Administrar la instalación de dispositivos con directiva de grupo

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10

Mediante el uso de sistemas operativos Windows, los administradores pueden determinar qué dispositivos se pueden instalar en los equipos que administran. En esta guía se resume el proceso de instalación del dispositivo y se muestran varias técnicas para controlar la instalación de dispositivos mediante directiva de grupo.

Introducción

General

En esta guía paso a paso se describe cómo puede controlar la instalación de dispositivos en los equipos que administra, incluida la designación de los dispositivos que los usuarios pueden y no pueden instalar. Esta guía se aplica a todas las versiones de Windows a partir de Windows 10, versión 1809. La guía incluye los siguientes escenarios:

• Impedir que los usuarios instalen dispositivos que estén en una lista "prohibida". Si un dispositivo no está en la lista, el usuario puede instalarlo.
• Permitir a los usuarios instalar solo los dispositivos que se encuentran en una lista "aprobada". Si un dispositivo no está en la lista, el usuario no puede instalarlo.

En esta guía se describe el proceso de instalación del dispositivo y se presentan las cadenas de identificación del dispositivo que Windows usa para hacer coincidir un dispositivo con los paquetes device-driver disponibles en una máquina. En la guía también se muestran dos métodos para controlar la instalación del dispositivo. Cada escenario muestra, paso a paso, un método que puede usar para permitir o impedir la instalación de un dispositivo específico o una clase de dispositivos.

El dispositivo de ejemplo usado en los escenarios es un dispositivo de almacenamiento USB. Puede realizar los pasos de esta guía con un dispositivo diferente. Sin embargo, si usa un dispositivo diferente, las instrucciones de la guía no coincidirán exactamente con la interfaz de usuario que aparece en el equipo.

Es importante comprender que las directivas de grupo que se presentan en esta guía solo se aplican a máquinas o grupos de máquinas, no a usuarios o grupos de usuarios.

Importante

Los pasos proporcionados en esta guía están diseñados para su uso en un entorno de laboratorio de pruebas. Esta guía paso a paso no está pensada para usarse para implementar características de Windows Server sin documentación complementaria y debe usarse con discreción como documento independiente.

¿Quién debe usar esta guía?

Esta guía está dirigida a las siguientes audiencias:

• Planificadores y analistas de tecnología de la información que evalúan Windows 10, Windows 11 o Windows Server 2022
• Diseñadores y planificadores de tecnología de la información empresarial
• Arquitectos de seguridad responsables de implementar la informática de confianza en su organización
• Administradores que quieren familiarizarse con la tecnología

Ventajas de controlar la instalación de dispositivos mediante directiva de grupo

La restricción de los dispositivos que los usuarios pueden instalar reduce el riesgo de robo de datos y reduce el costo del soporte técnico.

Reducir el riesgo de robo de datos

Es más difícil para los usuarios realizar copias no autorizadas de los datos de la empresa si los equipos de los usuarios no pueden instalar dispositivos no aprobados que admiten medios extraíbles. Por ejemplo, si los usuarios no pueden instalar un dispositivo usb, no pueden descargar copias de datos de la empresa en un almacenamiento extraíble. Esta ventaja no puede eliminar el robo de datos, pero crea otra barrera para la eliminación no autorizada de datos.

Reducir los costos de soporte técnico

Puede asegurarse de que los usuarios instalen solo los dispositivos que el equipo de soporte técnico esté entrenado y equipado para admitir. Esta ventaja reduce los costos de soporte técnico y la confusión del usuario.

Introducción al escenario

Los escenarios que se presentan en esta guía muestran cómo puede controlar la instalación y el uso de dispositivos en los equipos que administra. Los escenarios usan directiva de grupo en una máquina local para simplificar el uso de los procedimientos en un entorno de laboratorio. En un entorno en el que administre varios equipos cliente, debe aplicar esta configuración mediante directiva de grupo. Con directiva de grupo implementados por Active Directory, puede aplicar la configuración a todos los equipos que sean miembros de un dominio o una unidad organizativa de un dominio. Para obtener más información sobre cómo crear un objeto de directiva de grupo para administrar los equipos cliente, vea Crear un objeto directiva de grupo.

Escenario	Descripción
Escenario 1: Impedir la instalación de todas las impresoras	En este escenario, el administrador quiere impedir que los usuarios instalen impresoras. Por lo tanto, es un escenario básico para presentar la funcionalidad "impedir/permitir" de las directivas de instalación de dispositivos en directiva de grupo.
Escenario 2: Impedir la instalación de una impresora específica	En este escenario, el administrador permite a los usuarios estándar instalar todas las impresoras, pero evitando que instalen una específica.
Escenario 3: Impedir la instalación de todas las impresoras al tiempo que se permite instalar una impresora específica	En este escenario, combinará lo que ha aprendido tanto en el escenario 1 como en el escenario 2. El administrador quiere permitir que los usuarios estándar instalen solo una impresora específica al tiempo que impide la instalación de todas las demás impresoras. Este escenario es más realista y le lleva un paso más allá en la comprensión de las directivas de restricciones de instalación de dispositivos.
Escenario 4: Impedir la instalación de un dispositivo USB específico	Este escenario, aunque es similar al escenario 2, aporta otra capa de complejidad: cómo funciona la conectividad de dispositivos en el árbol PnP. El administrador quiere evitar que los usuarios estándar instalen un dispositivo USB específico. Al final del escenario, debe comprender la forma en que los dispositivos están anidados en capas bajo el árbol de conectividad de dispositivos PnP.
Escenario 5: Impedir la instalación de todos los dispositivos USB al tiempo que se permite la instalación de solo una unidad usb autorizada	En este escenario, combinando los cuatro escenarios anteriores, aprenderá a proteger una máquina de todos los dispositivos USB no autorizados. El administrador quiere permitir que los usuarios instalen solo un pequeño conjunto de dispositivos USB autorizados, a la vez que evita que se instale ningún otro dispositivo USB. Además, este escenario incluye una explicación de cómo aplicar la funcionalidad "impedir" a los dispositivos USB existentes que ya se han instalado en la máquina, y al administrador le gusta evitar cualquier interacción más lejana con ellos (bloqueándolos todos juntos). Este escenario se basa en las directivas y la estructura que hemos introducido en los cuatro primeros escenarios y, por lo tanto, es preferible repasarlos primero antes de intentar este escenario.

Revisión tecnológica

En las secciones siguientes se proporciona una breve descripción general de las tecnologías principales que se describen en esta guía y se proporciona información general necesaria para comprender los escenarios.

Instalación de dispositivos en Windows

Un dispositivo es una pieza de hardware con la que Windows interactúa para realizar alguna función o, en una definición más técnica, es una única instancia de un componente de hardware con una representación única en el subsistema de Windows Plug and Play. Windows solo puede comunicarse con un dispositivo a través de un software denominado controlador de dispositivo (también conocido como controlador). Para instalar un controlador, Windows detecta el dispositivo, reconoce su tipo y, a continuación, encuentra el controlador que coincide con ese tipo.

Cuando Windows detecta un dispositivo que nunca se ha instalado en el equipo, el sistema operativo consulta al dispositivo para recuperar su lista de cadenas de identificación de dispositivo. Un dispositivo suele tener varias cadenas de identificación de dispositivo, que el fabricante del dispositivo asigna. Las mismas cadenas de identificación de dispositivo se incluyen en el archivo .inf (también conocido como INF) que forma parte del paquete del controlador. Windows elige qué paquete de controladores instalar haciendo coincidir las cadenas de identificación de dispositivo recuperadas del dispositivo con las cadenas incluidas con los paquetes de controladores.

Windows usa cuatro tipos de identificadores para controlar la instalación y configuración del dispositivo. Puede usar la configuración de directiva de grupo en Windows para especificar cuál de estos identificadores se va a permitir o bloquear.

Los cuatro tipos de identificadores son:

• Id. de instancia de dispositivo
• Id. de dispositivo
• Clases de configuración de dispositivos
• Tipo de dispositivo "Dispositivos extraíbles"

Id. de instancia de dispositivo

Un identificador de instancia de dispositivo es una cadena de identificación de dispositivo proporcionada por el sistema que identifica de forma única un dispositivo en el sistema. El administrador de Plug and Play (PnP) asigna un identificador de instancia de dispositivo a cada nodo de dispositivo (devnode) en el árbol de dispositivos de un sistema.

Id. de dispositivo

Windows puede usar cada cadena para hacer coincidir un dispositivo con un paquete de controladores. Las cadenas van desde la específica, que coincide con una sola creación y modelo de un dispositivo, hasta la general, posiblemente aplicando a toda una clase de dispositivos. Hay dos tipos de cadenas de identificación de dispositivos: identificadores de hardware e identificadores compatibles.

Identificadores de hardware

Los identificadores de hardware son los identificadores que proporcionan la coincidencia exacta entre un dispositivo y un paquete de controladores. La primera cadena de la lista de identificadores de hardware se conoce como id. de dispositivo, ya que coincide con la marca, el modelo y la revisión exactas del dispositivo. Los demás identificadores de hardware de la lista coinciden con los detalles del dispositivo menos exactamente. Por ejemplo, un identificador de hardware podría identificar la marca y el modelo del dispositivo, pero no la revisión específica. Este esquema permite a Windows usar un controlador para una revisión diferente del dispositivo si el controlador para la revisión correcta no está disponible.

Identificadores compatibles

Windows usa estos identificadores para seleccionar un controlador si el sistema operativo no puede encontrar una coincidencia con el identificador de dispositivo o con cualquiera de los demás identificadores de hardware. Los identificadores compatibles se enumeran en el orden de disminución de idoneidad. Estas cadenas son opcionales y, cuando se proporcionan, son genéricas, como Disk. Cuando se realiza una coincidencia con un identificador compatible, normalmente solo se pueden usar las funciones más básicas del dispositivo.

Al instalar un dispositivo, como una impresora, un dispositivo de almacenamiento USB o un teclado, Windows busca paquetes de controladores que coincidan con el dispositivo que intenta instalar. Durante esta búsqueda, Windows asigna una "clasificación" a cada paquete de controladores que detecta con al menos una coincidencia con un hardware o un identificador compatible. La clasificación indica qué tan bien coincide el controlador con el dispositivo. Los números de clasificación inferiores indican mejores coincidencias entre el controlador y el dispositivo. Una clasificación de cero representa la mejor coincidencia posible. Una coincidencia con el identificador de dispositivo con uno del paquete de controladores da como resultado una clasificación inferior (mejor) que una coincidencia con uno de los otros identificadores de hardware. De forma similar, una coincidencia con un identificador de hardware da como resultado una mejor clasificación que una coincidencia con cualquiera de los identificadores compatibles. Una vez que Windows clasifica todos los paquetes de controladores, instala el que tiene la clasificación general más baja. Para obtener más información sobre el proceso de clasificación y selección de paquetes de controladores, vea Cómo Windows selecciona un paquete de controladores para un dispositivo.

Nota

Para obtener más información sobre el proceso de instalación del controlador, consulte la sección "Revisión de tecnología" de la Guía paso a paso para la firma y el almacenamiento provisional de controladores.

Algunos dispositivos físicos crean uno o varios dispositivos lógicos cuando están instalados. Cada dispositivo lógico podría controlar parte de la funcionalidad del dispositivo físico. Por ejemplo, un dispositivo multifunción, como un escáner,fax o impresora todo en uno, podría tener una cadena de identificación de dispositivo diferente para cada función.

Cuando se usan directivas de instalación de dispositivos para permitir o impedir la instalación de un dispositivo que usa dispositivos lógicos, debe permitir o impedir todas las cadenas de identificación de dispositivo para ese dispositivo. Por ejemplo, si un usuario intenta instalar un dispositivo multifunción y no permite ni impide todas las cadenas de identificación para dispositivos físicos y lógicos, podría obtener resultados inesperados del intento de instalación. Para obtener información más detallada sobre los identificadores de hardware, consulte Cadenas de identificación de dispositivos.

Clases de configuración de dispositivos

Las clases de configuración de dispositivo (también conocidas como Clase) son otro tipo de cadena de identificación. El fabricante asigna la clase a un dispositivo en el paquete del controlador. La clase agrupa los dispositivos instalados y configurados de la misma manera. Por ejemplo, todos los dispositivos biométricos pertenecen a la clase biométrica (ClassGuid = {53D29EF7-377C-4D14-864B-EB3A85769359}) y usan el mismo co-instalador cuando se instalan. Un número largo denominado identificador único global (GUID) representa cada clase de configuración de dispositivo. Cuando se inicia Windows, crea una estructura de árbol en memoria con los GUID para todos los dispositivos detectados. Junto con el GUID de la clase del propio dispositivo, Es posible que Windows tenga que insertar en el árbol el GUID de la clase del bus al que está conectado el dispositivo.

Cuando use clases de dispositivo para permitir o impedir que los usuarios instalen controladores, debe especificar los GUID para todas las clases de configuración de dispositivos del dispositivo o es posible que no obtenga los resultados que desee. Es posible que se produzca un error en la instalación (si desea que se realice correctamente) o que se realice correctamente (si desea que se produzca un error).

Por ejemplo, un dispositivo multifunción, como un escáner,fax o impresora todo en uno, tiene un GUID para un dispositivo multifunción genérico, un GUID para la función de impresora, un GUID para la función del escáner, etc. Los GUID de las funciones individuales son "nodos secundarios" en el GUID del dispositivo de varias funciones. Para instalar un nodo secundario, Windows también debe poder instalar el nodo primario. Debe permitir la instalación de la clase de configuración del dispositivo del GUID primario para el dispositivo multifunción, además de los GUID secundarios para las funciones de impresora y escáner.

Para obtener más información, consulta Clases de configuración de dispositivos.

En esta guía no se muestra ningún escenario que use clases de configuración de dispositivo. Sin embargo, los principios básicos que se muestran con las cadenas de identificación de dispositivos de esta guía también se aplican a las clases de configuración de dispositivos. Después de detectar la clase de configuración de dispositivo para un dispositivo específico, puede usarla en una directiva para permitir o impedir la instalación de controladores para esa clase de dispositivos.

Los dos vínculos siguientes proporcionan la lista completa de clases de configuración de dispositivos. Las clases "Uso del sistema" se refieren principalmente a los dispositivos que vienen con un equipo o equipo de fábrica, mientras que las clases "Vendor" se refieren principalmente a dispositivos que podrían estar conectados a un equipo o equipo existente:

• Clases de configuración de dispositivos definidas por el sistema disponibles para proveedores: controladores de Windows
• Clases de configuración de dispositivos definidas por el sistema reservadas para uso del sistema: controladores de Windows

Tipo de dispositivo "Dispositivo extraíble"

Algunos dispositivos se podrían clasificar como dispositivo extraíble. Un dispositivo se considera extraíble cuando el controlador del dispositivo al que está conectado indica que el dispositivo es extraíble. Por ejemplo, los controladores del concentrador USB al que está conectado el dispositivo notifican que un dispositivo USB es extraíble.

configuración de directiva de grupo para la instalación del dispositivo

Directiva de grupo es una infraestructura que permite especificar configuraciones administradas para usuarios y equipos a través la Configuración de directiva de grupo y las Preferencias de directiva de grupo.

La sección Instalación de dispositivos de directiva de grupo es un conjunto de directivas que controlan qué dispositivo podría o no instalarse en una máquina. Tanto si desea aplicar la configuración a un equipo independiente como a muchos equipos de un dominio de Active Directory, use la Editor directiva de grupo Object para configurar y aplicar la configuración de directiva. Para obtener más información, vea directiva de grupo object Editor.

Los pasajes siguientes son breves descripciones de las directivas de instalación de dispositivos que se usan en esta guía.

Nota

El control de instalación de dispositivos solo se aplica a las máquinas ("configuración del equipo") y no a los usuarios ('configuración de usuario') por la naturaleza del diseño del sistema operativo Windows. Esta configuración de directiva afecta a todos los usuarios que inician sesión en el equipo donde se aplica la configuración de directiva. No puede aplicar estas directivas a usuarios o grupos específicos, excepto a la directiva Permitir a los administradores invalidar la directiva de instalación de dispositivos. Esta directiva exime a los miembros del grupo de administradores locales de cualquiera de las restricciones de instalación de dispositivos que se aplican al equipo mediante la configuración de otras opciones de directiva, como se describe en esta sección.

Permitir a los administradores invalidar las directivas de restricción de instalación de dispositivos

Esta configuración de directiva permite a los miembros del grupo de administradores locales instalar y actualizar los controladores de cualquier dispositivo, independientemente de la configuración de otra directiva. Si habilita esta configuración de directiva, los administradores pueden usar el Asistente para agregar hardware o el Asistente para actualizar controladores para instalar y actualizar los controladores de cualquier dispositivo. Si deshabilita o no establece esta configuración de directiva, los administradores estarán sujetos a todas las opciones de configuración de directiva que restrinjan la instalación del dispositivo.

Permitir la instalación de dispositivos que coincidan con cualquiera de estos identificadores de dispositivo

Esta configuración de directiva especifica una lista de Plug and Play identificadores de hardware e identificadores compatibles que describen los dispositivos que los usuarios pueden instalar. Esta configuración está pensada para usarse solo cuando la configuración de directiva Impedir la instalación de dispositivos no descrita por otra configuración de directiva está habilitada y no tiene prioridad sobre ninguna configuración de directiva que impida a los usuarios instalar un dispositivo. Si habilita esta configuración de directiva, los usuarios pueden instalar y actualizar cualquier dispositivo con un identificador de hardware o un identificador compatible que coincida con un identificador de esta lista si la configuración de directiva Impedir la instalación de dispositivos que coincidan con estos identificadores de dispositivo, la configuración de directiva Impedir la instalación de dispositivos para estas clases de dispositivo, o la configuración de directiva Impedir la instalación de dispositivos extraíbles. Si otra configuración de directiva impide que los usuarios instalen un dispositivo, los usuarios no pueden instalarlo incluso si el dispositivo también se describe mediante un valor en esta configuración de directiva. Si deshabilita o no establece esta configuración de directiva y no hay ninguna otra directiva que describa el dispositivo, la opción Impedir la instalación de dispositivos no descrita por otra configuración de directiva determina si los usuarios pueden instalar el dispositivo.

Permitir la instalación de dispositivos que coincidan con cualquiera de estos identificadores de instancia de dispositivo

Esta configuración de directiva permite especificar una lista de Plug and Play identificadores de instancia de dispositivo para los dispositivos que Windows puede instalar. Use esta configuración de directiva solo cuando esté habilitada la configuración de directiva "Impedir la instalación de dispositivos no descritos por otra configuración de directiva". Otras opciones de configuración de directiva que impiden la instalación del dispositivo tienen prioridad sobre esta. Si habilita esta configuración de directiva, Windows puede instalar o actualizar cualquier dispositivo cuyo identificador de instancia de dispositivo Plug and Play aparezca en la lista que cree, a menos que otra configuración de directiva impida específicamente esa instalación (por ejemplo, la configuración de directiva "Impedir la instalación de dispositivos que coincidan con cualquiera de estos identificadores de dispositivo", la configuración de directiva "Impedir la instalación de dispositivos para estas clases de dispositivos", la configuración de directiva "Impedir la instalación de dispositivos que coincidan con cualquiera de estos identificadores de instancia de dispositivo" o la configuración de directiva "Impedir la instalación de dispositivos extraíbles"). Si habilita esta configuración de directiva en un servidor de escritorio remoto, la configuración de directiva afecta al redireccionamiento de los dispositivos especificados desde un cliente de escritorio remoto al servidor de escritorio remoto.

Permitir la instalación de dispositivos mediante controladores que coincidan con estas clases de configuración de dispositivos

Esta configuración de directiva especifica una lista de GUID de clase de configuración de dispositivos que describen los dispositivos que los usuarios pueden instalar. Esta configuración está pensada para usarse solo cuando la configuración de directiva Impedir la instalación de dispositivos no descrita por otra configuración de directiva está habilitada y no tiene prioridad sobre ninguna configuración de directiva que impida a los usuarios instalar un dispositivo. Si habilita esta configuración, los usuarios pueden instalar y actualizar cualquier dispositivo con un identificador de hardware o un identificador compatible que coincida con uno de los identificadores de esta lista si no se ha impedido la instalación mediante la configuración de directiva Impedir la instalación de dispositivos que coincidan con estos identificadores de dispositivo, la configuración de directiva Impedir la instalación de dispositivos para estas clases de dispositivo, o la configuración de directiva Impedir la instalación de dispositivos extraíbles. Si otra configuración de directiva impide que los usuarios instalen un dispositivo, los usuarios no pueden instalarlo incluso si el dispositivo también se describe mediante un valor en esta configuración de directiva. Si deshabilita o no establece esta configuración de directiva y no hay ninguna otra configuración de directiva que describa el dispositivo, la opción Impedir la instalación de dispositivos no descrita por otras opciones de directiva determina si los usuarios pueden instalar el dispositivo.

Impedir la instalación de dispositivos que coincidan con estos identificadores de dispositivo

Esta configuración de directiva especifica una lista de Plug and Play identificadores de hardware e identificadores compatibles para los dispositivos que los usuarios no pueden instalar. Si habilita esta configuración de directiva, los usuarios no podrán instalar ni actualizar el controlador de un dispositivo si su identificador de hardware o identificador compatible coincide con uno de esta lista. Si deshabilita o no establece esta configuración de directiva, los usuarios pueden instalar dispositivos y actualizar sus controladores, según lo permitido por otras opciones de configuración de directiva para la instalación del dispositivo. Nota: Esta configuración de directiva tiene prioridad sobre cualquier otra configuración de directiva que permita a los usuarios instalar un dispositivo. Esta configuración de directiva impide que los usuarios instalen un dispositivo aunque coincida con otra configuración de directiva que permita la instalación de ese dispositivo.

Impedir la instalación de dispositivos que coincidan con cualquiera de estos identificadores de instancia de dispositivo

Esta configuración de directiva le permite especificar una lista de Plug and Play identificadores de instancia de dispositivo para los dispositivos que Windows no puede instalar. Esta configuración de directiva tiene prioridad sobre cualquier otra configuración de directiva que permita a Windows instalar un dispositivo. Si habilita esta configuración de directiva, windows no podrá instalar un dispositivo cuyo identificador de instancia de dispositivo aparezca en la lista que cree. Si habilita esta configuración de directiva en un servidor de escritorio remoto, la configuración de directiva afecta al redireccionamiento de los dispositivos especificados desde un cliente de escritorio remoto al servidor de escritorio remoto. Si deshabilita o no establece esta configuración de directiva, los dispositivos se pueden instalar y actualizar según lo permitido o lo impiden otras opciones de configuración de directiva.

Impedir la instalación de dispositivos mediante controladores que coincidan con estas clases de configuración de dispositivos

Esta configuración de directiva especifica una lista de Plug and Play GUID de clase de configuración de dispositivo para los dispositivos que los usuarios no pueden instalar. Si habilita esta configuración de directiva, los usuarios no podrán instalar ni actualizar dispositivos que pertenezcan a ninguna de las clases de configuración de dispositivos enumeradas. Si deshabilita o no establece esta configuración de directiva, los usuarios pueden instalar y actualizar dispositivos según lo permita otra configuración de directiva para la instalación de dispositivos. Nota: Esta configuración de directiva tiene prioridad sobre cualquier otra configuración de directiva que permita a los usuarios instalar un dispositivo. Esta configuración de directiva impide que los usuarios instalen un dispositivo aunque coincida con otra configuración de directiva que permita la instalación de ese dispositivo.

Aplicar el orden de evaluación por capas para permitir y evitar directivas de instalación de dispositivos en todos los criterios de coincidencia de dispositivos

Esta configuración de directiva cambia el orden de evaluación en el que se aplica la configuración de directiva Permitir y evitar cuando se aplica más de una configuración de directiva de instalación para un dispositivo determinado. Habilite esta configuración de directiva para asegurarse de que se aplican criterios de coincidencia de dispositivo superpuestos en función de una jerarquía establecida en la que criterios de coincidencia más específicos reemplazan a criterios de coincidencia menos específicos. El orden jerárquico de evaluación de la configuración de directiva que especifica criterios de coincidencia de dispositivo es el siguiente:

Identificadores> de instancia de dispositivoIdentificadores de dispositivo>Clase de configuración de dispositivo>Dispositivos extraíbles

Nota

Esta configuración de directiva proporciona un control más pormenorizado que la configuración de directiva "Impedir la instalación de dispositivos no descritos por otra configuración de directiva". Si estas configuraciones de directiva en conflicto están habilitadas al mismo tiempo, se habilitará la configuración de directiva "Aplicar orden de evaluación por capas para permitir y evitar directivas de instalación de dispositivos en todos los criterios de coincidencia de dispositivo" y se omitirá la otra configuración de directiva.

Si deshabilita o no establece esta configuración de directiva, se usa la evaluación predeterminada. De forma predeterminada, todo "Impedir la instalación..." la configuración de directiva tiene prioridad sobre cualquier otra configuración de directiva que permita a Windows instalar un dispositivo.

Algunas de estas directivas tienen prioridad sobre otras. En el diagrama de flujo siguiente se muestra cómo Windows los procesa para determinar si un usuario puede instalar un dispositivo o no.

Gráfico de flujo de directivas de instalación de dispositivos

Requisitos para completar los escenarios

General

Para completar cada uno de los escenarios, asegúrese de que tiene:

• Equipo cliente que ejecuta Windows.
• Una unidad usb. Los escenarios descritos en esta guía usan una unidad usb como dispositivo de ejemplo (también conocida como "unidad de disco extraíble", "unidad de memoria", una "unidad flash" o una "unidad de llave"). La mayoría de las unidades usb no requieren controladores proporcionados por el fabricante y estos dispositivos funcionan con los controladores de bandeja de entrada proporcionados con la compilación de Windows.
• Una impresora USB/de red preinstalada en el equipo.
• Acceso a la cuenta de administrador en la máquina de pruebas. Los procedimientos de esta guía requieren privilegios de administrador para la mayoría de los pasos.

Descripción de las implicaciones de la aplicación de directivas "Impedir" retroactivas

Todas las directivas "Impedir" pueden aplicar la funcionalidad de bloque a dispositivos ya instalados que se han instalado en el equipo antes de que la directiva surtiese efecto. Se recomienda usar esta opción cuando el administrador no está seguro del historial de instalación de los dispositivos en el equipo y desea asegurarse de que la directiva se aplica a todos los dispositivos.

Por ejemplo: una impresora ya está instalada en la máquina, lo que impide que la instalación de todas las impresoras bloquee la instalación de cualquier impresora futura mientras solo se puede usar la impresora instalada. Para aplicar el bloque con carácter retroactivo, el administrador debe marcar la opción "Aplicar esta directiva a dispositivos ya instalados". Si se marca esta opción, se impedirá el acceso a los dispositivos ya instalados, además de a los futuros.

Esta opción es una herramienta eficaz, pero como tal debe usarse cuidadosamente.

Importante

Aplicar la opción "Impedir retroactivo" a dispositivos cruciales podría hacer que la máquina sea inútil o inaceptable. Por ejemplo: impedir la retroactividad de todas las "unidades de disco" podría bloquear el acceso al disco con el que se inicia el sistema operativo; Impedir que todo 'Net' sea retroactivo podría impedir que esta máquina acceda a la red y, para solucionar el problema, el administrador tendrá que tener una conexión directa.

Determinación de cadenas de identificación de dispositivos

Siguiendo estos pasos, puede determinar las cadenas de identificación del dispositivo. Si los identificadores de hardware y los identificadores compatibles del dispositivo no coinciden con los que se muestran en esta guía, use los identificadores que son adecuados para el dispositivo (esta directiva se aplica a los identificadores de instancia y las clases, pero no vamos a dar un ejemplo para ellos en esta guía).

Puede determinar los identificadores de hardware y los identificadores compatibles para el dispositivo de dos maneras. Puede usar Administrador de dispositivos, una herramienta gráfica incluida con el sistema operativo, o PnPUtil, una herramienta de línea de comandos disponible para todas las versiones de Windows. Use el procedimiento siguiente para ver las cadenas de identificación del dispositivo.

Nota

Estos procedimientos son específicos de una impresora Canon. Si usa otro tipo de dispositivo, debe ajustar los pasos en consecuencia. La diferencia significativa será la ubicación del dispositivo en la jerarquía de Administrador de dispositivos. En lugar de encontrarse en el nodo Impresoras, debe buscar el dispositivo en el nodo adecuado.

Para buscar cadenas de identificación de dispositivos mediante Administrador de dispositivos

1. Asegúrese de que la impresora está conectada e instalada.

2. Para abrir Administrador de dispositivos, seleccione el botón Inicio, escriba mmc devmgmt.msc en el cuadro Iniciar búsqueda y, a continuación, presione ENTRAR; o busque Administrador de dispositivos como aplicación.

3. Administrador de dispositivos se inicia y muestra un árbol que representa todos los dispositivos detectados en el equipo. En la parte superior del árbol hay un nodo con el nombre de los equipos junto a él. Los nodos inferiores representan las distintas categorías de hardware en las que se agrupan los dispositivos de los equipos.

4. Busque la sección "Impresoras" y busque la impresora de destino.

   
   Selección de la impresora en Administrador de dispositivos

5. Haga doble clic en la impresora y vaya a la pestaña "Detalles".

   
   Abra la pestaña "Detalles" para buscar los identificadores de dispositivo.

6. En la ventana "Valor", copie el identificador de hardware más detallado: usaremos este valor en las directivas.

   

   
   HWID e id. compatible

   Sugerencia

   También puede determinar las cadenas de identificación del dispositivo mediante la utilidad de línea de comandos PnPUtil. Para obtener más información, vea PnPUtil : controladores de Windows.

Obtención de identificadores de dispositivo mediante PnPUtil

pnputil /enum-devices /ids

Este es un ejemplo de una salida para un único dispositivo en una máquina:

<snip>
Instance ID:                PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02\3&103a9d54&0&81
Device Description:         Intel(R) Xeon(R) E7 v3/Xeon(R) E5 v3/Core i7 PCIe Ring Interface - 2F34
Class Name:                 System
Class GUID:                 {4d36e97d-e325-11ce-bfc1-08002be10318}
Manufacturer Name:          INTEL
Status:                     Stopped
Driver Name:                oem6.inf
Hardware IDs:               PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02
                            PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086
                            PCI\VEN_8086&DEV_2F34&CC_110100
                            PCI\VEN_8086&DEV_2F34&CC_1101
Compatible IDs:             PCI\VEN_8086&DEV_2F34&REV_02
                            PCI\VEN_8086&DEV_2F34
                            PCI\VEN_8086&CC_110100
                            PCI\VEN_8086&CC_1101
                            PCI\VEN_8086
                            PCI\CC_110100
                            PCI\CC_1101
<snip>

Escenario 1: Impedir la instalación de todas las impresoras

En este escenario sencillo, aprenderá a evitar la instalación de toda una clase de dispositivos.

Configuración del entorno

Configure el entorno para el escenario con los pasos siguientes:

1. Abra directiva de grupo Editor y vaya a la sección Restricción de instalación de dispositivos.

2. Deshabilite todas las directivas de instalación de dispositivos anteriores, excepto "Aplicar orden de evaluación por capas". Aunque la directiva está deshabilitada de forma predeterminada, se recomienda habilitar esta directiva en la mayoría de las aplicaciones prácticas.

3. Si hay alguna directiva habilitada, cambiar su estado a "deshabilitado", las borraría de todos los parámetros.

4. Tener una impresora USB o de red disponible para probar la directiva con

Pasos del escenario: impedir la instalación de dispositivos prohibidos

Obtención del identificador de dispositivo adecuado para evitar que se instale:

1. Si tiene en el sistema un dispositivo de la clase que desea bloquear, puede seguir los pasos descritos en la sección anterior para buscar el identificador de clase de dispositivo a través de Administrador de dispositivos o PnPUtil (GUID de clase).

2. Si no tiene dicho dispositivo instalado en el sistema o conoce el nombre de la clase, puede comprobar los dos vínculos siguientes:

   • Clases de configuración de dispositivos definidas por el sistema disponibles para proveedores: controladores de Windows
   • Clases de configuración de dispositivos definidas por el sistema reservadas para uso del sistema: controladores de Windows

3. Nuestro escenario actual se centra en evitar que todas las impresoras se instalen, como este es el GUID de clase para la mayoría de las impresoras del mercado:

   Impresoras
   Clase = Impresora
   ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
   Esta clase incluye impresoras.

   Nota

   Como se mencionó anteriormente, impedir que una clase completa le impida usar el sistema por completo. Asegúrese de comprender qué dispositivos se van a bloquear al especificar una clase. En nuestro escenario, hay otras clases relacionadas con las impresoras, pero antes de aplicarlas, asegúrese de que no bloquean ningún otro dispositivo existente que sea fundamental para el sistema.

Crear la directiva para evitar que se instalen todas las impresoras:

1. Abra directiva de grupo Objeto Editor haga clic en el botón Inicio, escriba mmc gpedit.msc en el cuadro Iniciar búsqueda y, a continuación, presione ENTRAR; o escriba la búsqueda de Windows "directiva de grupo Editor" y abra la interfaz de usuario.

2. Vaya a la página Restricción de instalación del dispositivo:

   Plantillas > administrativas de configuración > del equipo Restricciones de instalación del dispositivo de instalación > de dispositivos del sistema >

3. Asegúrese de que todas las directivas están deshabilitadas (se recomienda mantener habilitada la directiva de "orden de evaluación por capas aplicado").

4. Abra Impedir la instalación de dispositivos mediante controladores que coincidan con estas directivas de clases de configuración de dispositivos y seleccione el botón de opción "Habilitar".

5. En la parte inferior izquierda, en la ventana "Opciones", haga clic en "Mostrar..." Caja. Esta opción le lleva a una tabla donde puede escribir el identificador de clase que se va a bloquear.

6. Escriba el GUID de clase de impresora que encontró con las llaves: {4d36e979-e325-11ce-bfc1-08002be10318}.

   
   Lista de GUID de clase prevent

7. Haga clic en "Aceptar".

8. Haga clic en "Aplicar" en la parte inferior derecha de la ventana de la directiva: esta opción inserta la directiva y bloquea todas las instalaciones de impresora futuras, pero no se aplica a las instalaciones existentes.

9. Opcional: si desea aplicar la directiva a las instalaciones existentes: abra la directiva Impedir la instalación de dispositivos mediante controladores que coincidan con estas clases de configuración de dispositivos de nuevo; En la ventana "Opciones", marque la casilla que indica "también se aplica a los dispositivos coincidentes que ya están instalados".

Importante

Usar una directiva Prevent (como la que usamos en el escenario 1 anterior) y aplicarla a todos los dispositivos instalados anteriormente (vea el paso 9) podría hacer que los dispositivos cruciales no se puedan usar; por lo tanto, use con precaución. Por ejemplo: si un administrador de TI quiere evitar que todos los dispositivos de almacenamiento extraíbles se instalen en la máquina, el uso de la clase "Unidad de disco" para bloquearlo y aplicarlo con carácter retroactivo podría hacer que la unidad de disco duro interna no se pueda usar y interrumpir la máquina.

Escenario de prueba 1

1. Si no ha completado el paso 9, siga estos pasos:

   1. Desinstalar la impresora: Administrador de dispositivos > Impresoras > haga clic con el botón derecho en la impresora > Canon haga clic en "Desinstalar dispositivo".
   2. Para impresora USB desenchufe y conecte el cable; para el dispositivo de red, realice una búsqueda de la impresora en la aplicación Configuración de Windows.
   3. No debería poder volver a instalar la impresora.

2. Si ha completado el paso 9 anterior y ha reiniciado la máquina, busque la impresora en Administrador de dispositivos o en la aplicación Configuración de Windows y compruebe que ya no está disponible para su uso.

Escenario 2: Impedir la instalación de una impresora específica

Este escenario se basa en el escenario 1, Impedir la instalación de todas las impresoras. En este escenario, tiene como destino una impresora específica para evitar que se instale en el equipo.

Configuración del entorno

Configure el entorno para el escenario con los pasos siguientes:

1. Abra directiva de grupo Editor y vaya a la sección Restricción de instalación de dispositivos.

2. Asegúrese de que todas las directivas de instalación de dispositivos anteriores están deshabilitadas excepto "Aplicar orden de evaluación por capas" (este requisito previo es opcional para estar activado o desactivado en este escenario). Aunque la directiva está deshabilitada de forma predeterminada, se recomienda habilitarla en la mayoría de las aplicaciones prácticas. En el escenario 2, es opcional.

Pasos del escenario: impedir la instalación de un dispositivo específico

Obtención del identificador de dispositivo adecuado para evitar que se instale:

1. Obtenga el identificador de hardware de la impresora. En este ejemplo, usaremos el identificador que encontramos anteriormente.

   
   Identificador de hardware de la impresora

2. Anote el identificador de dispositivo (en este caso, el identificador de hardware): WSDPRINT\CanonMX920_seriesC1A0;. Tome el identificador más específico para asegurarse de bloquear una impresora específica y no una familia de impresoras.

Crear la directiva para evitar que se instale una sola impresora:

1. Abra directiva de grupo Editor de objetos.

2. Vaya a la página Restricción de instalación del dispositivo:

   Plantillas > administrativas de configuración > del equipo Restricciones de instalación del dispositivo de instalación > de dispositivos del sistema >

3. Abra Impedir la instalación de dispositivos que coincidan con cualquiera de estos identificadores de dispositivo y seleccione el botón de radio "Habilitar".

4. En la parte inferior izquierda, en la ventana "Opciones", haga clic en "Mostrar..." Caja. Esta opción le llevará a una tabla donde puede escribir el identificador de dispositivo que se va a bloquear.

5. Escriba el identificador de dispositivo de impresora que encontró anteriormente: WSDPRINT\CanonMX920_seriesC1A0.

   
   Impedir la lista de identificadores de dispositivo

6. Haga clic en "Aceptar".

7. Haga clic en "Aplicar" en la parte inferior derecha de la ventana de la directiva. Esta opción inserta la directiva y bloquea la impresora de destino en instalaciones futuras, pero no se aplica a una instalación existente.

8. Opcionalmente, si desea aplicar la directiva a una instalación existente, abra la directiva Impedir la instalación de dispositivos que coincidan con cualquiera de estos identificadores de dispositivo de nuevo. En la ventana "Opciones", marque la casilla que indica "También se aplica a los dispositivos coincidentes que ya están instalados".

Escenario de prueba 2

Si ha completado el paso 8 anterior y ha reiniciado la máquina, busque la impresora en Administrador de dispositivos o en la aplicación Configuración de Windows y vea que ya no está disponible para su uso.

Si no ha completado el paso 8, siga estos pasos:

1. Desinstalar la impresora: Administrador de dispositivos > Impresoras > haga clic con el botón derecho en la impresora > Canon haga clic en "Desinstalar dispositivo".

2. Para la impresora USB, desenchufe y conecte el cable; para el dispositivo de red, realice una búsqueda de la impresora en la aplicación Configuración de Windows.

3. No debería poder volver a instalar la impresora.

Escenario 3: Impedir la instalación de todas las impresoras al tiempo que se permite instalar una impresora específica

Ahora, con los conocimientos de ambos escenarios anteriores, aprenderá a evitar la instalación de una clase de dispositivos completa al tiempo que permite instalar una sola impresora.

Configuración del entorno

Configure el entorno para el escenario con los pasos siguientes:

1. Abra directiva de grupo Editor y vaya a la sección Restricción de instalación de dispositivos.

2. Deshabilite todas las directivas de instalación de dispositivos anteriores y habilite "Aplicar orden de evaluación por capas".

3. Si hay alguna directiva habilitada, cambiar su estado a "deshabilitado", las borraría de todos los parámetros.

4. Tenga una impresora USB o de red disponible para probar la directiva.

Pasos del escenario: impedir la instalación de una clase completa al tiempo que se permite una impresora específica

Obtener el identificador de dispositivo para la clase Printer y una impresora específica siguiendo los pasos del escenario 1 para buscar el identificador de clase y el escenario 2 para buscar el identificador de dispositivo, puede obtener los identificadores que necesita para este escenario:

• ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
• Id. de hardware = WSDPRINT\CanonMX920_seriesC1A0

En primer lugar, cree una directiva "Impedir clase" y, a continuación, cree "Permitir dispositivo":

1. Abra directiva de grupo Objeto Editor haga clic en el botón Inicio, escriba mmc gpedit.msc en el cuadro Iniciar búsqueda y, a continuación, presione ENTRAR; o escriba la búsqueda de Windows "directiva de grupo Editor" y abra la interfaz de usuario.

2. Vaya a la página Restricción de instalación del dispositivo:

   Plantillas > administrativas de configuración > del equipo Restricciones de instalación del dispositivo de instalación > de dispositivos del sistema >

3. Asegúrese de que todas las directivas están deshabilitadas

4. Abra Impedir la instalación de dispositivos mediante controladores que coincidan con estas directivas de clases de configuración de dispositivos y seleccione el botón de opción "Habilitar".

5. En la parte inferior izquierda, en la ventana "Opciones", haga clic en "Mostrar..." Caja. Esta opción le llevará a una tabla donde puede escribir el identificador de clase que se va a bloquear.

6. Escriba el GUID de clase de impresora que encontró anteriormente con las llaves (este valor es importante! De lo contrario, no funcionará: {4d36e979-e325-11ce-bfc1-08002be10318}

   
   Lista de GUID de clase prevent

7. Haga clic en "Aceptar".

8. Haga clic en "Aplicar" en la parte inferior derecha de la ventana de la directiva: esta opción inserta la directiva y bloquea todas las instalaciones de impresora futuras, pero no se aplica a las instalaciones existentes.

9. Para completar la cobertura de todas las impresoras futuras y existentes, abra de nuevo la directiva Impedir la instalación de dispositivos mediante controladores que coincidan con estas clases de configuración de dispositivos ; en la ventana "Opciones", marque la casilla que indica "aplicar también a los dispositivos coincidentes que ya están instalados" y haga clic en "Aceptar".

10. Abra la directiva Aplicar orden de evaluación por capas para Permitir y evitar directivas de instalación de dispositivos en todas las directivas de criterios de coincidencia de dispositivos y habilitarla. Esta directiva le permitirá invalidar la amplia cobertura de la directiva "Impedir" con un dispositivo específico.

    

    
    Aplicación del orden por capas de la directiva de evaluación

11. Ahora abra Permitir la instalación de dispositivos que coincidan con cualquiera de estos identificadores de dispositivo y seleccione el botón de radio "Habilitar".

12. En la parte inferior izquierda, en la ventana "Opciones", haga clic en "Mostrar..." Caja. Esta opción le llevará a una tabla donde puede especificar el identificador de dispositivo que se va a permitir.

13. Escriba el identificador de dispositivo de impresora que encontró anteriormente: WSDPRINT\CanonMX920_seriesC1A0.

    
    Permitir identificador de hardware de impresora

14. Haga clic en "Aceptar".

15. Haga clic en "Aplicar" en la parte inferior derecha de la ventana de la directiva: esta opción inserta la directiva y permite instalar la impresora de destino (o permanecer instalada).

Escenario de prueba 3

1. Busque la impresora en Administrador de dispositivos o en la aplicación Configuración de Windows y vea que sigue estando allí y accesible. O simplemente imprima un documento de prueba.

2. Volver a la directiva de grupo Editor, deshabilite Aplicar orden de evaluación por capas para permitir y evitar directivas de instalación de dispositivos en todas las directivas de criterios de coincidencia de dispositivos y vuelva a probar la impresora; no debe estar a la altura para imprimir nada o poder acceder a la impresora en absoluto.

Escenario 4: Impedir la instalación de un dispositivo USB específico

El escenario se basa en el conocimiento del escenario 2, Impedir la instalación de una impresora específica. En este escenario, comprenderá cómo se integran algunos dispositivos en el árbol de dispositivos PnP (Plug and Play).

Configuración del entorno

Configure el entorno para el escenario con los pasos siguientes:

1. Abra directiva de grupo Editor y vaya a la sección Restricción de instalación de dispositivos.

2. Asegúrese de que todas las directivas de instalación de dispositivos anteriores están deshabilitadas excepto "Aplicar orden de evaluación por capas". Este requisito previo es opcional para estar activado o desactivado en este escenario. Aunque la directiva está deshabilitada de forma predeterminada, se recomienda habilitarla en la mayoría de las aplicaciones prácticas.

Pasos del escenario: impedir la instalación de un dispositivo específico

Obtener el identificador de dispositivo adecuado para evitar que se instale y su ubicación en el árbol PnP:

1. Conexión de una unidad usb a la máquina

2. Abrir el Administrador de dispositivos

3. Busque la unidad usb y selecciónela.

   
   Selección de la unidad usb en Administrador de dispositivos

4. Cambie Vista (en el menú superior) a "Dispositivos por conexiones". Esta vista representa la forma en que se instalan los dispositivos en el árbol PnP.

   
   Cambio de vista en Administrador de dispositivos para ver el árbol de conexión PnP

   Nota

   Al bloquear o impedir que un dispositivo que se encuentre más arriba en el árbol PnP, todos los dispositivos que se encuentran debajo de él se bloquearán. Por ejemplo: al impedir que se instale un "concentrador USB genérico", se bloquearán todos los dispositivos que se encuentre debajo de un "concentrador USB genérico".

   
   Al bloquear un dispositivo, también se bloquearán todos los dispositivos anidados debajo de él.

5. Haga doble clic en la unidad usb y muévase a la pestaña "Detalles".

6. En la ventana "Valor", copie el identificador de hardware más detallado: usaremos este valor en las directivas. En este caso, Id. de dispositivo = USBSTOR\DiskGeneric_Flash_Disk______8.07

   
   Identificadores de hardware de dispositivos USB

Crear la directiva para evitar que se instale una sola unidad usb:

1. Abra directiva de grupo object Editor y haga clic en el botón Inicio, escriba mmc gpedit.msc en el cuadro Iniciar búsqueda y, a continuación, presione ENTRAR; o escriba la búsqueda de Windows "directiva de grupo Editor" y abra la interfaz de usuario.

2. Vaya a la página Restricción de instalación del dispositivo:

   Plantillas > administrativas de configuración > del equipo Restricciones de instalación del dispositivo de instalación > de dispositivos del sistema >

3. Abra Impedir la instalación de dispositivos que coincidan con cualquiera de estos identificadores de dispositivo y seleccione el botón de radio "Habilitar".

4. En la parte inferior izquierda, en la ventana "Opciones", haga clic en el cuadro "Mostrar". Esta opción le llevará a una tabla donde puede escribir el identificador de dispositivo que se va a bloquear.

5. Escriba el identificador del dispositivo usb de la unidad usb que encontró anteriormenteUSBSTOR\DiskGeneric_Flash_Disk______8.07.

   
   Impedir la lista de identificadores de dispositivo

6. Haga clic en "Aceptar".

7. Haga clic en "Aplicar" en la parte inferior derecha de la ventana de la directiva. Esta opción inserta la directiva y bloquea la unidad usb de destino en futuras instalaciones, pero no se aplica a una instalación existente.

8. Opcional: si desea aplicar la directiva a una instalación existente, abra de nuevo la directiva Impedir la instalación de dispositivos que coincidan con cualquiera de estos identificadores de dispositivo . En la ventana "Opciones", marque la casilla que indica "también se aplica a los dispositivos coincidentes que ya están instalados".

Escenario de prueba 4

1. Si no ha completado el paso 8, siga estos pasos:

   • Desinstale la unidad usb: Administrador de dispositivos > Unidades > de disco haga clic con el botón derecho en la unidad > usb de destino y haga clic en "Desinstalar dispositivo".
   • No debería poder volver a instalar el dispositivo.

2. Si ha completado el paso 8 anterior y ha reiniciado la máquina, busque las unidades de disco en Administrador de dispositivos y compruebe que ya no está disponible para su uso.

Escenario 5: Impedir la instalación de todos los dispositivos USB al tiempo que se permite la instalación de solo una unidad usb autorizada

Ahora, con los conocimientos de los cuatro escenarios anteriores, aprenderá a evitar la instalación de toda una clase de dispositivos, a la vez que permite instalar una sola unidad usb autorizada.

Configuración del entorno

Configure el entorno para el escenario con los pasos siguientes:

1. Abra directiva de grupo Editor y vaya a la sección Restricción de instalación de dispositivos.

2. Deshabilite todas las directivas de instalación de dispositivos anteriores y habilite "Aplicar orden de evaluación por capas".

3. Si hay alguna directiva habilitada, cambiar su estado a "deshabilitado", las borraría de todos los parámetros.

4. Tenga una unidad usb disponible para probar la directiva.

Pasos del escenario: impedir la instalación de todos los dispositivos USB al tiempo que se permite solo una unidad usb autorizada

Obtener el identificador de dispositivo para las clases USB y una unidad usb específica y seguir los pasos del escenario 1 para buscar el identificador de clase y el escenario 4 para buscar el identificador de dispositivo, puede obtener los identificadores que necesita para este escenario:

• Dispositivos de bus USB (concentradores y controladores de host)

  • Clase = USB
  • ClassGuid = {36fc9e60-c465-11cf-8056-444553540000}
  • Esta clase incluye controladores host USB y concentradores USB, pero no periféricos USB. Los controladores de esta clase se suministran mediante el sistema.

• Dispositivo USB

  • Clase = USBDevice
  • ClassGuid = {88BAE032-5A81-49f0-BC3D-A4FF138216D6}
  • USBDevice incluye todos los dispositivos USB que no pertenecen a otra clase. Esta clase no se usa para controladores y concentradores de host USB.

• Id. de hardware = USBSTOR\DiskGeneric_Flash_Disk______8.07

Como se mencionó en el escenario 4, no es suficiente habilitar un solo identificador de hardware para habilitar una sola unidad usb. El administrador de TI tiene que asegurarse de que también no se bloqueen (permitidos) todos los dispositivos USB que preceden al de destino. En nuestro caso, se deben permitir los siguientes dispositivos para que también se pueda permitir la unidad usb de destino:

• "Controlador de host Intel(R) USB 3.0 eXtensible - 1.0 (Microsoft)" -> PCI\CC_0C03
• "Usb Root Hub (USB 3.0)" -> USB\ROOT_HUB30
• "Concentrador USB genérico":> USB\USB20_HUB

Dispositivos USB anidados entre sí en el árbol PnP

Estos dispositivos son dispositivos internos de la máquina que definen la conexión del puerto USB al mundo exterior. Habilitarlos no debe permitir que ningún dispositivo externo o periférico se instale en el equipo.

Importante

Algunos dispositivos del sistema tienen varias capas de conectividad para definir su instalación en el sistema. Las unidades usb son tales dispositivos. Por lo tanto, al buscar bloquearlos o permitirlos en un sistema, es importante comprender la ruta de conectividad de cada dispositivo. Hay varios identificadores de dispositivo genéricos que se usan habitualmente en los sistemas y podrían proporcionar un buen comienzo para crear una "lista de permitidos" en estos casos. Vea a continuación la lista:

PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST (para controladores de host)/ USB\ROOT_HUB30; USB\ROOT_HUB20 (para concentradores raíz USB)/ USB\USB20_HUB (para concentradores USB genéricos)/

Específicamente para máquinas de escritorio, es muy importante enumerar todos los dispositivos USB a los que están conectados los teclados y ratones en la lista anterior. Si no lo hace, podría impedir que un usuario acceda a su máquina a través de dispositivos HID.

A veces, diferentes fabricantes de PC tienen diferentes maneras de anidar dispositivos USB en el árbol PnP, pero en general esto es lo que se hace.

En primer lugar, cree una directiva "Impedir clase" y, a continuación, cree "Permitir dispositivo":

1. Abra directiva de grupo object Editor: haga clic en el botón Inicio, escriba mmc gpedit.msc en el cuadro Iniciar búsqueda y, a continuación, presione ENTRAR; o escriba la búsqueda de Windows "directiva de grupo Editor" y abra la interfaz de usuario.

2. Vaya a la página Restricción de instalación del dispositivo:

   Plantillas > administrativas de configuración > del equipo Restricciones de instalación del dispositivo de instalación > de dispositivos del sistema >

3. Asegúrese de que todas las directivas están deshabilitadas

4. Abra Impedir la instalación de dispositivos mediante controladores que coincidan con estas directivas de clases de configuración de dispositivos y seleccione el botón de opción "Habilitar".

5. En la parte inferior izquierda, en la ventana "Opciones", haga clic en "Mostrar..." Caja. Esta opción le llevará a una tabla donde puede escribir el identificador de clase que se va a bloquear.

6. Escriba ambas clases USB GUID que encontró anteriormente con las llaves:

   {36fc9e60-c465-11cf-8056-44455354000}/ {88BAE032-5A81-49f0-BC3D-A4FF138216D6}

7. Haga clic en "Aceptar".

8. Haga clic en "Aplicar" en la parte inferior derecha de la ventana de la directiva. Esta opción inserta la directiva y bloquea todas las instalaciones futuras de dispositivos USB, pero no se aplica a las instalaciones existentes.

   Importante

   El paso anterior impide que se instalen todos los dispositivos USB futuros. Antes de pasar al siguiente paso, asegúrese de que tiene la lista lo más completa posible de todos los controladores host USB, concentradores raíz USB e identificadores de dispositivo usb genéricos disponibles para evitar que interaccione con el sistema a través de teclados y ratones.

9. Abra la directiva Aplicar orden de evaluación por capas para Permitir y evitar directivas de instalación de dispositivos en todas las directivas de criterios de coincidencia de dispositivos y habilitarla. Esta directiva le permitirá invalidar la amplia cobertura de la directiva "Impedir" con un dispositivo específico.

   
   Aplicación del orden por capas de la directiva de evaluación

10. Ahora abra Permitir la instalación de dispositivos que coincidan con cualquiera de estos identificadores de dispositivo y seleccione el botón de radio "Habilitar".

11. En la parte inferior izquierda, en la ventana "Opciones", haga clic en "Mostrar..." Caja. Esta opción le llevará a una tabla donde puede especificar el identificador de dispositivo que se va a permitir.

12. Escriba la lista completa de identificadores de dispositivo USB que encontró anteriormente, incluida la unidad USB específica que desea autorizar para la instalaciónUSBSTOR\DiskGeneric_Flash_Disk______8.07.

    
    Lista de identificadores de dispositivo USB permitidos

13. Haga clic en "Aceptar".

14. Haga clic en "Aplicar" en la parte inferior derecha de la ventana de la directiva.

15. Para aplicar la cobertura "Impedir" de todos los dispositivos USB instalados actualmente, abra de nuevo la directiva Impedir la instalación de dispositivos mediante controladores que coincidan con estas clases de configuración de dispositivos ; En la ventana "Opciones", marque la casilla que indica "aplicar también a los dispositivos coincidentes que ya están instalados" y haga clic en "Aceptar".

Escenario de prueba 5

No debería poder instalar ninguna unidad usb, excepto la que autorizó para su uso.