Condividi tramite


Gestire l'installazione dei dispositivi con Criteri di gruppo

Usando i sistemi operativi Windows, gli amministratori possono determinare quali dispositivi possono essere installati nei computer gestiti. Questa guida riepiloga il processo di installazione del dispositivo e illustra diverse tecniche per controllare l'installazione del dispositivo usando Criteri di gruppo.

Introduzione

Generale

Questa guida dettagliata descrive come controllare l'installazione del dispositivo nei computer gestiti, inclusa la designazione dei dispositivi che gli utenti possono e non possono installare. Questa guida si applica a tutte le versioni di Windows che iniziano con Windows 10, versione 1809. La guida include gli scenari seguenti:

  • Impedire agli utenti di installare i dispositivi che si trovano in un elenco "non consentito". Se un dispositivo non è presente nell'elenco, l'utente può installarlo.
  • Consentire agli utenti di installare solo i dispositivi che si trovano in un elenco "approvato". Se un dispositivo non è presente nell'elenco, l'utente non può installarlo.

Questa guida descrive il processo di installazione del dispositivo e introduce le stringhe di identificazione del dispositivo usate da Windows per associare un dispositivo ai pacchetti device-driver disponibili in un computer. La guida illustra anche due metodi per controllare l'installazione del dispositivo. Ogni scenario mostra, passo dopo passo, un metodo che è possibile usare per consentire o impedire l'installazione di un dispositivo specifico o di una classe di dispositivi.

Il dispositivo di esempio usato negli scenari è un dispositivo di archiviazione USB. È possibile eseguire i passaggi descritti in questa guida usando un dispositivo diverso. Tuttavia, se si usa un dispositivo diverso, le istruzioni nella guida non corrisponderanno esattamente all'interfaccia utente visualizzata nel computer.

È importante comprendere che i criteri di gruppo presentati in questa guida vengono applicati solo a computer/gruppi di computer e non a utenti/gruppi di utenti.

Importante

I passaggi descritti in questa guida sono destinati all'uso in un ambiente lab di test. Questa guida dettagliata non è progettata per essere usata per distribuire le funzionalità di Windows Server senza la documentazione associata e deve essere usata con discrezione come documento autonomo.

Chi deve usare questa guida?

Questa guida è destinata ai destinatari seguenti:

  • Information Technology Planner e analisti che valutano Windows 10, Windows 11 o Windows Server 2022
  • Progettisti e progettisti di tecnologie dell'informazione aziendali
  • Architetti della sicurezza responsabili dell'implementazione del calcolo affidabile nell'organizzazione
  • Amministratori che vogliono acquisire familiarità con la tecnologia

Vantaggi del controllo dell'installazione del dispositivo tramite Criteri di gruppo

La limitazione dei dispositivi che gli utenti possono installare riduce il rischio di furto di dati e riduce il costo del supporto.

Ridurre il rischio di furto di dati

È più difficile per gli utenti effettuare copie non autorizzate dei dati aziendali se i computer degli utenti non possono installare dispositivi non approvati che supportano supporti rimovibili. Ad esempio, se gli utenti non possono installare un dispositivo usb con unità usb, non possono scaricare copie dei dati aziendali in un archivio rimovibile. Questo vantaggio non può eliminare il furto di dati, ma crea un'altra barriera alla rimozione non autorizzata dei dati.

Ridurre i costi di supporto

È possibile assicurarsi che gli utenti installino solo i dispositivi di cui il team di supporto tecnico è formato e dotato per il supporto. Questo vantaggio riduce i costi di supporto e la confusione degli utenti.

Panoramica dello scenario

Gli scenari presentati in questa guida illustrano come controllare l'installazione e l'utilizzo dei dispositivi nei computer gestiti. Gli scenari usano Criteri di gruppo in un computer locale per semplificare l'uso delle procedure in un ambiente lab. In un ambiente in cui si gestiscono più computer client, è necessario applicare queste impostazioni usando Criteri di gruppo. Con Criteri di gruppo distribuito da Active Directory, è possibile applicare le impostazioni a tutti i computer membri di un dominio o di un'unità organizzativa in un dominio. Per altre informazioni su come creare un oggetto Criteri di gruppo per gestire i computer client, vedere Creare un oggetto Criteri di gruppo.

Scenario Descrizione
Scenario 1: Impedire l'installazione di tutte le stampanti In questo scenario, l'amministratore vuole impedire agli utenti di installare stampanti. Di conseguenza, è uno scenario di base per introdurre la funzionalità "impedisci/consenti" dei criteri di installazione del dispositivo in Criteri di gruppo.
Scenario 2: Impedire l'installazione di una stampante specifica In questo scenario, l'amministratore consente agli utenti standard di installare tutte le stampanti, impedendo loro di installarne una specifica.
Scenario 3: Impedire l'installazione di tutte le stampanti consentendo l'installazione di una stampante specifica In questo scenario si combinano gli elementi appresi sia dallo scenario #1 che dallo scenario 2. L'amministratore vuole consentire agli utenti standard di installare solo una stampante specifica impedendo l'installazione di tutte le altre stampanti. Questo scenario è più realistico e offre un passaggio più lontano nella comprensione dei criteri di limitazioni dell'installazione dei dispositivi.
Scenario 4: Impedire l'installazione di un dispositivo USB specifico Questo scenario, anche se simile allo scenario 2, offre un altro livello di complessità, ovvero il funzionamento della connettività dei dispositivi nell'albero PnP. L'amministratore vuole impedire agli utenti standard di installare un dispositivo USB specifico. Alla fine dello scenario, è necessario comprendere il modo in cui i dispositivi sono annidati a livelli sotto l'albero di connettività del dispositivo PnP.
Scenario n. 5: Impedire l'installazione di tutti i dispositivi USB consentendo l'installazione di una sola unità USB autorizzata In questo scenario, combinando tutti i quattro scenari precedenti, si apprenderà come proteggere un computer da tutti i dispositivi USB non autorizzati. L'amministratore vuole consentire agli utenti di installare solo un piccolo set di dispositivi USB autorizzati, impedendo l'installazione di qualsiasi altro dispositivo USB. Inoltre, questo scenario include una spiegazione di come applicare la funzionalità "impedisci" ai dispositivi USB esistenti che sono già stati installati nel computer e all'amministratore piace impedire qualsiasi interazione più approfondita con loro (bloccandoli tutti insieme). Questo scenario si basa sui criteri e sulla struttura introdotti nei primi quattro scenari e pertanto è preferibile superarli prima di provare questo scenario.

Revisione della tecnologia

Le sezioni seguenti offrono una breve panoramica delle tecnologie principali illustrate in questa guida e forniscono informazioni di base necessarie per comprendere gli scenari.

Installazione del dispositivo in Windows

Un dispositivo è un componente hardware con cui Windows interagisce per eseguire una funzione o, in una definizione più tecnica, è una singola istanza di un componente hardware con una rappresentazione univoca nel sottosistema Windows Plug and Play. Windows può comunicare con un dispositivo solo tramite un software denominato driver di dispositivo (noto anche come driver). Per installare un driver, Windows rileva il dispositivo, ne riconosce il tipo e quindi trova il driver corrispondente a tale tipo.

Quando Windows rileva un dispositivo che non è mai stato installato nel computer, il sistema operativo esegue una query sul dispositivo per recuperare l'elenco di stringhe di identificazione del dispositivo. Un dispositivo ha in genere più stringhe di identificazione del dispositivo, assegnate dal produttore del dispositivo. Le stesse stringhe di identificazione del dispositivo sono incluse nel file inf (noto anche come INF) che fa parte del pacchetto driver. Windows sceglie il pacchetto driver da installare associando le stringhe di identificazione del dispositivo recuperate dal dispositivo a quelle incluse nei pacchetti driver.

Windows usa quattro tipi di identificatori per controllare l'installazione e la configurazione del dispositivo. È possibile usare le impostazioni di Criteri di gruppo in Windows per specificare quali di questi identificatori consentire o bloccare.

I quattro tipi di identificatori sono:

  • ID istanza dispositivo
  • ID dispositivo
  • Classi di configurazione dei dispositivi
  • Tipo di dispositivo "Dispositivi rimovibili"

ID istanza dispositivo

Un ID istanza del dispositivo è una stringa di identificazione del dispositivo fornita dal sistema che identifica in modo univoco un dispositivo nel sistema. La gestione Plug and Play (PnP) assegna un ID istanza del dispositivo a ogni nodo del dispositivo (devnode) nell'albero dei dispositivi di un sistema.

ID dispositivo

Windows può usare ogni stringa per associare un dispositivo a un pacchetto driver. Le stringhe vanno dallo specifico, corrispondente a una singola marca e modello di un dispositivo, al generale, eventualmente applicato a un'intera classe di dispositivi. Esistono due tipi di stringhe di identificazione del dispositivo: ID hardware e ID compatibili.

ID hardware

Gli ID hardware sono gli identificatori che forniscono la corrispondenza esatta tra un dispositivo e un pacchetto driver. La prima stringa nell'elenco di ID hardware viene definita ID dispositivo, perché corrisponde esattamente alla marca, al modello e alla revisione del dispositivo. Gli altri ID hardware nell'elenco corrispondono meno esattamente ai dettagli del dispositivo. Ad esempio, un ID hardware potrebbe identificare la marca e il modello del dispositivo, ma non la revisione specifica. Questo schema consente a Windows di usare un driver per una revisione diversa del dispositivo se il driver per la revisione corretta non è disponibile.

ID compatibili

Windows usa questi identificatori per selezionare un driver se il sistema operativo non riesce a trovare una corrispondenza con l'ID dispositivo o uno qualsiasi degli altri ID hardware. Gli ID compatibili sono elencati nell'ordine di riduzione dell'idoneità. Queste stringhe sono facoltative e, se specificate, sono generiche, ad esempio Disco. Quando viene effettuata una corrispondenza usando un ID compatibile, in genere è possibile usare solo le funzioni più di base del dispositivo.

Quando si installa un dispositivo, ad esempio una stampante, un dispositivo di archiviazione USB o una tastiera, Windows cerca i pacchetti driver corrispondenti al dispositivo che si sta tentando di installare. Durante questa ricerca, Windows assegna una "classificazione" a ogni pacchetto driver individuato con almeno una corrispondenza con un ID hardware o compatibile. La classificazione indica la corrispondenza tra il driver e il dispositivo. I numeri di classificazione più bassi indicano corrispondenze migliori tra il driver e il dispositivo. Un rango pari a zero rappresenta la corrispondenza migliore possibile. Una corrispondenza con l'ID dispositivo a uno nel pacchetto driver comporta una classificazione inferiore (migliore) rispetto a una corrispondenza con uno degli altri ID hardware. Analogamente, una corrispondenza a un ID hardware comporta una classificazione migliore rispetto a una corrispondenza con uno qualsiasi degli ID compatibili. Dopo che Windows classifica tutti i pacchetti driver, installa quello con la classificazione complessiva più bassa. Per altre informazioni sul processo di classificazione e selezione dei pacchetti driver, vedi Come Windows seleziona un pacchetto driver per un dispositivo.

Nota

Per altre informazioni sul processo di installazione del driver, vedere la sezione "Revisione della tecnologia" della Guida dettagliata alla firma e alla gestione temporanea del driver.

Alcuni dispositivi fisici creano uno o più dispositivi logici quando vengono installati. Ogni dispositivo logico potrebbe gestire parte della funzionalità del dispositivo fisico. Ad esempio, un dispositivo multifunzione, ad esempio uno scanner/fax/stampante all-in-one, potrebbe avere una stringa di identificazione del dispositivo diversa per ogni funzione.

Quando si usano i criteri di installazione del dispositivo per consentire o impedire l'installazione di un dispositivo che usa dispositivi logici, è necessario consentire o impedire tutte le stringhe di identificazione del dispositivo per tale dispositivo. Ad esempio, se un utente tenta di installare un dispositivo multifunzione e non sono state consentite o impedite tutte le stringhe di identificazione per i dispositivi fisici e logici, è possibile ottenere risultati imprevisti dal tentativo di installazione. Per informazioni più dettagliate sugli ID hardware, vedere Stringhe di identificazione del dispositivo.

Classi di configurazione dei dispositivi

Le classi di configurazione del dispositivo (note anche come Classe) sono un altro tipo di stringa di identificazione. Il produttore assegna la classe a un dispositivo nel pacchetto driver. La classe raggruppa i dispositivi installati e configurati nello stesso modo. Ad esempio, tutti i dispositivi biometrici appartengono alla classe biometrica (ClassGuid = {53D29EF7-377C-4D14-864B-EB3A85769359}) e usano lo stesso co-programma di installazione quando sono installati. Un numero lungo denominato identificatore univoco globale (GUID) rappresenta ogni classe di configurazione del dispositivo. All'avvio di Windows, crea una struttura ad albero in memoria con i GUID per tutti i dispositivi rilevati. Insieme al GUID per la classe del dispositivo stesso, Windows potrebbe dover inserire nell'albero il GUID per la classe del bus a cui è collegato il dispositivo.

Quando si usano classi di dispositivi per consentire o impedire agli utenti di installare i driver, è necessario specificare i GUID per tutte le classi di configurazione del dispositivo oppure non si possono ottenere i risultati desiderati. L'installazione potrebbe non riuscire (se si vuole che abbia esito positivo) o potrebbe avere esito positivo (se si vuole che abbia esito negativo).

Ad esempio, un dispositivo multifunzione, ad esempio uno scanner/fax/stampante all-in-one, ha un GUID per un dispositivo multifunzione generico, un GUID per la funzione stampante, un GUID per la funzione scanner e così via. I GUID per le singole funzioni sono "nodi figlio" sotto il GUID del dispositivo multifunzione. Per installare un nodo figlio, Windows deve anche essere in grado di installare il nodo padre. È necessario consentire l'installazione della classe di configurazione del dispositivo del GUID padre per il dispositivo multifunzione oltre a tutti i GUID figlio per le funzioni della stampante e dello scanner.

Per altre informazioni, vedi Classi di configurazione dei dispositivi.

Questa guida non illustra scenari che usano classi di configurazione del dispositivo. Tuttavia, i principi di base illustrati con le stringhe di identificazione del dispositivo in questa guida si applicano anche alle classi di configurazione del dispositivo. Dopo aver individuato la classe di configurazione del dispositivo per un dispositivo specifico, è possibile usarla in un criterio per consentire o impedire l'installazione dei driver per tale classe di dispositivi.

I due collegamenti seguenti forniscono l'elenco completo delle classi di configurazione del dispositivo. Le classi 'System Use' sono per lo più riferite ai dispositivi che vengono forniti con un computer/computer dalla factory, mentre le classi 'Vendor' sono per lo più riferite ai dispositivi che potrebbero essere connessi a un computer/computer esistente:

Tipo di dispositivo 'Dispositivo rimovibile'

Alcuni dispositivi possono essere classificati come dispositivo rimovibile. Un dispositivo viene considerato rimovibile quando il driver per il dispositivo a cui è connesso indica che il dispositivo è rimovibile. Ad esempio, un dispositivo USB viene segnalato come rimovibile dai driver per l'hub USB a cui è connesso il dispositivo.

impostazioni Criteri di gruppo per l'installazione del dispositivo

Criteri di gruppo è un'infrastruttura che consente di specificare configurazioni gestite per utenti e computer tramite impostazioni di Criteri di gruppo e preferenze di Criteri di gruppo.

La sezione Installazione dispositivo in Criteri di gruppo è un set di criteri che controllano il dispositivo che potrebbe o non può essere installato in un computer. Sia che si desideri applicare le impostazioni a un computer autonomo o a molti computer in un dominio di Active Directory, è possibile usare il Editor Criteri di gruppo Object per configurare e applicare le impostazioni dei criteri. Per altre informazioni, vedere Criteri di gruppo object Editor.

I passaggi seguenti sono brevi descrizioni dei criteri di installazione dei dispositivi usati in questa guida.

Nota

Il controllo dell'installazione del dispositivo viene applicato solo ai computer ('configurazione computer') e non agli utenti ('configurazione utente') in base alla natura della progettazione del sistema operativo Windows. Queste impostazioni dei criteri interessano tutti gli utenti che accedono al computer in cui vengono applicate le impostazioni dei criteri. Non è possibile applicare questi criteri a utenti o gruppi specifici, ad eccezione dei criteri Consenti agli amministratori di ignorare i criteri di installazione del dispositivo. Questo criterio esenta i membri del gruppo Administrators locale da qualsiasi restrizione di installazione del dispositivo applicata al computer configurando altre impostazioni dei criteri come descritto in questa sezione.

Consenti agli amministratori di eseguire l'override dei criteri di restrizione dell'installazione del dispositivo

Questa impostazione di criterio consente ai membri del gruppo Administrators locale di installare e aggiornare i driver per qualsiasi dispositivo, indipendentemente dalle altre impostazioni dei criteri. Se si abilita questa impostazione di criterio, gli amministratori possono usare l'Aggiunta guidata hardware o l'Aggiornamento guidato driver per installare e aggiornare i driver per qualsiasi dispositivo. Se si disabilita o non si configura questa impostazione di criterio, gli amministratori sono soggetti a tutte le impostazioni dei criteri che limitano l'installazione del dispositivo.

Consentire l'installazione di dispositivi che corrispondono a uno qualsiasi di questi ID dispositivo

Questa impostazione di criterio specifica un elenco di ID hardware Plug and Play e ID compatibili che descrivono i dispositivi che gli utenti possono installare. Questa impostazione deve essere usata solo quando l'impostazione dei criteri Impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri è abilitata e non ha la precedenza su qualsiasi impostazione di criteri che impedirebbe agli utenti di installare un dispositivo. Se si abilita questa impostazione di criterio, gli utenti possono installare e aggiornare qualsiasi dispositivo con un ID hardware o un ID compatibile corrispondente a un ID in questo elenco se tale installazione non è stata impedita dall'impostazione di criterio Impedisci l'installazione dei dispositivi che corrispondono a questi ID dispositivo, l'impostazione impedisci l'installazione dei dispositivi per queste classi di dispositivi. o l'impostazione dei criteri Impedisci l'installazione di dispositivi rimovibili. Se un'altra impostazione di criterio impedisce agli utenti di installare un dispositivo, gli utenti non possono installarlo anche se il dispositivo è descritto anche da un valore in questa impostazione di criterio. Se si disabilita o non si configura questa impostazione di criterio e nessun altro criterio descrive il dispositivo, l'impostazione impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri determina se gli utenti possono installare il dispositivo.

Consentire l'installazione di dispositivi che corrispondono a uno di questi ID di istanza del dispositivo

Questa impostazione di criterio consente di specificare un elenco di id di istanza del dispositivo Plug and Play per i dispositivi che Windows può installare. Usare questa impostazione di criterio solo quando è abilitata l'impostazione dei criteri "Impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri". Altre impostazioni dei criteri che impediscono l'installazione del dispositivo hanno la precedenza su questa. Se si abilita questa impostazione di criterio, Windows può installare o aggiornare qualsiasi dispositivo il cui ID dell'istanza del dispositivo Plug and Play viene visualizzato nell'elenco creato, a meno che un'altra impostazione di criteri non impedisca specificamente tale installazione (ad esempio, l'impostazione dei criteri "Impedisci l'installazione dei dispositivi che corrispondono a uno di questi ID dispositivo", l'impostazione di criterio "Impedisci l'installazione dei dispositivi per queste classi di dispositivi", l'impostazione dei criteri "Impedisci l'installazione di dispositivi che corrispondono a uno di questi ID istanza di dispositivo" o l'impostazione dei criteri "Impedisci l'installazione di dispositivi rimovibili"). Se si abilita questa impostazione di criterio in un server desktop remoto, l'impostazione dei criteri influisce sul reindirizzamento dei dispositivi specificati da un client desktop remoto al server desktop remoto.

Consentire l'installazione di dispositivi usando driver che corrispondono a queste classi di configurazione del dispositivo

Questa impostazione di criterio specifica un elenco di GUID della classe di configurazione dei dispositivi che descrivono i dispositivi che gli utenti possono installare. Questa impostazione deve essere usata solo quando l'impostazione dei criteri Impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri è abilitata e non ha la precedenza su qualsiasi impostazione di criteri che impedirebbe agli utenti di installare un dispositivo. Se si abilita questa impostazione, gli utenti possono installare e aggiornare qualsiasi dispositivo con un ID hardware o un ID compatibile corrispondente a uno degli ID in questo elenco se l'installazione non è stata impedita dall'impostazione dei criteri Impedisci l'installazione di dispositivi che corrispondono a questi ID dispositivo, l'impostazione di criterio Impedisci l'installazione dei dispositivi per queste classi di dispositivi. o l'impostazione dei criteri Impedisci l'installazione di dispositivi rimovibili. Se un'altra impostazione di criterio impedisce agli utenti di installare un dispositivo, gli utenti non possono installarlo anche se il dispositivo è descritto anche da un valore in questa impostazione di criterio. Se si disabilita o non si configura questa impostazione di criterio e nessun'altra impostazione di criterio descrive il dispositivo, l'impostazione impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri determina se gli utenti possono installare il dispositivo.

Impedire l'installazione di dispositivi che corrispondono a questi ID dispositivo

Questa impostazione di criterio specifica un elenco di ID hardware Plug and Play e ID compatibili per i dispositivi che gli utenti non possono installare. Se si abilita questa impostazione di criterio, gli utenti non possono installare o aggiornare il driver per un dispositivo se l'ID hardware o l'ID compatibile corrisponde a uno in questo elenco. Se si disabilita o non si configura questa impostazione di criterio, gli utenti possono installare i dispositivi e aggiornare i driver, come consentito da altre impostazioni dei criteri per l'installazione del dispositivo. Nota: questa impostazione di criterio ha la precedenza su tutte le altre impostazioni dei criteri che consentono agli utenti di installare un dispositivo. Questa impostazione di criterio impedisce agli utenti di installare un dispositivo anche se corrisponde a un'altra impostazione di criteri che consentirebbe l'installazione del dispositivo.

Impedire l'installazione di dispositivi che corrispondono a uno qualsiasi di questi ID di istanza del dispositivo

Questa impostazione di criterio consente di specificare un elenco di ID di istanza del dispositivo Plug and Play per i dispositivi a cui windows non è consentito installare. Questa impostazione di criterio ha la precedenza su qualsiasi altra impostazione di criteri che consente a Windows di installare un dispositivo. Se si abilita questa impostazione di criterio, a Windows viene impedito di installare un dispositivo il cui ID istanza del dispositivo viene visualizzato nell'elenco creato. Se si abilita questa impostazione di criterio in un server desktop remoto, l'impostazione dei criteri influisce sul reindirizzamento dei dispositivi specificati da un client desktop remoto al server desktop remoto. Se si disabilita o non si configura questa impostazione di criterio, i dispositivi possono essere installati e aggiornati come consentito o impedito da altre impostazioni dei criteri.

Impedire l'installazione di dispositivi che usano driver che corrispondono a queste classi di configurazione del dispositivo

Questa impostazione di criterio specifica un elenco di GUID della classe di configurazione dei dispositivi Plug and Play per i dispositivi che gli utenti non possono installare. Se si abilita questa impostazione di criterio, gli utenti non possono installare o aggiornare i dispositivi che appartengono a una delle classi di configurazione dei dispositivi elencate. Se si disabilita o non si configura questa impostazione di criterio, gli utenti possono installare e aggiornare i dispositivi come consentito da altre impostazioni dei criteri per l'installazione del dispositivo. Nota: questa impostazione di criterio ha la precedenza su tutte le altre impostazioni dei criteri che consentono agli utenti di installare un dispositivo. Questa impostazione di criterio impedisce agli utenti di installare un dispositivo anche se corrisponde a un'altra impostazione di criteri che consentirebbe l'installazione del dispositivo.

Applicare l'ordine di valutazione a più livelli per consenti e impedisci i criteri di installazione del dispositivo in tutti i criteri di corrispondenza del dispositivo

Questa impostazione di criterio modifica l'ordine di valutazione in cui vengono applicate le impostazioni dei criteri Consenti e Impedisci quando è applicabile più di un'impostazione dei criteri di installazione per un determinato dispositivo. Abilitare questa impostazione di criterio per assicurarsi che i criteri di corrispondenza dei dispositivi sovrapposti vengano applicati in base a una gerarchia stabilita in cui criteri di corrispondenza più specifici sostituiscono criteri di corrispondenza meno specifici. L'ordine gerarchico di valutazione per le impostazioni dei criteri che specificano i criteri di corrispondenza del dispositivo è il seguente:

ID >dell'istanza del dispositivoID> dispositivoClasse >di configurazione del dispositivoDispositivi rimovibili

Nota

Questa impostazione di criterio fornisce un controllo più granulare rispetto all'impostazione dei criteri "Impedisci l'installazione di dispositivi non descritti da altre impostazioni dei criteri". Se queste impostazioni dei criteri in conflitto sono abilitate contemporaneamente, verrà abilitata l'impostazione dei criteri "Applica l'ordine di valutazione a più livelli per Consenti e impedisci criteri di installazione del dispositivo in tutti i criteri di corrispondenza del dispositivo" e l'altra impostazione di criteri verrà ignorata.

Se si disabilita o non si configura questa impostazione di criterio, viene usata la valutazione predefinita. Per impostazione predefinita, tutto "Impedisci installazione..." Le impostazioni dei criteri hanno la precedenza su qualsiasi altra impostazione di criteri che consente a Windows di installare un dispositivo.

Alcuni di questi criteri hanno la precedenza su altri criteri. Il diagramma di flusso seguente illustra come Windows li elabora per determinare se un utente può installare un dispositivo o meno.

Grafico dei flussi dei criteri di installazione del dispositivo.
Grafico dei flussi dei criteri di installazione del dispositivo

Requisiti per il completamento degli scenari

Generale

Per completare ognuno degli scenari, assicurarsi di avere:

  • Un computer client che esegue Windows.
  • Una chiavetta USB. Gli scenari descritti in questa guida usano un'unità usb come dispositivo di esempio (noto anche come "unità disco rimovibile", "unità di memoria", "unità flash" o "unità di keyring"). La maggior parte delle unità USB non richiede driver forniti dal produttore e questi dispositivi funzionano con i driver della posta in arrivo forniti con la build di Windows.
  • Una stampante USB/di rete preinstallato nel computer.
  • Accesso all'account amministratore nel computer di test. Le procedure descritte in questa guida richiedono privilegi di amministratore per la maggior parte dei passaggi.

Informazioni sulle implicazioni dell'applicazione retroattiva dei criteri "Impedisci"

Tutti i criteri "Impedisci" possono applicare la funzionalità di blocco ai dispositivi già installati-dispositivi che sono stati installati nel computer prima che il criterio diventasse effettivo. L'uso di questa opzione è consigliato quando l'amministratore non è sicuro della cronologia di installazione dei dispositivi nel computer e vuole assicurarsi che i criteri si applichino a tutti i dispositivi.

Ad esempio: una stampante è già installata nel computer, impedendo l'installazione di tutte le stampanti impedirà l'installazione di qualsiasi stampante futura, mantenendo solo la stampante installata utilizzabile. Per applicare il blocco retroattivo, l'amministratore deve selezionare l'opzione "Applica questo criterio ai dispositivi già installati". Contrassegnando questa opzione si impedirà l'accesso ai dispositivi già installati oltre a quelli futuri.

Questa opzione è uno strumento potente, ma in quanto tale deve essere usata con attenzione.

Importante

L'applicazione dell'opzione "Impedisci retroattivo" ai dispositivi cruciali potrebbe rendere la macchina inutile/inaccettabile! Ad esempio: impedire la retroattività di tutte le "unità disco" potrebbe bloccare l'accesso al disco con cui viene avviato il sistema operativo; Impedire la retroattività di tutte le "Net" potrebbe impedire a questo computer di accedere alla rete e per risolvere il problema che l'amministratore dovrà avere una connessione diretta.

Determinare le stringhe di identificazione del dispositivo

Seguendo questa procedura, è possibile determinare le stringhe di identificazione del dispositivo per il dispositivo. Se gli ID hardware e gli ID compatibili per il dispositivo non corrispondono a quelli visualizzati in questa guida, usare gli ID appropriati per il dispositivo (questo criterio si applica agli ID e alle classi dell'istanza, ma in questa guida non verrà riportato un esempio).

È possibile determinare gli ID hardware e gli ID compatibili per il dispositivo in due modi. È possibile usare Gestione dispositivi, uno strumento grafico incluso nel sistema operativo o PnPUtil, uno strumento da riga di comando disponibile per tutte le versioni di Windows. Usare la procedura seguente per visualizzare le stringhe di identificazione del dispositivo per il dispositivo.

Nota

Queste procedure sono specifiche di una stampante Canon. Se si usa un tipo diverso di dispositivo, è necessario regolare i passaggi di conseguenza. La differenza significativa sarà la posizione del dispositivo nella gerarchia Gestione dispositivi. Anziché trovarsi nel nodo Stampanti, è necessario individuare il dispositivo nel nodo appropriato.

Per trovare stringhe di identificazione del dispositivo usando Gestione dispositivi

  1. Assicurarsi che la stampante sia collegata e installata.

  2. Per aprire Gestione dispositivi, selezionare il pulsante Start, digitare mmc devmgmt.msc nella casella Avvia ricerca e quindi premere INVIO oppure cercare Gestione dispositivi come applicazione.

  3. Gestione dispositivi avvia e visualizza un albero che rappresenta tutti i dispositivi rilevati nel computer. Nella parte superiore dell'albero è presente un nodo con il nome dei computer accanto. I nodi inferiori rappresentano le varie categorie di hardware in cui sono raggruppati i dispositivi dei computer.

  4. Trovare la sezione "Stampanti" e trovare la stampante di destinazione

    Selezione della stampante in Gestione dispositivi.
    Selezione della stampante in Gestione dispositivi

  5. Fare doppio clic sulla stampante e passare alla scheda "Dettagli".

    Scheda 'Dettagli'.
    Aprire la scheda "Dettagli" per cercare gli identificatori di dispositivo

  6. Nella finestra "Valore" copiare l'ID hardware più dettagliato. Questo valore verrà usato nei criteri.

    HWID.

    ID compatibile.
    HWID e ID compatibile

    Suggerimento

    È anche possibile determinare le stringhe di identificazione del dispositivo usando l'utilità da riga di comando PnPUtil. Per altre informazioni, vedere PnPUtil - Driver di Windows.

Recupero di identificatori di dispositivo tramite PnPUtil

pnputil /enum-devices /ids

Ecco un esempio di output per un singolo dispositivo in un computer:

<snip>
Instance ID:                PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02\3&103a9d54&0&81
Device Description:         Intel(R) Xeon(R) E7 v3/Xeon(R) E5 v3/Core i7 PCIe Ring Interface - 2F34
Class Name:                 System
Class GUID:                 {4d36e97d-e325-11ce-bfc1-08002be10318}
Manufacturer Name:          INTEL
Status:                     Stopped
Driver Name:                oem6.inf
Hardware IDs:               PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02
                            PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086
                            PCI\VEN_8086&DEV_2F34&CC_110100
                            PCI\VEN_8086&DEV_2F34&CC_1101
Compatible IDs:             PCI\VEN_8086&DEV_2F34&REV_02
                            PCI\VEN_8086&DEV_2F34
                            PCI\VEN_8086&CC_110100
                            PCI\VEN_8086&CC_1101
                            PCI\VEN_8086
                            PCI\CC_110100
                            PCI\CC_1101
<snip>

Scenario 1: Impedire l'installazione di tutte le stampanti

In questo semplice scenario si apprenderà come impedire l'installazione di un'intera classe di dispositivi.

Configurazione dell'ambiente

Configurazione dell'ambiente per lo scenario con la procedura seguente:

  1. Aprire Criteri di gruppo Editor e passare alla sezione Restrizione dell'installazione del dispositivo.

  2. Disabilitare tutti i criteri di installazione dei dispositivi precedenti, ad eccezione di "Applica ordine di valutazione a più livelli", anche se il criterio è disabilitato per impostazione predefinita, questo criterio è consigliato per essere abilitato nella maggior parte delle applicazioni pratiche.

  3. Se sono presenti criteri abilitati, modificandone lo stato in "disabilitato", li cancella da tutti i parametri

  4. Avere a disposizione una stampante USB/di rete per testare i criteri con

Procedura dello scenario: impedire l'installazione di dispositivi non consentiti

Ottenere l'identificatore di dispositivo corretto per impedirne l'installazione:

  1. Se nel sistema è presente un dispositivo della classe che si vuole bloccare, è possibile seguire i passaggi descritti nella sezione precedente per trovare l'identificatore della classe di dispositivo tramite Gestione dispositivi o PnPUtil (GUID classe).

  2. Se tale dispositivo non è installato nel sistema o si conosce il nome della classe, è possibile controllare i due collegamenti seguenti:

  3. Lo scenario attuale è incentrato sull'impedire l'installazione di tutte le stampanti, in quanto di seguito è riportato il GUID di classe per la maggior parte delle stampanti sul mercato:

    Printers
    Classe = Stampante
    ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
    Questa classe include stampanti.

    Nota

    Come accennato in precedenza, impedire a un'intera classe di impedire completamente l'uso del sistema. Assicurarsi di comprendere quali dispositivi verranno bloccati quando si specifica una classe. Per questo scenario, esistono altre classi correlate alle stampanti, ma prima di applicarle, assicurarsi che non blocchino nessun altro dispositivo esistente fondamentale per il sistema.

Creazione dei criteri per impedire l'installazione di tutte le stampanti:

  1. Aprire Criteri di gruppo oggetto Editor fare clic sul pulsante Start, digitare mmc gpedit.msc nella casella Avvia ricerca, quindi premere INVIO oppure digitare la ricerca di Windows "Criteri di gruppo Editor" e aprire l'interfaccia utente.

  2. Passare alla pagina Restrizione di installazione del dispositivo:

    Configurazione > computer Modelli > amministrativi Sistema > Installazione dispositivo > Restrizioni di installazione del dispositivo

  3. Assicurarsi che tutti i criteri siano disabilitati (è consigliabile mantenere abilitato il criterio "ordine di valutazione a livelli applicato").

  4. Aprire Impedisci l'installazione dei dispositivi usando i driver che corrispondono ai criteri delle classi di configurazione del dispositivo e selezionare il pulsante di opzione "Abilita".

  5. In basso a sinistra, nella finestra 'Opzioni' fare clic su 'Mostra...' Casella. Questa opzione consente di passare a una tabella in cui è possibile immettere l'identificatore di classe da bloccare.

  6. Immettere il GUID della classe stampante trovato con le parentesi graffe: {4d36e979-e325-11ce-bfc1-08002be10318}.

    Elenco di GUID della classe prevent
    Elenco di GUID della classe prevent

  7. Fare clic su 'OK'.

  8. Fare clic su "Applica" in basso a destra nella finestra del criterio. Questa opzione esegue il push dei criteri e blocca tutte le installazioni di stampanti future, ma non si applica alle installazioni esistenti.

  9. Facoltativo: se si desidera applicare i criteri alle installazioni esistenti: aprire di nuovo il criterio Impedisci l'installazione dei dispositivi usando driver che corrispondono a queste classi di configurazione del dispositivo ; Nella finestra "Opzioni" contrassegnare la casella di controllo "Applica anche ai dispositivi corrispondenti già installati"

Importante

L'uso di un criterio Prevent (come quello usato nello scenario 1 precedente) e l'applicazione a tutti i dispositivi installati in precedenza (vedere il passaggio 9) potrebbe rendere inutilizzabili i dispositivi cruciali; usare quindi con cautela. Ad esempio: se un amministratore IT vuole impedire l'installazione di tutti i dispositivi di archiviazione rimovibili nel computer, l'uso della classe 'Disk Drive' per bloccarlo e applicarlo retroattivo potrebbe rendere inutilizzabile il disco rigido interno e interrompere il computer.

Scenario di test 1

  1. Se il passaggio 9 non è stato completato, seguire questa procedura:

    1. Disinstallare la stampante: Gestione dispositivi > Stampanti > fare clic con il pulsante destro del mouse su ">Disinstalla dispositivo".
    2. Per scollegare la stampante USB e collegare il cavo; per il dispositivo di rete, eseguire una ricerca della stampante nell'app Impostazioni di Windows.
    3. Non dovrebbe essere possibile reinstallare la stampante.
  2. Se il passaggio 9 precedente è stato completato e il computer è stato riavviato, cercare la stampante in Gestione dispositivi o nell'app Impostazioni di Windows e verificare che non sia più disponibile per l'uso.

Scenario 2: Impedire l'installazione di una stampante specifica

Questo scenario si basa su scenario 1, Impedisci l'installazione di tutte le stampanti. In questo scenario si usa una stampante specifica per impedire l'installazione nel computer.

Configurazione dell'ambiente

Configurazione dell'ambiente per lo scenario con la procedura seguente:

  1. Aprire Criteri di gruppo Editor e passare alla sezione Restrizione dell'installazione del dispositivo.

  2. Verificare che tutti i criteri di installazione del dispositivo precedenti siano disabilitati ad eccezione di "Applica ordine di valutazione a più livelli" (questo prerequisito è facoltativo per essere attivato/disattivato in questo scenario). Anche se il criterio è disabilitato per impostazione predefinita, è consigliabile abilitarlo nella maggior parte delle applicazioni pratiche. Per lo scenario 2, è facoltativo.

Procedura dello scenario: impedire l'installazione di un dispositivo specifico

Ottenere l'identificatore di dispositivo corretto per impedirne l'installazione:

  1. Ottenere l'ID hardware della stampante. In questo esempio verrà usato l'identificatore trovato in precedenza.

    Identificatore ID hardware della stampante.
    ID hardware stampante

  2. Annotare l'ID dispositivo (in questo caso l'ID hardware): WSDPRINT\CanonMX920_seriesC1A0;. Prendere l'identificatore più specifico per assicurarsi di bloccare una stampante specifica e non una famiglia di stampanti

Creazione dei criteri per impedire l'installazione di una singola stampante:

  1. Aprire Editor oggetto Criteri di gruppo.

  2. Passare alla pagina Restrizione di installazione del dispositivo:

    Configurazione > computer Modelli > amministrativi Sistema > Installazione dispositivo > Restrizioni di installazione del dispositivo

  3. Aprire Impedisci l'installazione dei dispositivi che corrispondono a uno di questi criteri id dispositivo e selezionare il pulsante di opzione "Abilita".

  4. In basso a sinistra, nella finestra 'Opzioni' fare clic su 'Mostra...' Casella. Questa opzione consente di passare a una tabella in cui è possibile immettere l'identificatore del dispositivo da bloccare.

  5. Immettere l'ID dispositivo stampante trovato in precedenza: WSDPRINT\CanonMX920_seriesC1A0.

    Impedisci elenco ID dispositivo.
    Impedisci elenco ID dispositivo

  6. Fare clic su 'OK'.

  7. Fare clic su "Applica" in basso a destra nella finestra del criterio. Questa opzione esegue il push dei criteri e blocca la stampante di destinazione nelle installazioni future, ma non si applica a un'installazione esistente.

  8. Facoltativamente, se si desidera applicare i criteri a un'installazione esistente, aprire di nuovo il criterio Impedisci l'installazione dei dispositivi che corrispondono a uno di questi ID dispositivo . Nella finestra "Opzioni" contrassegnare la casella di controllo "Applica anche ai dispositivi corrispondenti già installati".

Scenario di test 2

Se il passaggio 8 precedente è stato completato e il computer è stato riavviato, cercare la stampante in Gestione dispositivi o nell'app Impostazioni di Windows e verificare che non sia più disponibile per l'uso.

Se il passaggio 8 non è stato completato, seguire questa procedura:

  1. Disinstallare la stampante: Gestione dispositivi > Stampanti > fare clic con il pulsante destro del mouse su ">Disinstalla dispositivo".

  2. Per la stampante USB, scollegare e collegare il cavo; per il dispositivo di rete, eseguire una ricerca della stampante nell'app Impostazioni di Windows.

  3. Non dovrebbe essere possibile reinstallare la stampante.

Scenario 3: Impedire l'installazione di tutte le stampanti consentendo l'installazione di una stampante specifica

Ora, usando le conoscenze di entrambi gli scenari precedenti, si apprenderà come impedire l'installazione di un'intera classe di dispositivi consentendo al tempo stesso l'installazione di una singola stampante.

Configurazione dell'ambiente

Configurazione dell'ambiente per lo scenario con la procedura seguente:

  1. Aprire Criteri di gruppo Editor e passare alla sezione Restrizione dell'installazione del dispositivo.

  2. Disabilitare tutti i criteri di installazione del dispositivo precedenti e abilitare "Applica ordine di valutazione a più livelli".

  3. Se sono presenti criteri abilitati, modificandone lo stato in "disabilitato", questi verranno cancellati da tutti i parametri.

  4. Avere a disposizione una stampante USB/di rete con cui testare i criteri.

Procedura dello scenario: impedire l'installazione di un'intera classe consentendo al tempo stesso una stampante specifica

Ottenere l'identificatore del dispositivo sia per la classe printer che per una stampante specifica seguendo la procedura descritta nello scenario #1 per trovare l'identificatore di classe e lo scenario 2 per trovare l'identificatore del dispositivo che è possibile ottenere gli identificatori necessari per questo scenario:

  • ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
  • Hardware ID = WSDPRINT\CanonMX920_seriesC1A0

Creare prima di tutto un criterio 'Prevent Class' e quindi crearne uno 'Consenti dispositivo':

  1. Aprire Criteri di gruppo oggetto Editor fare clic sul pulsante Start, digitare mmc gpedit.msc nella casella Avvia ricerca, quindi premere INVIO oppure digitare la ricerca di Windows "Criteri di gruppo Editor" e aprire l'interfaccia utente.

  2. Passare alla pagina Restrizione di installazione del dispositivo:

    Configurazione > computer Modelli > amministrativi Sistema > Installazione dispositivo > Restrizioni di installazione del dispositivo

  3. Verificare che tutti i criteri siano disabilitati

  4. Aprire Impedisci l'installazione dei dispositivi usando i driver che corrispondono ai criteri delle classi di configurazione del dispositivo e selezionare il pulsante di opzione "Abilita".

  5. In basso a sinistra, nella finestra 'Opzioni' fare clic su 'Mostra...' Casella. Questa opzione consente di passare a una tabella in cui è possibile immettere l'identificatore di classe da bloccare.

  6. Immettere il GUID della classe stampante trovato in precedenza con le parentesi graffe (questo valore è importante! In caso contrario, non funzionerà): {4d36e979-e325-11ce-bfc1-08002be10318}

    Elenco degli ID di classe impediti
    Elenco di GUID della classe prevent

  7. Fare clic su 'OK'.

  8. Fare clic su "Applica" in basso a destra nella finestra del criterio. Questa opzione esegue il push dei criteri e blocca tutte le installazioni di stampanti future, ma non si applica alle installazioni esistenti.

  9. Per completare la copertura di tutte le stampanti future ed esistenti, aprire di nuovo il criterio Impedisci l'installazione dei dispositivi usando driver che corrispondono a queste classi di configurazione dei dispositivi ; Nella finestra "Opzioni" contrassegnare la casella di controllo "Applica anche ai dispositivi corrispondenti già installati" e fare clic su "OK"

  10. Aprire il criterio Applica ordine di valutazione a più livelli per Consenti e impedisci i criteri di installazione del dispositivo in tutti i criteri di corrispondenza del dispositivo e abilitarlo. Questo criterio consente di ignorare l'ampia copertura dei criteri "Impedisci" con un dispositivo specifico.

    Screenshot di Local Criteri di gruppo Editor che mostra i criteri in Device Installation Restrictions e i criteri denominati in questo passaggio.

    Immagine che mostra le impostazioni correnti dei criteri denominati in questo passaggio,
    Applicare l'ordine a più livelli dei criteri di valutazione

  11. Aprire Ora Consenti l'installazione dei dispositivi che corrispondono a uno di questi criteri id dispositivo e selezionare il pulsante di opzione "Abilita".

  12. In basso a sinistra, nella finestra 'Opzioni' fare clic su 'Mostra...' Casella. Questa opzione consente di passare a una tabella in cui è possibile immettere l'identificatore del dispositivo da consentire.

  13. Immettere l'ID dispositivo stampante trovato in precedenza: WSDPRINT\CanonMX920_seriesC1A0.

    Consenti ID hardware stampante.
    Consenti ID hardware stampante

  14. Fare clic su 'OK'.

  15. Fare clic su "Applica" in basso a destra nella finestra del criterio. Questa opzione consente di eseguire il push del criterio e di installare la stampante di destinazione (o di rimanere installata).

Scenario di test 3

  1. Cercare la stampante in Gestione dispositivi o nell'app Impostazioni di Windows e verificare che sia ancora disponibile e accessibile. O semplicemente stampare un documento di test.

  2. Indietro al Criteri di gruppo Editor, disabilitare Applica l'ordine di valutazione a più livelli per Consenti e Impedisci criteri di installazione del dispositivo in tutti i criteri di corrispondenza del dispositivo e testare di nuovo la stampante. Non è consigliabile stampare nulla o accedere alla stampante.

Scenario 4: Impedire l'installazione di un dispositivo USB specifico

Lo scenario si basa sulle conoscenze dello scenario n. 2, Impedisci l'installazione di una stampante specifica. In questo scenario si acquisirà una conoscenza del modo in cui alcuni dispositivi sono integrati nell'albero dei dispositivi PnP (Plug and Play).

Configurazione dell'ambiente

Configurazione dell'ambiente per lo scenario con la procedura seguente:

  1. Aprire Criteri di gruppo Editor e passare alla sezione Restrizione di installazione del dispositivo

  2. Assicurarsi che tutti i criteri di installazione del dispositivo precedenti siano disabilitati ad eccezione di "Applica ordine di valutazione a più livelli". Questo prerequisito è facoltativo per essere Attivato/Disattivato in questo scenario. Anche se il criterio è disabilitato per impostazione predefinita, è consigliabile abilitarlo nella maggior parte delle applicazioni pratiche.

Procedura dello scenario: impedire l'installazione di un dispositivo specifico

Ottenere l'identificatore di dispositivo corretto per impedirne l'installazione e la relativa posizione nell'albero PnP:

  1. Connettere una chiavetta USB alla macchina

  2. Aprire Gestione dispositivi

  3. Trovare l'unità USB thumb-drive e selezionarla.

    Selezione dell'unità usb thumb-drive in Gestione dispositivi.
    Selezione dell'unità usb thumb-drive in Gestione dispositivi

  4. Modificare Visualizzazione (nel menu in alto) in "Dispositivi in base alle connessioni". Questa visualizzazione rappresenta il modo in cui i dispositivi vengono installati nell'albero PnP.

    Modifica della visualizzazione in Gestione dispositivi per visualizzare l'albero di connessione PnP.
    Modifica della visualizzazione in Gestione dispositivi per visualizzare l'albero di connessione PnP

    Nota

    Quando si blocca\Impedisce un dispositivo che si trova più in alto nell'albero PnP, tutti i dispositivi che si trovano sotto di esso verranno bloccati. Ad esempio: impedendo l'installazione di un "Hub USB generico", tutti i dispositivi che si trova sotto un "Hub USB generico" verranno bloccati.

    Blocco dei dispositivi annidati dalla radice.
    Quando si blocca un dispositivo, verranno bloccati anche tutti i dispositivi annidati sotto di esso

  5. Fare doppio clic sull'unità USB e passare alla scheda "Dettagli".

  6. Nella finestra "Valore" copiare l'ID hardware più dettagliato. Questo valore verrà usato nei criteri. In questo caso ID dispositivo = USBSTOR\DiskGeneric_Flash_Disk______8.07

    ID hardware del dispositivo USB.
    ID hardware del dispositivo USB

Creazione dei criteri per impedire l'installazione di una singola unità usb:

  1. Aprire Criteri di gruppo Editor Oggetto e fare clic sul pulsante Start, digitare mmc gpedit.msc nella casella Avvia ricerca, quindi premere INVIO oppure digitare la ricerca di Windows "Criteri di gruppo Editor" e aprire l'interfaccia utente.

  2. Passare alla pagina Restrizione di installazione del dispositivo:

    Configurazione > computer Modelli > amministrativi Sistema > Installazione dispositivo > Restrizioni di installazione del dispositivo

  3. Aprire Impedisci l'installazione dei dispositivi che corrispondono a uno di questi criteri id dispositivo e selezionare il pulsante di opzione "Abilita".

  4. In basso a sinistra, nella finestra 'Opzioni' fare clic sulla casella 'Mostra'. Questa opzione consente di passare a una tabella in cui è possibile immettere l'identificatore del dispositivo da bloccare.

  5. Immettere l'ID dispositivo USB thumb-drive trovato in precedenzaUSBSTOR\DiskGeneric_Flash_Disk______8.07.

    Impedisci elenco ID dispositivo.
    Impedisci elenco ID dispositivo

  6. Fare clic su 'OK'.

  7. Fare clic su "Applica" in basso a destra nella finestra del criterio. Questa opzione esegue il push dei criteri e blocca l'unità USB di destinazione nelle installazioni future, ma non si applica a un'installazione esistente.

  8. Facoltativo: se si desidera applicare i criteri a un'installazione esistente, aprire di nuovo il criterio Impedisci l'installazione dei dispositivi che corrispondono a uno di questi ID dispositivo . Nella finestra "Opzioni" contrassegnare la casella di controllo "Si applica anche ai dispositivi corrispondenti già installati".

Scenario di test 4

  1. Se il passaggio 8 non è stato completato, seguire questa procedura:

    • Disinstallare l'unità usb usb: Gestione dispositivi > Unità > disco fare clic con il pulsante destro del mouse sull'unità > USB di destinazione facendo clic su "Disinstalla dispositivo".
    • Non dovrebbe essere possibile reinstallare il dispositivo.
  2. Se il passaggio 8 precedente è stato completato e il computer è stato riavviato, cercare le unità disco in Gestione dispositivi e verificare che non sia più disponibile per l'uso.

Scenario 5: Impedire l'installazione di tutti i dispositivi USB consentendo l'installazione solo di un'unità usb autorizzata

Ora, usando le conoscenze di tutti i quattro scenari precedenti, si apprenderà come impedire l'installazione di un'intera classe di dispositivi, consentendo al tempo stesso l'installazione di una singola unità USB autorizzata.

Configurazione dell'ambiente

Configurazione dell'ambiente per lo scenario con la procedura seguente:

  1. Aprire Criteri di gruppo Editor e passare alla sezione Restrizione dell'installazione del dispositivo.

  2. Disabilitare tutti i criteri di installazione del dispositivo precedenti e abilitare "Applica ordine di valutazione a più livelli".

  3. Se sono presenti criteri abilitati, modificandone lo stato in "disabilitato", questi verranno cancellati da tutti i parametri.

  4. È disponibile un'unità usb per testare i criteri.

Procedura dello scenario: impedire l'installazione di tutti i dispositivi USB consentendo solo un'unità USB autorizzata

Ottenere l'identificatore del dispositivo sia per le classi USB che per un'unità usb specifica e seguire i passaggi nello scenario n. 1 per trovare l'identificatore di classe e lo scenario 4 per trovare l'identificatore del dispositivo che è possibile ottenere gli identificatori necessari per questo scenario:

  • Dispositivi bus USB (hub e controller host)

    • Classe = USB
    • ClassGuid = {36fc9e60-c465-11cf-8056-444553540000}
    • Questa classe include controller host USB e hub USB, ma non periferiche USB. I driver per questa classe vengono forniti dal sistema.
  • Dispositivo USB

    • Classe = USBDevice
    • ClassGuid = {88BAE032-5A81-49f0-BC3D-A4FF138216D6}
    • USBDevice include tutti i dispositivi USB che non appartengono a un'altra classe. Questa classe non viene usata per i controller host USB e gli hub.
  • Hardware ID = USBSTOR\DiskGeneric_Flash_Disk______8.07

Come indicato nello scenario 4, non è sufficiente abilitare un solo ID hardware per abilitare una singola unità usb. L'amministratore IT deve assicurarsi che tutti i dispositivi USB che precedono quello di destinazione non siano bloccati (consentiti). In Questo caso è necessario consentire i seguenti dispositivi in modo che sia consentita anche l'unità USB di destinazione:

  • "Intel(R) USB 3.0 eXtensible Host Controller - 1.0 (Microsoft)" -> PCI\CC_0C03
  • "USB Root Hub (USB 3.0)" -> USB\ROOT_HUB30
  • "Hub USB generico" -> USB\USB20_HUB

Dispositivi USB annidati nell'albero PnP.
Dispositivi USB annidati l'uno sotto l'altro nell'albero PnP

Questi dispositivi sono dispositivi interni nel computer che definiscono la connessione della porta USB al mondo esterno. L'abilitazione di tali dispositivi non deve consentire l'installazione di dispositivi esterni/periferici nel computer.

Importante

Alcuni dispositivi nel sistema hanno diversi livelli di connettività per definire la loro installazione nel sistema. I thumb-drive USB sono tali dispositivi. Pertanto, quando si cerca di bloccarli o consentirli in un sistema, è importante comprendere il percorso della connettività per ogni dispositivo. Esistono diversi ID dispositivo generici che vengono comunemente usati nei sistemi e possono fornire un buon inizio per creare un "elenco consenti" in questi casi. Per l'elenco, vedere di seguito:

PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST (per controller host)/ USB\ROOT_HUB30; USB\ROOT_HUB20 (per hub radice USB)/ USB\USB20_HUB (per hub USB generici)/

In particolare per i computer desktop, è molto importante elencare tutti i dispositivi USB che le tastiere e i mouse sono connessi nell'elenco precedente. In caso contrario, potrebbe impedire a un utente di accedere al computer tramite dispositivi HID.

Diversi produttori di PC a volte hanno modi diversi per annidare i dispositivi USB nell'albero PnP, ma in generale questo è il modo in cui viene fatto.

Creare prima di tutto un criterio 'Prevent Class' e quindi crearne uno 'Consenti dispositivo':

  1. Aprire Criteri di gruppo object Editor: fare clic sul pulsante Start, digitare mmc gpedit.msc nella casella Start Search (Avvia ricerca) e quindi premere INVIO oppure digitare la ricerca di Windows "Criteri di gruppo Editor" e aprire l'interfaccia utente.

  2. Passare alla pagina Restrizione di installazione del dispositivo:

    Configurazione > computer Modelli > amministrativi Sistema > Installazione dispositivo > Restrizioni di installazione del dispositivo

  3. Verificare che tutti i criteri siano disabilitati

  4. Aprire Impedisci l'installazione dei dispositivi usando i driver che corrispondono ai criteri delle classi di configurazione del dispositivo e selezionare il pulsante di opzione "Abilita".

  5. In basso a sinistra, nella finestra 'Opzioni' fare clic su 'Mostra...' Casella. Questa opzione consente di passare a una tabella in cui è possibile immettere l'identificatore di classe da bloccare.

  6. Immettere entrambe le classi USB GUID trovate sopra con le parentesi graffe:

    {36fc9e60-c465-11cf-8056-444553540000}/ {88BAE032-5A81-49f0-BC3D-A4FF138216D6}

  7. Fare clic su 'OK'.

  8. Fare clic su "Applica" in basso a destra nella finestra del criterio. Questa opzione esegue il push dei criteri e blocca tutte le installazioni di dispositivi USB future, ma non si applica alle installazioni esistenti.

    Importante

    Il passaggio precedente impedisce l'installazione di tutti i dispositivi USB futuri. Prima di passare al passaggio successivo, assicurarsi di avere l'elenco più completo possibile di tutti i controller host USB, gli hub radice USB e gli ID dispositivo degli hub USB generici disponibili per impedire l'interazione con il sistema tramite tastiere e mouse.

  9. Aprire il criterio Applica ordine di valutazione a più livelli per Consenti e impedisci i criteri di installazione del dispositivo in tutti i criteri di corrispondenza del dispositivo e abilitarlo. Questo criterio consente di ignorare l'ampia copertura dei criteri "Impedisci" con un dispositivo specifico.

    Applicare l'ordine a più livelli dei criteri di valutazione.
    Applicare l'ordine a più livelli dei criteri di valutazione

  10. Aprire Ora Consenti l'installazione dei dispositivi che corrispondono a uno di questi criteri id dispositivo e selezionare il pulsante di opzione "Abilita".

  11. In basso a sinistra, nella finestra 'Opzioni' fare clic su 'Mostra...' Casella. Questa opzione consente di passare a una tabella in cui è possibile immettere l'identificatore del dispositivo da consentire.

  12. Immettere l'elenco completo degli ID dispositivo USB trovati in precedenza, inclusa l'unità USB specifica che si vuole autorizzare per l'installazioneUSBSTOR\DiskGeneric_Flash_Disk______8.07.

    Immagine di un elenco di esempio di dispositivi configurati per il criterio
    Elenco di ID dispositivo USB consentiti

  13. Fare clic su 'OK'.

  14. Fare clic su "Applica" in basso a destra nella finestra del criterio.

  15. Per applicare la copertura "Impedisci" di tutti i dispositivi USB attualmente installati, aprire di nuovo il criterio Impedisci l'installazione dei dispositivi usando driver che corrispondono a queste classi di configurazione del dispositivo ; Nella finestra "Opzioni" contrassegnare la casella di controllo "Applica anche ai dispositivi corrispondenti già installati" e fare clic su "OK".

Scenario di test 5

Non si dovrebbe essere in grado di installare alcuna unità usb usb, ad eccezione di quella autorizzata per l'utilizzo.