UEFI-Einstellungen zu ändern oder SEMM von einem registrierten Surface-Gerät zu entfernen.
Dynamische USB-C-Deaktivierung
Die dynamische USB-C-Deaktivierung ermöglicht Es Kunden, die in hochsicheren Umgebungen arbeiten, nicht autorisierte Datenübertragungen über USB zu verhindern und so Organisationen mehr Kontrolle zu bieten. Wenn sie mit dem Surface Thunderbolt 4 Dock gekoppelt sind, können IT-Administratoren USB-C-Anschlüsse sperren, wenn berechtigte Surface-Geräte abgedockt oder mit einem nicht autorisierten Dock verbunden sind.
Tipp
Dieses Feature ist auf Surface Pro 10, Surface Laptop 6 und Surface Laptop Studio 2 verfügbar.
Wenn Benutzer in diesem Szenario mit einem autorisierten Dock im Büro verbunden sind, verfügen die USB-C-Anschlüsse über die volle Funktionalität ihrer Geräte. Wenn sie jedoch außerhalb des Standorts unterwegs sind, können sie weiterhin eine Verbindung mit einem Dock herstellen, um Zubehör oder einen Monitor zu verwenden, aber nicht die USB-Anschlüsse zum Übertragen von Daten verwenden.
Die dynamische USB-C-Deaktivierung bietet IT-Administratoren mehr Flexibilität beim Verwalten von Geräten mit einem neuen "Modus 3" zusätzlich zu vorhandenen Betriebsmodi:
Modus 0 (Standardmodus): Der Standardmodus, wenn SEMM nicht konfiguriert ist.
Modus 1 (Daten deaktiviert): USB-C- und Ethernet-Daten sind deaktiviert. Audio über USB-C ist ebenfalls deaktiviert. Die Anzeige- und Energiefunktion ist aktiviert.
Modus 2 (vollständig deaktiviert): USB-C- und Ethernet-Daten sind deaktiviert. Audio über USB-C ist ebenfalls deaktiviert. Die Anzeige- und Ein/Aus-Funktion ist deaktiviert.
Modus 3 (USB-Anschluss authentifiziert) auch als dynamische USB-C-Deaktivierung bezeichnet. USB-C-Daten, Ethernet-Daten, USB-C-Audio, Anzeige- und Stromversorgungsfunktionen nur, wenn das Gerät mit einem autorisierten Surface Thunderbolt 4 Dock verbunden ist. Wenn eine Verbindung mit einem nicht autorisierten Dock besteht, funktionieren nur die Anzeige- und Ein/Aus-Funktionen.
Verwalten von USB-C-Anschlüssen mit dem Surface IT Toolkit
Sie können jetzt USB-C-Ports in allen Modi mit einer der folgenden Methoden verwalten:
- Der neue UEFI-Konfigurator , der im Surface IT Toolkit enthalten ist, bietet UI-Unterstützung zum Konfigurieren von Ports ohne Verwendung von PowerShell-Skripts.
- PowerShell-Skripts, wie in diesem Artikel beschrieben.
Zielverhalten
| Host-USB-Portstatus | Aktiviert | Daten deaktiviert | Hardware deaktiviert | Port authentifiziert (nicht autorisiert oder kein Dock) | Port authentifiziert (autorisiertes Dock) |
|---|---|---|---|---|---|
| USB 2.0, 3.x, 4.x | Aktiviert | Deaktiviert | Deaktiviert | Deaktiviert | Aktiviert |
| Thunderbolt 3 oder 4 | Aktiviert | Deaktiviert | Deaktiviert | Deaktiviert | Aktiviert |
| Audiozubehör | Aktiviert | Deaktiviert | Deaktiviert | Deaktiviert | Aktiviert |
| Network | Aktiviert | Deaktiviert | Deaktiviert | Deaktiviert | Aktiviert |
| USB Typ C Power | Aktiviert | Aktiviert | Deaktiviert | Aktiviert | Aktiviert |
| PD Power >0W | Aktiviert | Aktiviert | Deaktiviert | Aktiviert | Aktiviert |
| DisplayPort-Alt-Modus | Aktiviert | Aktiviert | Deaktiviert | Aktiviert | Aktiviert |
Bereitstellen von Surface Docks
Verwenden Sie das entsprechende Bereitstellungsskript, wie im Anhang auf dieser Seite dokumentiert.
- ConfigureSEMM – Dock2.ps1
- Konfigurieren vonSEMM – Thunderbolt(TM)4Dock-Provisioning
Öffnen Sie ConfigureSEMM.ps1 , und ändern Sie sie nach Bedarf. Um beispielsweise USB-C-Anschlüsse zu deaktivieren, aktivieren Sie die folgende Einstellung: UsbPortHwDisabled. In der folgenden Tabelle finden Sie alle verfügbaren Optionen.
Tabelle 1: Usb-Portverwaltungsoptionen für Surface-Geräte
| Gerät | USB-A-Optionen (falls auf dem Gerät vorhanden) |
USB-C-Optionen (falls auf dem Gerät vorhanden) |
Einstellungen | SEMM-IDs |
|---|---|---|---|---|
|
Surface Laptop Surface Laptop 2 Surface Pro Surface Pro 4 Surface Pro 6 Surface Studio Surface Studio 2 |
Aktivieren oder Deaktivieren von Daten | Nicht vorhanden: Kein USB-C-Anschluss auf dem Gerät | USBPortEnabled (Standard) USBPortHWDisabled |
370-379 |
|
Surface Laptop SE Surface Pro 7 Surface Pro 7+ Surface Go Surface Go 2 Surface Laptop Go Surface Laptop Go 2 Surface Laptop Go 3 Surface Laptop 3 (nur Intel) Surface Laptop 4 (nur Intel) Surface Laptop 5 (nur Intel) Surface Studio 2+ |
Aktivieren oder Deaktivieren von Daten | Aktivierte Daten, Anzeige und Stromversorgung Deaktivierte Daten, Anzeige und Stromversorgung |
USBPortEnabled (Standard) USBPortHWDisabled |
370-379 |
|
Surface Pro 8 Surface Pro 9 Surface Pro (11. Auflage) Surface Laptop (7. Auflage) Surface Laptop Studio Surface Laptop Studio 2 Surface Go 3 Surface Go 4 |
Aktivieren oder Deaktivieren von Daten | Aktivierte Daten, Anzeige und Stromversorgung Daten deaktiviert, aber Anzeige und Stromversorgung aktiviert Deaktivierte Daten, Anzeige und Stromversorgung |
USBPortEnabled (Standard) USBPortDataDisabled USBPortHwDisabled |
380-389 |
|
Surface Laptop Studio 2 Surface Pro 10 Surface Pro 10 mit 5G Surface Laptop 6 |
Aktivieren oder Deaktivieren von Daten | Aktivierte Daten, Anzeige und Stromversorgung Daten deaktiviert, aber Anzeige und Stromversorgung aktiviert Deaktivierte Daten, Anzeige und Stromversorgung Daten dynamisch aktiviert oder deaktiviert |
USBPortEnabled (Standard) USBPortDataDisabled USBPortHwDisabled USBPortAuthenticated |
380-389 |
| Surface Book 2 und höher | Usb-Basisanschlüsse sind immer aktiviert. | Usb-Basisanschlüsse sind immer aktiviert. | n. a. | |
|
Surface Book mit Performance Base Surface Book |
Usb-Basisanschlüsse sind immer aktiviert. | Nicht vorhanden: Kein USB-C-Anschluss auf dem Gerät | n. a. |
Abteilungs- und Organisationsbereitstellung
Die dynamische USB-C-Deaktivierung ermöglicht eine m:n-Beziehung zwischen Host und Dock. Auf diese Weise können Kunden Hosts und Docks so konfigurieren, dass sie mit allen Hosts/Docks arbeiten oder sie abteilungsspezifisch gestalten, um die Ressourcenverwaltung zu unterstützen.
Tabelle 2 Beispielbeziehungen: Hostgerät mit Surface Thunderbolt 4 Dock
| Hostgerät (Surface Laptop Studio 2) | Nicht bereitgestelltes Dock | Globales Dock | Department-X Dock | Department-Y Dock |
|---|---|---|---|---|
| Nicht bereitgestellt |
-
Host USB-C: Ermöglichte - Usb andocken: Ermöglichte |
-
Host USB-C: Ermöglichte - Usb andocken: Eingeschränkt, basierend auf der Richtlinie für nicht authentifizierte Docks |
-
Host USB-C: Ermöglichte - Usb andocken: Eingeschränkt, basierend auf der Richtlinie für nicht authentifizierte Docks |
-
Host USB-C: Ermöglichte - Usb andocken: Eingeschränkt, basierend auf der Richtlinie für nicht authentifizierte Docks |
| Global |
-
Host USB-C: Daten deaktiviert - Usb andocken: Daten deaktiviert |
-
Host USB-C: Ermöglichte - Usb andocken: Authentifizierte Richtlinie |
-
Host USB-C: Ermöglichte - Usb andocken: Authentifizierte Richtlinie |
-
Host USB-C: Ermöglichte - Dock: Authentifizierte Richtlinie |
| Abteilung-X |
-
Host USB-C: Daten deaktiviert - Usb andocken: Daten deaktiviert |
-
Host USB-C: Ermöglichte - Usb andocken: Authentifizierte Richtlinie |
-
Host USB-C: Ermöglichte - Usb andocken: Authentifizierte Richtlinie |
-
Host USB-C: Daten deaktiviert - Usb andocken: Deaktivierte & basierend auf der Richtlinie für nicht authentifizierte Andocks eingeschränkt |
| Abteilung-Y |
-
Host USB-C: Daten deaktiviert - Usb andocken: Daten deaktiviert |
-
Host USB-C: Ermöglichte - Usb andocken: Authentifizierte Richtlinie |
-
Host USB-C: Daten deaktiviert - Usb andocken: Deaktivierte & basierend auf der Richtlinie für nicht authentifizierte Andocks eingeschränkt |
-
Host USB-C: Ermöglichte - Dock: Authentifizierte Richtlinie |
| Hostgerät (Surface Laptop Studio 2) |
Nicht bereitgestelltes Dock | Globales Dock | Department-X Dock | Department-Y Dock |
|---|---|---|---|---|
| Nicht bereitgestellt |
-
Host USB-C: Ermöglichte - Usb andocken: Ermöglichte |
-
Host USB-C: Ermöglichte - Usb andocken: Eingeschränkt, basierend auf der Richtlinie für nicht authentifizierte Docks |
-
Host USB-C: Ermöglichte - Usb andocken: Eingeschränkt, basierend auf der Richtlinie für nicht authentifizierte Docks |
-
Host USB-C: Ermöglichte - Usb andocken: Eingeschränkt, basierend auf der Richtlinie für nicht authentifizierte Docks |
| Global |
-
Host USB-C: Daten deaktiviert - Usb andocken: Daten deaktiviert |
-
Host USB-C: Ermöglichte - Usb andocken: Authentifizierte Richtlinie |
-
Host USB-C: Ermöglichte - Usb andocken: Authentifizierte Richtlinie |
-
Host USB-C: Ermöglichte - Dock: Authentifizierte Richtlinie |
| Abteilung-X |
-
Host USB-C: Daten deaktiviert - Usb andocken: Daten deaktiviert |
-
Host USB-C: Ermöglichte - Usb andocken: Authentifizierte Richtlinie |
-
Host USB-C: Ermöglichte - Usb andocken: Authentifizierte Richtlinie |
-
Host USB-C: Daten deaktiviert - Usb andocken: Deaktivierte & basierend auf der Richtlinie für nicht authentifizierte Andocks eingeschränkt |
| Abteilung-Y |
-
Host USB-C: Daten deaktiviert - Usb andocken: Daten deaktiviert |
-
Host USB-C: Ermöglichte - Usb andocken: Authentifizierte Richtlinie |
-
Host USB-C: Daten deaktiviert - Usb andocken: Deaktivierte & basierend auf der Richtlinie für nicht authentifizierte Andocks eingeschränkt |
-
Host USB-C: Ermöglichte - Dock: Authentifizierte Richtlinie |
Anhang: Technische Referenz zu SEMM-PowerShell-Skripts
| Skript | Zweck | Voraussetzungen |
|---|---|---|
| ApplyProvisioningPackage.ps1 | – Veranschaulicht, wie die Besitzer- und Berechtigungspakete angewendet werden. | – Ausführen mit Administratorrechten – Surface Device hat die SurfaceUEFI_Manager_(Version).msi installiert - Das Paket wurde über CreateSettingsPackage.ps1 oder ähnliches generiert. |
| ApplySettingsPackage.ps1 | – Veranschaulicht, wie das Einstellungspaket angewendet wird. | – Ausführen mit Administratorrechten – Surface-Gerät hat die SurfaceUEFI_Manager_(Version).msi - Das Paket wurde über CreateSettingsPackage.ps1 oder ähnliches generiert. |
| ConfigureSEMM – Dock2.ps1 | – Erstellt ein Surface Dock-Bereitstellungspaket – Wendet das erstellte Bereitstellungspaket an. |
– SurfaceUEFI_Manager_(Version).msi wurde installiert - Dock Certification Authority (DockCA) – ein p7b-Zertifikat, das zur Kontrolle des Besitzes eines Surface Dock 2 verwendet wird - Dock-Bereitstellungszertifikat (ProvCert): pfx-Zertifikat, das zum Signieren des Dockkonfigurationspakets mit EKU 1.3.6.1.4.1.311.76.9.21.3 verwendet wird – Dieses Zertifikat und seine vollständige Vertrauenswürdigkeitskette MÜSSEN auf dem Surface-Computer während der Bereitstellungspaketerstellung für -CertStoreLocation Cert:\LocalMachine\Root installiert werden. - Andockhostautorisierungszertifikat (HostCert): ein pfx-Zertifikat, das verwendet wird, um einen Surface Computer für die Verwendung der Sicherheitsrichtlinien für das Dock für autorisierte Benutzer zu autorisieren. – Dieses Zertifikat und seine vollständige Vertrauenswürdigkeitskette MÜSSEN auf dem Surface-Computer während der Dockbereitstellung (und nur dieses Zertifikat) für -CertStoreLocation Cert:\LocalMachine\Root installiert werden. – Dieses Zertifikat DARF während der Erstellung des Bereitstellungspakets NICHT auf dem Surface-Computer installiert werden. – Surface Dock 2 -WMI-Instanzanbieter für Surface Dock. Weitere Informationen finden Sie unter Verwalten von Surface Docks mit WMI. |
| ConfigureSEMM – Thunderbolt(TM)4Dock-Host-SAM.ps1 | – Erstellt und wendet ein SEMM/DFCI-Paket an, das den USB-C-Port festlegt und die Hashes der Zertifizierungsstelle enthält. – Erstellt und wendet eine SAM-Zertifizierungsstelle-CFU-Nutzlast an. |
– SurfaceUEFI_Manager_(Version).msi wurde installiert - Dock Certification Authority (DockCA) – ein p7b-Zertifikat, das zur Kontrolle des Besitzes eines Surface Thunderbolt 4 Dock verwendet wird – Einer der folgenden Surface-Computer (andere Modelle werden noch nicht unterstützt): Surface Laptop Studio 2 |
| ConfigureSEMM – Thunderbolt(TM)4Dock-Host.ps1 | – Erstellt und wendet ein CFU-Paket für SAM an. | – SurfaceUEFI_Manager_(Version).msi wurde installiert – Eine Liste der Zertifizierungsstellendateien (.p7b). SAM kann bis zu 10 verschiedene Zertifizierungsstellen unterstützen. – Einer der folgenden Surface-Computer (andere Modelle werden noch nicht unterstützt): Surface Laptop Studio 2 |
| ConfigureSEMM – Thunderbolt(TM)4Dock-Policy.ps1 | – Erstellt ein Surface Thunderbolt 4 Dock-Richtlinienpaket – Wendet das erstellte Richtlinienpaket an. |
– SurfaceUEFI_Manager_(Version).msi wurde installiert - Dock-Bereitstellungszertifikat (ProvCert): pfx-Zertifikat, das zum Signieren des Dockkonfigurationspakets mit EKU 1.3.6.1.4.1.311.76.9.21.3 verwendet wird – Dieses Zertifikat und seine vollständige Vertrauenswürdigkeitskette MÜSSEN auf dem Surface-Computer während der Bereitstellungspaketerstellung für -CertStoreLocation Cert:\LocalMachine\Root installiert werden. - Andockhostautorisierungszertifikat (HostCert): ein pfx-Zertifikat, das verwendet wird, um einen Surface Computer für die Verwendung der Sicherheitsrichtlinien für das Dock für autorisierte Benutzer zu autorisieren. – Dieses Zertifikat und seine vollständige Vertrauenswürdigkeitskette MÜSSEN auf dem Surface-Computer während der Dockbereitstellung (und nur dieses Zertifikat) für -CertStoreLocation Cert:\LocalMachine\Root installiert werden. – Dieses Zertifikat DARF während der Erstellung des Bereitstellungspakets NICHT auf dem Surface-Computer installiert werden. - Andockauthentifizierungszertifikat (DockAuthCert) - Surface Thunderbolt 4 Dock |
| ConfigureSEMM – Thunderbolt(TM)4Dock-Provisioning.ps1 | – Erstellt ein Surface Thunderbolt 4 Dock-Bereitstellungspaket – Wendet das erstellte Bereitstellungspaket an. |
– SurfaceUEFI_Manager_(Version).msi wurde installiert - Dock-Zertifizierungsstellendatei (DepartmentCA und/oder OrganizationCA) – ein p7b-Zertifikat, das zur Kontrolle des Besitzes eines Surface Thunderbolt 4 Dock verwendet wird - Dock-Bereitstellungszertifikat (ProvCert): pfx-Zertifikat, das zum Signieren des Dockkonfigurationspakets mit EKU 1.3.6.1.4.1.311.76.9.21.3 verwendet wird – Dieses Zertifikat und seine vollständige Vertrauenswürdigkeitskette MÜSSEN auf dem Surface-Computer während der Bereitstellungspaketerstellung für -CertStoreLocation Cert:\LocalMachine\Root installiert werden. - Andockhostautorisierungszertifikat (HostCert): ein pfx-Zertifikat, das verwendet wird, um einen Surface Computer für die Verwendung der Sicherheitsrichtlinien für das Dock für autorisierte Benutzer zu autorisieren. – Dieses Zertifikat und seine vollständige Vertrauenswürdigkeitskette MÜSSEN auf dem Surface-Computer während der Dockbereitstellung (und nur dieses Zertifikat) für -CertStoreLocation Cert:\LocalMachine\Root installiert werden. – Dieses Zertifikat DARF während der Erstellung des Bereitstellungspakets NICHT auf dem Surface-Computer installiert werden. - Andockauthentifizierungszertifikat (DockAuthCert) - Surface Thunderbolt 4 Dock |
| ConfigureSEMM – Thunderbolt(TM)4Dock-USBC.ps1 | – Erstellt ein SEMM/DFCI-Paket mit USB-C-Modus 3 und wendet es an. | – SurfaceUEFI_Manager_(Version).msi wurde installiert - Der Signaturschlüssel des Besitzzertifikats wurde generiert und ist zugänglich. – Einer der folgenden Surface-Computer (andere Modelle werden noch nicht unterstützt): Surface Laptop Studio 2 |
| ConfigureSEMM.ps1 | – Erstellt das Paket für die Signaturgeberbereitstellung (auch als "Besitzer" bezeichnet) und ein Paket für das universelle Zurücksetzen. – Erstellt ein Berechtigungspaket. – Wendet die erstellten Besitzer- und Berechtigungspakete an. |
– SurfaceUEFI_Manager_(Version).msi wurde installiert - Der Signaturschlüssel des Besitzzertifikats wurde generiert und ist zugänglich. - Surface-Gerät mit kompatiblem SEMM-fähigen UEFI |
| CreateOwnerPackage.ps1 | – Erstellt das Paket für die Signaturgeberbereitstellung (auch als "Besitzer" bezeichnet) und ein paket für die universelle Zurücksetzung. – Kann auf einer IT-Administratorarbeitsstation ausgeführt werden (muss kein Surface-Gerät sein) |
– Auf der Arbeitsstation des IT-Administrators wurde die SurfaceUEFI_Manager_(Version).msi installiert. - Der Signaturschlüssel des Besitzzertifikats wurde generiert und ist zugänglich. |
| CreateOwnerUpgradePackage.ps1 | – Erstellt das Bereitstellungspaket für das Signiererupgrade (auch als "Besitzer" bezeichnet) und ein paket für die universelle Zurücksetzung. | – Auf der Arbeitsstation des IT-Administrators wurde die SurfaceUEFI_Manager_(Version).msi installiert. – Es wurde ein neuer Signaturschlüssel für das Besitzerzertifikat generiert, auf den zugegriffen werden kann – Ein vorhandener Signaturschlüssel für das Besitzerzertifikat wurde generiert und ist zugänglich. |
| CreatePermissionPackages.ps1 | – Veranschaulicht, wie ein Berechtigungspaket erstellt wird. | – Auf der Arbeitsstation des IT-Administrators wurde die SurfaceUEFI_Manager_(Version).msi installiert. - Der Signaturschlüssel des Besitzzertifikats wurde generiert und ist zugänglich. |
| CreateSettingsPackage.ps1 | – Veranschaulicht, wie ein Einstellungspaket erstellt wird. | – Auf der Arbeitsstation des IT-Administrators wurde die SurfaceUEFI_Manager_(Version).msi installiert. - Der Signaturschlüssel des Besitzzertifikats wurde generiert und ist zugänglich. |
| CreateSurfaceDock2Certificates.ps1 | – Erstellt eine Gruppe von Zertifikaten, die für die Konfiguration eines Surface Dock 2 geeignet sind – Sie können in Verbindung mit den Konfigurations- und Zurücksetzungsskripts oder dem Konfigurator verwendet werden. |
- N/A |
| CreateSurfaceThunderbolt(TM)4DockCertificates.ps1 | – Erstellt eine Gruppe von Zertifikaten, die für die Konfiguration eines Surface Thunderbolt 4 Dock geeignet sind – Sie können in Verbindung mit den Konfigurations- und Zurücksetzungsskripts oder dem Konfigurator verwendet werden. |
- N/A |
| CreateTestCertificates.ps1 | – Veranschaulicht, wie die im System verwendeten digitalen Zertifikate erstellt werden. - Anmerkung: Die hier erstellten Zertifikate funktionieren zu Testzwecken, sind jedoch einfach und werden für die tatsächliche Bereitstellung nicht empfohlen. – Es wird dringend empfohlen, mehr über bewährte Methoden für PKI zu erfahren, indem Sie Themen zur PKI lesen, z. B. die folgenden: Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure (Bewährte Methoden für die Implementierung einer Microsoft Windows Server 2003 Public Key-Infrastruktur). |
- N/A |
| CurrentSettings.ps1 | – Zeigt die aktuellen SEMM-Einstellungen auf dem Gerät beim Start an. | – Ausführen mit Administratorrechten – Surface-Gerät hat die SurfaceUEFI_Manager_(Version).msi |
| ResetSEMM – Dock2.ps1 | – Erstellt ein Surface Dock-Zurücksetzungspaket – Wendet das erstellte Zurücksetzungspaket an. |
– SurfaceUEFI_Manager_(Version).msi wurde installiert - Dock Certification Authority (DockCA): Die p7b-Zertifikatdatei, die zum Steuern des Besitzes eines Surface Dock 2 verwendet wird - DockBereitstellungszertifikat (ProvCert): eine PFX-Zertifikatdatei, die zum Signieren des Dockkonfigurationspakets mit EKU 1.3.6.1.4.1.311.76.9.21.3 verwendet wird – Dieses Zertifikat und seine vollständige Vertrauenswürdigkeitskette MÜSSEN auf dem Surface-Computer während der Bereitstellungspaketerstellung für -CertStoreLocation Cert:\LocalMachine\Root installiert werden. – Andocken des Hostautorisierungszertifikats (HostCert): Eine PFX-Zertifikatdatei, die verwendet wird, um einen Surface Computer für die Verwendung der Sicherheitsrichtlinien für das Dock für autorisierte Benutzer zu autorisieren. – Dieses Zertifikat und seine vollständige Vertrauenswürdigkeitskette MÜSSEN auf dem Surface-Computer während der Dockbereitstellung (und nur dieses Zertifikat) für -CertStoreLocation Cert:\LocalMachine\Root installiert werden. – Dieses Zertifikat DARF während der Erstellung des Bereitstellungspakets NICHT auf dem Surface-Computer installiert werden. – Surface Dock 2 – WMI-Instanzanbieter für Surface Dock 2. Weitere Informationen finden Sie unter Verwalten von Surface Docks mit WMI. |
| ResetSEMM - Thunderbolt(TM)4Dock.ps1 | – Erstellt ein Surface Thunderbolt 4 Dock Reset Package – Wendet das erstellte Zurücksetzungspaket an. |
– SurfaceUEFI_Manager_(Version).msi wurde installiert - DockBereitstellungszertifikat (ProvCert): eine PFX-Zertifikatdatei, die zum Signieren des Dockkonfigurationspakets mit EKU 1.3.6.1.4.1.311.76.9.21.3 verwendet wird – Dieses Zertifikat und seine vollständige Vertrauenswürdigkeitskette MÜSSEN auf dem Surface-Computer während der Bereitstellungspaketerstellung für -CertStoreLocation Cert:\LocalMachine\Root installiert werden. – Andocken des Hostautorisierungszertifikats (HostCert): Eine PFX-Zertifikatdatei, die verwendet wird, um einen Surface Computer für die Verwendung der Sicherheitsrichtlinien für das Dock für autorisierte Benutzer zu autorisieren. – Dieses Zertifikat und seine vollständige Vertrauenswürdigkeitskette MÜSSEN auf dem Surface-Computer während der Dockbereitstellung (und nur dieses Zertifikat) für -CertStoreLocation Cert:\LocalMachine\Root installiert werden. – Dieses Zertifikat DARF während der Erstellung des Bereitstellungspakets NICHT auf dem Surface-Computer installiert werden. - Surface Thunderbolt 4 Dock |
| ResetSemm.ps1 | – Erstellt ein SEMM-Zurücksetzungspaket für ein bestimmtes Gerät und wendet es an. | – Administratorrechte auf dem Gerät. – Surface-Gerät hat die SurfaceUEFI_Manager_(Version).msi – Zertifikat wurde generiert und ist zugänglich (und Kennwort ist 1234). – Dieses Surface-Gerät wurde früher mit demselben Zertifikat registriert. |
| ShowSettingsOptions.ps1 | – Druckt die UEFI-Einstellungen, die auf Surface-Geräte angewendet werden können. | – Auf der Arbeitsstation des IT-Administrators wurde die SurfaceUEFI_Manager_(Version).msi installiert. |
| VerifyDockSettings.ps1 | – Zum Erfassen und Anzeigen der aktuellen Konfiguration des verbundenen Surface Dock | – Surface Dock 2 oder Surface Thunderbolt 4 Dock |
| VerifySettings.ps1 | – Veranschaulicht, wie die aktuellen Einstellungen und der Status der letzten Updates angezeigt werden. | – Ausführen mit Administratorrechten – Surface-Gerät hat die SurfaceUEFI_Manager_(Version).msi - Pakete wurden angewendet und die Sitzungs-ID-Dateien gespeichert. |