Gerenciar Instalação de Dispositivos com Política de Grupo
Ao utilizar sistemas operativos Windows, os administradores podem determinar que dispositivos podem ser instalados em computadores que gerem. Este guia resume o processo de instalação do dispositivo e demonstra várias técnicas para controlar a instalação do dispositivo com Política de Grupo.
Introdução
Geral
Este guia passo a passo descreve como pode controlar a instalação de dispositivos nos computadores que gere, incluindo designar os dispositivos que os utilizadores podem ou não instalar. Este guia aplica-se a todas as versões do Windows que começam com Windows 10, versão 1809. O guia inclui os seguintes cenários:
- Impedir que os utilizadores instalem dispositivos que estejam numa lista "proibida". Se um dispositivo não estiver na lista, o utilizador pode instalá-lo.
- Permitir que os utilizadores instalem apenas dispositivos que estejam numa lista "aprovada". Se um dispositivo não estiver na lista, o utilizador não poderá instalá-lo.
Este guia descreve o processo de instalação do dispositivo e introduz as cadeias de identificação de dispositivos que o Windows utiliza para corresponder um dispositivo aos pacotes de controladores de dispositivo disponíveis num computador. O guia também ilustra dois métodos de controlo da instalação de dispositivos. Cada cenário mostra, passo a passo, um método que pode utilizar para permitir ou impedir a instalação de um dispositivo específico ou de uma classe de dispositivos.
O dispositivo de exemplo utilizado nos cenários é um dispositivo de armazenamento USB. Pode efetuar os passos neste guia com um dispositivo diferente. No entanto, se utilizar um dispositivo diferente, as instruções no guia não corresponderão exatamente à interface de utilizador que aparece no computador.
É importante compreender que as Políticas de Grupo apresentadas neste guia são aplicadas apenas a máquinas/grupos de máquinas e não a utilizadores/grupos de utilizadores.
Importante
Os passos indicados neste guia destinam-se a ser utilizados num ambiente de laboratório de teste. Este guia passo a passo não se destina a ser utilizado para implementar funcionalidades Windows Server sem acompanhar a documentação e deve ser utilizado com discrição como um documento autónomo.
Quem deve utilizar este guia?
Este guia destina-se às seguintes audiências:
- Planeadores e analistas de tecnologias de informação que estão a avaliar Windows 10, Windows 11 ou Windows Server 2022
- Planeadores e designers de tecnologias de informação empresarial
- Arquitetos de segurança responsáveis pela implementação da computação fidedigna na organização
- Administradores que querem familiarizar-se com a tecnologia
Benefícios do Controlo da Instalação de Dispositivos com Política de Grupo
Restringir os dispositivos que os utilizadores podem instalar reduz o risco de roubo de dados e reduz o custo do suporte.
Reduzir o risco de roubo de dados
É mais difícil para os utilizadores fazer cópias não autorizadas de dados da empresa se os computadores dos utilizadores não conseguirem instalar dispositivos não aprovados que suportem suportes de dados amovíveis. Por exemplo, se os utilizadores não conseguirem instalar um dispositivo usb de pen usb, não poderão transferir cópias dos dados da empresa para um armazenamento amovível. Este benefício não pode eliminar o roubo de dados, mas cria outra barreira à remoção não autorizada de dados.
Reduzir os custos de suporte
Pode garantir que os utilizadores instalam apenas os dispositivos que a sua equipa de suporte técnico está preparada e equipada para suportar. Este benefício reduz os custos de suporte e a confusão do utilizador.
Descrição Geral do Cenário
Os cenários apresentados neste guia ilustram como pode controlar a instalação e a utilização de dispositivos nos computadores que gere. Os cenários utilizam Política de Grupo num computador local para simplificar a utilização dos procedimentos num ambiente de laboratório. Num ambiente onde gere vários computadores cliente, deve aplicar estas definições com Política de Grupo. Com Política de Grupo implementados pelo Active Directory, pode aplicar definições a todos os computadores que sejam membros de um domínio ou de uma unidade organizacional num domínio. Para obter mais informações sobre como criar um objeto de política de Grupo para gerir os computadores cliente, veja Criar um Objeto de Política de Grupo.
Cenário | Descrição |
---|---|
Cenário n.º 1: Impedir a instalação de todas as impressoras | Neste cenário, o administrador quer impedir que os utilizadores instalem impressoras. Assim, é um cenário básico para apresentar a funcionalidade "impedir/permitir" das políticas de Instalação de Dispositivos no Política de Grupo. |
Cenário n.º 2: Impedir a instalação de uma impressora específica | Neste cenário, o administrador permite que os utilizadores padrão instalem todas as impressoras, mas impedindo-os de instalar uma específica. |
Cenário n.º 3: Impedir a instalação de todas as impressoras ao mesmo tempo que permite a instalação de uma impressora específica | Neste cenário, vai combinar o que aprendeu com o cenário n.º 1 e o cenário n.º 2. O administrador quer permitir que os utilizadores padrão instalem apenas uma impressora específica, impedindo a instalação de todas as outras impressoras. Este cenário é mais realista e dá-lhe um passo mais longe na compreensão das políticas de Restrições de Instalação de Dispositivos. |
Cenário n.º 4: Impedir a instalação de um dispositivo USB específico | Este cenário, embora semelhante ao cenário n.º 2, traz outra camada de complexidade– como funciona a conectividade do dispositivo na árvore PnP. O administrador quer impedir que os utilizadores padrão instalem um dispositivo USB específico. No final do cenário, deve compreender a forma como os dispositivos são aninhados em camadas sob a árvore de conectividade do dispositivo PnP. |
Cenário n.º 5: Impedir a instalação de todos os dispositivos USB ao mesmo tempo que permite a instalação de apenas uma pen USB autorizada | Neste cenário, ao combinar os quatro cenários anteriores, irá aprender a proteger uma máquina contra todos os dispositivos USB não autorizados. O administrador quer permitir que os utilizadores instalem apenas um pequeno conjunto de dispositivos USB autorizados, impedindo a instalação de qualquer outro dispositivo USB. Além disso, este cenário inclui uma explicação sobre como aplicar a funcionalidade "impedir" aos dispositivos USB existentes que já tenham sido instalados no computador e o administrador gosta de impedir qualquer interação mais distante com os mesmos (bloqueando-os todos em conjunto). Este cenário baseia-se nas políticas e na estrutura que introduzimos nos primeiros quatro cenários e, por conseguinte, é preferível passar por cima das mesmas antes de tentar este cenário. |
Análise de Tecnologia
As secções seguintes fornecem uma breve descrição geral das principais tecnologias abordadas neste guia e fornecem informações de fundo necessárias para compreender os cenários.
Instalação de Dispositivos no Windows
Um dispositivo é uma peça de hardware com a qual o Windows interage para executar alguma função ou, numa definição mais técnica, é uma única instância de um componente de hardware com uma representação exclusiva no subsistema Plug and Play Windows. O Windows só pode comunicar com um dispositivo através de um software denominado controlador de dispositivo (também conhecido como controlador). Para instalar um controlador, o Windows deteta o dispositivo, reconhece o respetivo tipo e, em seguida, localiza o controlador que corresponde a esse tipo.
Quando o Windows deteta um dispositivo que nunca foi instalado no computador, o sistema operativo consulta o dispositivo para obter a respetiva lista de cadeias de identificação de dispositivos. Normalmente, um dispositivo tem múltiplas cadeias de identificação de dispositivos, que o fabricante do dispositivo atribui. As mesmas cadeias de identificação de dispositivos estão incluídas no ficheiro .inf (também conhecido como INF) que faz parte do pacote de controlador. O Windows escolhe o pacote de controlador a instalar ao corresponder as cadeias de identificação do dispositivo obtidas do dispositivo com as cadeias incluídas nos pacotes de controladores.
O Windows utiliza quatro tipos de identificadores para controlar a instalação e configuração do dispositivo. Pode utilizar as definições de Política de Grupo no Windows para especificar quais destes identificadores permitir ou bloquear.
Os quatro tipos de identificadores são:
- ID da Instância do Dispositivo
- ID do Dispositivo
- Classes de configuração de dispositivos
- Tipo de dispositivo "Dispositivos Amovíveis"
ID da Instância do Dispositivo
Um ID de instância de dispositivo é uma cadeia de identificação de dispositivo fornecida pelo sistema que identifica exclusivamente um dispositivo no sistema. O gestor de Plug and Play (PnP) atribui um ID de instância de dispositivo a cada nó de dispositivo (devnode) na árvore de dispositivos de um sistema.
ID do Dispositivo
O Windows pode utilizar cada cadeia para corresponder um dispositivo a um pacote de controlador. As cadeias variam desde a especificação, correspondendo a uma única criação e modelo de um dispositivo, ao geral, possivelmente aplicando-se a uma classe inteira de dispositivos. Existem dois tipos de cadeias de identificação de dispositivos: IDs de hardware e IDs compatíveis.
Hardware IDs
Os IDs de hardware são os identificadores que fornecem a correspondência exata entre um dispositivo e um pacote de controlador. A primeira cadeia na lista de IDs de hardware é referida como o ID do dispositivo, porque corresponde à marca exata, ao modelo e à revisão do dispositivo. Os outros IDs de hardware na lista correspondem menos exatamente aos detalhes do dispositivo. Por exemplo, um ID de hardware pode identificar a marca e o modelo do dispositivo, mas não a revisão específica. Este esquema permite que o Windows utilize um controlador para uma revisão diferente do dispositivo se o controlador da revisão correta não estiver disponível.
IDs compatíveis
O Windows utiliza estes identificadores para selecionar um controlador se o sistema operativo não conseguir encontrar uma correspondência com o ID do dispositivo ou qualquer um dos outros IDs de hardware. Os IDs compatíveis são listados por ordem de diminuição da adequação. Estas cadeias são opcionais e, quando fornecidas, são genéricas, como o Disco. Quando é efetuada uma correspondência com um ID compatível, normalmente só pode utilizar as funções mais básicas do dispositivo.
Quando instala um dispositivo, como uma impressora, um dispositivo de armazenamento USB ou um teclado, o Windows procura pacotes de controladores que correspondam ao dispositivo que está a tentar instalar. Durante esta pesquisa, o Windows atribui uma "classificação" a cada pacote de controlador que deteta com, pelo menos, uma correspondência a um hardware ou ID compatível. A classificação indica o quão bem o controlador corresponde ao dispositivo. Os números de classificação mais baixos indicam melhores correspondências entre o controlador e o dispositivo. Uma classificação de zero representa a melhor correspondência possível. Uma correspondência com o ID do dispositivo com um no pacote de controlador resulta numa classificação mais baixa (melhor) do que uma correspondência com um dos outros IDs de hardware. Da mesma forma, uma correspondência com um ID de hardware resulta numa classificação melhor do que uma correspondência com qualquer um dos IDs compatíveis. Depois de o Windows classificar todos os pacotes de controladores, instala aquele com a classificação geral mais baixa. Para obter mais informações sobre o processo de classificação e seleção de pacotes de controladores, consulte Como o Windows seleciona um pacote de controlador para um dispositivo.
Observação
Para obter mais informações sobre o processo de instalação do controlador, consulte a secção "Análise de tecnologia" do Guia Passo a Passo para Assinatura e Teste de Controladores.
Alguns dispositivos físicos criam um ou mais dispositivos lógicos quando são instalados. Cada dispositivo lógico pode processar parte da funcionalidade do dispositivo físico. Por exemplo, um dispositivo multifunções, como um scanner/fax/impressora tudo-em-um, pode ter uma cadeia de identificação de dispositivo diferente para cada função.
Quando utiliza políticas de Instalação de Dispositivos para permitir ou impedir a instalação de um dispositivo que utiliza dispositivos lógicos, tem de permitir ou impedir todas as cadeias de identificação de dispositivos desse dispositivo. Por exemplo, se um utilizador tentar instalar um dispositivo multifunções e não tiver permitido ou impedido todas as cadeias de identificação para dispositivos físicos e lógicos, poderá obter resultados inesperados da tentativa de instalação. Para obter informações mais detalhadas sobre os IDs de hardware, veja Cadeias de identificação de dispositivos.
Classes de configuração de dispositivos
As classes de configuração de dispositivos (também conhecidas como Classe) são outro tipo de cadeia de identificação. O fabricante atribui a Classe a um dispositivo no pacote de controlador. A Classe agrupa dispositivos que estão instalados e configurados da mesma forma. Por exemplo, todos os dispositivos Biométricos pertencem à Classe Biométrica (ClassGuid = {53D29EF7-377C-4D14-864B-EB3A85769359}) e utilizam o mesmo co-instalador quando instalado. Um número longo denominado identificador exclusivo global (GUID) representa cada classe de configuração de dispositivo. Quando o Windows é iniciado, cria uma estrutura de árvore na memória com os GUIDs para todos os dispositivos detetados. Juntamente com o GUID da Classe do próprio dispositivo, o Windows poderá ter de inserir na árvore o GUID da Classe do barramento ao qual o dispositivo está ligado.
Quando utiliza classes de dispositivos para permitir ou impedir que os utilizadores instalem controladores, tem de especificar os GUIDs para todas as classes de configuração de dispositivos do dispositivo ou poderá não conseguir os resultados pretendidos. A instalação pode falhar (se pretender que seja bem-sucedida) ou poderá ser bem-sucedida (se pretender que falhe).
Por exemplo, um dispositivo multifunções, como um scanner/fax/impressora tudo-em-um, tem um GUID para um dispositivo multifunções genérico, um GUID para a função de impressora, um GUID para a função de scanner, etc. Os GUIDs das funções individuais são "nós subordinados" no GUID do dispositivo multifunções. Para instalar um nó subordinado, o Windows também tem de conseguir instalar o nó principal. Tem de permitir a instalação da classe de configuração do dispositivo do GUID principal para o dispositivo multifunções, além de quaisquer GUIDs subordinados para as funções de impressora e scanner.
Para obter mais informações, consulte Classes de instalação de dispositivos.
Este guia não ilustra quaisquer cenários que utilizem classes de configuração de dispositivos. No entanto, os princípios básicos demonstrados com as cadeias de identificação de dispositivos neste guia também se aplicam às classes de configuração do dispositivo. Depois de detetar a classe de configuração do dispositivo para um dispositivo específico, pode utilizá-la numa política para permitir ou impedir a instalação de controladores para essa classe de dispositivos.
As duas ligações seguintes fornecem a lista completa de Classes de Configuração de Dispositivos. As classes "Utilização do Sistema" são maioritariamente referidas em dispositivos que vêm com um computador/computador da fábrica, enquanto as classes "Fornecedor" são maioritariamente referenciadas a dispositivos que podem ser ligados a um computador/computador existente:
- Classes de Configuração de Dispositivos Definidas pelo Sistema Disponíveis para Fornecedores – Controladores do Windows
- Classes de Configuração de Dispositivos Definidas pelo Sistema Reservadas para Utilização do Sistema – Controladores do Windows
Tipo de dispositivo "Dispositivo Amovível"
Alguns dispositivos podem ser classificados como Dispositivo Amovível. Um dispositivo é considerado amovível quando o controlador do dispositivo ao qual está ligado indica que o dispositivo é amovível. Por exemplo, um dispositivo USB é reportado como amovível pelos controladores do concentrador USB ao qual o dispositivo está ligado.
Definições do Política de Grupo para a Instalação do Dispositivo
Política de Grupo é uma infraestrutura que lhe permite especificar configurações geridas para utilizadores e computadores através de definições de Política de Grupo e preferências de Política de Grupo.
A secção Instalação de Dispositivos no Política de Grupo é um conjunto de políticas que controlam o dispositivo que pode ou não ser instalado num computador. Quer pretenda aplicar as definições a um computador autónomo ou a muitos computadores num domínio do Active Directory, utilize o Política de Grupo Object Editor para configurar e aplicar as definições de política. Para obter mais informações, veja Política de Grupo Object Editor.
As passagens seguintes são breves descrições das políticas de Instalação do Dispositivo utilizadas neste guia.
Observação
O controlo de Instalação de Dispositivos é aplicado apenas às máquinas ("configuração do computador") e não aos utilizadores ("configuração do utilizador") pela natureza da estrutura do SO Windows. Estas definições de política afetam todos os utilizadores que iniciam sessão no computador onde as definições de política são aplicadas. Não pode aplicar estas políticas a utilizadores ou grupos específicos, exceto a política Permitir que os administradores substituam a política de instalação do dispositivo. Esta política isenta os membros do grupo Administradores local de qualquer uma das restrições de instalação de dispositivos que aplicar ao computador ao configurar outras definições de política, conforme descrito nesta secção.
Permitir que os administradores substituam as políticas de Restrição de Instalação de Dispositivos
Esta definição de política permite que os membros do grupo administradores local instalem e atualizem os controladores de qualquer dispositivo, independentemente de outras definições de política. Se ativar esta definição de política, os administradores podem utilizar o Assistente para Adicionar Hardware ou o Assistente de Atualização de Controladores para instalar e atualizar os controladores de qualquer dispositivo. Se desativar ou não configurar esta definição de política, os administradores estão sujeitos a todas as definições de política que restringem a instalação do dispositivo.
Permitir a instalação de dispositivos que correspondam a qualquer um destes IDs de dispositivo
Esta definição de política especifica uma lista de Plug and Play IDs de hardware e IDs compatíveis que descrevem os dispositivos que os utilizadores podem instalar. Esta definição destina-se a ser utilizada apenas quando a definição de política Impedir a instalação de dispositivos não descrita por outras definições de política estiver ativada e não tiver precedência sobre qualquer definição de política que impeça os utilizadores de instalar um dispositivo. Se ativar esta definição de política, os utilizadores podem instalar e atualizar qualquer dispositivo com um ID de hardware ou ID compatível que corresponda a um ID nesta lista se essa instalação não tiver sido impedida pela definição de política Impedir a instalação de dispositivos que correspondam a estes IDs de dispositivo, a definição de política Impedir a instalação de dispositivos para estas classes de dispositivos, ou a definição de política Impedir a instalação de dispositivos amovíveis. Se outra definição de política impedir que os utilizadores instalem um dispositivo, os utilizadores não podem instalá-lo mesmo que o dispositivo também seja descrito por um valor nesta definição de política. Se desativar ou não configurar esta definição de política e nenhuma outra política descrever o dispositivo, a definição de política Impedir a instalação de dispositivos não descrita por outras definições de política determina se os utilizadores podem instalar o dispositivo.
Permitir a instalação de dispositivos que correspondam a qualquer um destes IDs de instância do dispositivo
Esta definição de política permite-lhe especificar uma lista de Plug and Play IDs de instância do dispositivo para dispositivos que o Windows tem permissão para instalar. Utilize esta definição de política apenas quando a definição de política "Impedir a instalação de dispositivos não descritos por outras definições de política" estiver ativada. Outras definições de política que impedem a instalação do dispositivo têm precedência sobre esta definição. Se ativar esta definição de política, o Windows tem permissão para instalar ou atualizar qualquer dispositivo cujo ID de instância de dispositivo Plug and Play seja apresentado na lista que criar, a menos que outra definição de política impeça especificamente essa instalação (por exemplo, a definição de política "Impedir a instalação de dispositivos que correspondam a qualquer um destes IDs de dispositivo", a definição de política "Impedir a instalação de dispositivos para estas classes de dispositivos", a definição de política "Impedir a instalação de dispositivos que correspondam a qualquer um destes IDs de instância do dispositivo" ou a definição de política "Impedir a instalação de dispositivos amovíveis"). Se ativar esta definição de política num servidor de ambiente de trabalho remoto, a definição de política afeta o redirecionamento dos dispositivos especificados de um cliente de ambiente de trabalho remoto para o servidor de ambiente de trabalho remoto.
Permitir a instalação de dispositivos com controladores que correspondam a estas classes de configuração de dispositivos
Esta definição de política especifica uma lista de GUIDs da classe de configuração de dispositivos que descrevem os dispositivos que os utilizadores podem instalar. Esta definição destina-se a ser utilizada apenas quando a definição de política Impedir a instalação de dispositivos não descrita por outras definições de política estiver ativada e não tiver precedência sobre qualquer definição de política que impeça os utilizadores de instalar um dispositivo. Se ativar esta definição, os utilizadores podem instalar e atualizar qualquer dispositivo com um ID de hardware ou ID compatível que corresponda a um dos IDs nesta lista se essa instalação não tiver sido impedida pela definição de política Impedir a instalação de dispositivos que correspondam a estes IDs de dispositivo, a definição de política Impedir a instalação de dispositivos para estas classes de dispositivos, ou a definição de política Impedir a instalação de dispositivos amovíveis. Se outra definição de política impedir que os utilizadores instalem um dispositivo, os utilizadores não podem instalá-lo mesmo que o dispositivo também seja descrito por um valor nesta definição de política. Se desativar ou não configurar esta definição de política e nenhuma outra definição de política descrever o dispositivo, a definição de política Impedir a instalação de dispositivos não descrita por outras definições de política determina se os utilizadores podem instalar o dispositivo.
Impedir a instalação de dispositivos que correspondam a estes IDs de dispositivo
Esta definição de política especifica uma lista de Plug and Play IDs de hardware e IDs compatíveis para dispositivos que os utilizadores não podem instalar. Se ativar esta definição de política, os utilizadores não poderão instalar ou atualizar o controlador de um dispositivo se o respetivo ID de hardware ou ID compatível corresponder a um nesta lista. Se desativar ou não configurar esta definição de política, os utilizadores podem instalar dispositivos e atualizar os controladores, conforme permitido por outras definições de política para a instalação do dispositivo. Nota: esta definição de política tem precedência sobre quaisquer outras definições de política que permitam aos utilizadores instalar um dispositivo. Esta definição de política impede que os utilizadores instalem um dispositivo, mesmo que corresponda a outra definição de política que permita a instalação desse dispositivo.
Impedir a instalação de dispositivos que correspondam a qualquer um destes IDs de instância do dispositivo
Esta definição de política permite-lhe especificar uma lista de Plug and Play IDs de instância do dispositivo para dispositivos que o Windows está impedido de instalar. Esta definição de política tem precedência sobre qualquer outra definição de política que permita ao Windows instalar um dispositivo. Se ativar esta definição de política, o Windows será impedido de instalar um dispositivo cujo ID de instância de dispositivo aparece na lista que criar. Se ativar esta definição de política num servidor de ambiente de trabalho remoto, a definição de política afeta o redirecionamento dos dispositivos especificados de um cliente de ambiente de trabalho remoto para o servidor de ambiente de trabalho remoto. Se desativar ou não configurar esta definição de política, os dispositivos podem ser instalados e atualizados conforme permitido ou impedido por outras definições de política.
Impedir a instalação de dispositivos através de controladores que correspondam a estas classes de configuração de dispositivos
Esta definição de política especifica uma lista de PLUG AND PLAY GUIDs da classe de configuração de dispositivos para dispositivos que os utilizadores não podem instalar. Se ativar esta definição de política, os utilizadores não poderão instalar ou atualizar dispositivos que pertençam a nenhuma das classes de configuração de dispositivos listadas. Se desativar ou não configurar esta definição de política, os utilizadores podem instalar e atualizar dispositivos conforme permitido por outras definições de política para a instalação do dispositivo. Nota: esta definição de política tem precedência sobre quaisquer outras definições de política que permitam aos utilizadores instalar um dispositivo. Esta definição de política impede que os utilizadores instalem um dispositivo, mesmo que corresponda a outra definição de política que permita a instalação desse dispositivo.
Aplicar ordem de avaliação em camadas para Permitir e Impedir políticas de instalação de dispositivos em todos os critérios de correspondência de dispositivos
Esta definição de política altera a ordem de avaliação na qual as definições de política Permitir e Impedir são aplicadas quando mais do que uma definição de política de instalação é aplicável a um determinado dispositivo. Ative esta definição de política para garantir que a sobreposição de critérios de correspondência de dispositivos é aplicada com base numa hierarquia estabelecida em que critérios de correspondência mais específicos substituem critérios de correspondência menos específicos. A ordem hierárquica de avaliação das definições de política que especificam critérios de correspondência de dispositivos é a seguinte:
IDs da instância do> dispositivoIDs> do DispositivoClasse de configuração de dispositivos>Dispositivos amovíveis
Observação
Esta definição de política fornece um controlo mais granular do que a definição de política "Impedir a instalação de dispositivos não descritos por outras definições de política". Se estas definições de política em conflito estiverem ativadas ao mesmo tempo, a definição de política "Aplicar ordem de avaliação em camadas para Permitir e Impedir políticas de instalação de dispositivos em todos os critérios de correspondência de dispositivos" será ativada e a outra definição de política será ignorada.
Se desativar ou não configurar esta definição de política, será utilizada a avaliação predefinida. Por predefinição, todos os "Impedir a instalação..." As definições de política têm precedência sobre qualquer outra definição de política que permita ao Windows instalar um dispositivo.
Algumas destas políticas têm precedência sobre outras políticas. O fluxograma seguinte ilustra como o Windows os processa para determinar se um utilizador pode ou não instalar um dispositivo.
Gráfico de fluxo de políticas de instalação de dispositivos
Requisitos para concluir os cenários
Geral
Para concluir cada um dos cenários, certifique-se de que tem:
- Um computador cliente com o Windows.
- Uma pen USB. Os cenários descritos neste guia utilizam uma pen USB como o dispositivo de exemplo (também conhecido como "unidade de disco amovível", "unidade de memória", "pen usb" ou "unidade de porta-chaves"). A maioria das pen USB não necessita de controladores fornecidos pelo fabricante e estes dispositivos funcionam com os controladores de caixa de entrada fornecidos com a compilação do Windows.
- Uma impressora USB/de rede pré-instalada no computador.
- Acesso à conta de administrador no computador de teste. Os procedimentos neste guia requerem privilégios de administrador para a maioria dos passos.
Compreender as implicações da aplicação de políticas "Impedir" retroativas
Todas as políticas "Impedir" podem aplicar a funcionalidade de bloqueio a dispositivos já instalados- dispositivos que tenham sido instalados no computador antes de a política ter sido aplicada. A utilização desta opção é recomendada quando o administrador não tiver a certeza do histórico de instalação dos dispositivos no computador e quiser certificar-se de que a política se aplica a todos os dispositivos.
Por exemplo: uma impressora já está instalada no computador, impedindo que a instalação de todas as impressoras bloqueie a instalação de qualquer impressora futura, mantendo apenas a impressora instalada utilizável. Para aplicar o bloco retroativo, o administrador deve marcar marcar a opção "aplicar esta política a dispositivos já instalados". Marcar esta opção impedirá o acesso a dispositivos já instalados, além de quaisquer dispositivos futuros.
Esta opção é uma ferramenta avançada, mas, como tal, tem de ser utilizada cuidadosamente.
Importante
Aplicar a opção "Impedir retroativa" a dispositivos cruciais pode tornar a máquina inútil/inaceitável! Por exemplo: Impedir a retroativação de todas as "Unidades de Disco" pode bloquear o acesso ao disco no qual o SO arranca; Impedir a retroativação de todos os "Net" pode impedir que esta máquina aceda à rede e corrigir o problema que o administrador terá de ter uma ligação direta.
Determinar cadeias de identificação de dispositivos
Ao seguir estes passos, pode determinar as cadeias de identificação do dispositivo. Se os IDs de hardware e os IDs compatíveis do seu dispositivo não corresponderem aos IDs apresentados neste guia, utilize os IDs adequados ao seu dispositivo (esta política aplica-se a IDs de Instância e Classes, mas não vamos dar-lhes um exemplo neste guia).
Pode determinar os IDs de hardware e os IDs compatíveis do seu dispositivo de duas formas. Pode utilizar Gerenciador de Dispositivos, uma ferramenta gráfica incluída no sistema operativo ou PnPUtil, uma ferramenta de linha de comandos disponível para todas as versões do Windows. Utilize o procedimento seguinte para ver as cadeias de identificação do dispositivo.
Observação
Estes procedimentos são específicos de uma impressora Canon. Se estiver a utilizar um tipo de dispositivo diferente, tem de ajustar os passos em conformidade. A diferença significativa será a localização do dispositivo na hierarquia Gerenciador de Dispositivos. Em vez de estar localizado no nó Impressoras, tem de localizar o dispositivo no nó adequado.
Para localizar cadeias de identificação de dispositivos com Gerenciador de Dispositivos
Certifique-se de que a impressora está ligada à corrente e instalada.
Para abrir Gerenciador de Dispositivos, selecione o botão Iniciar, escreva mmc devmgmt.msc na caixa Iniciar Pesquisa e, em seguida, prima ENTER ou procure Gerenciador de Dispositivos como aplicação.
Gerenciador de Dispositivos inicia e apresenta uma árvore que representa todos os dispositivos detetados no seu computador. Na parte superior da árvore encontra-se um nó com o nome dos seus computadores junto ao mesmo. Os nós inferiores representam as várias categorias de hardware nas quais os dispositivos dos computadores estão agrupados.
Localize a secção "Impressoras" e localize a impressora de destino
Selecionar a impressora no Gerenciador de DispositivosFaça duplo clique na impressora e aceda ao separador "Detalhes".
Abra o separador "Detalhes" para procurar os identificadores do dispositivoNa janela "Valor", copie o ID de Hardware mais detalhado. Vamos utilizar este valor nas políticas.
HWID e ID CompatívelDica
Também pode determinar as cadeias de identificação do dispositivo com o utilitário de linha de comandos PnPUtil. Para obter mais informações, veja PnPUtil – Controladores do Windows.
Obter identificadores de dispositivos com PnPUtil
pnputil /enum-devices /ids
Eis um exemplo de uma saída para um único dispositivo num computador:
<snip>
Instance ID: PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02\3&103a9d54&0&81
Device Description: Intel(R) Xeon(R) E7 v3/Xeon(R) E5 v3/Core i7 PCIe Ring Interface - 2F34
Class Name: System
Class GUID: {4d36e97d-e325-11ce-bfc1-08002be10318}
Manufacturer Name: INTEL
Status: Stopped
Driver Name: oem6.inf
Hardware IDs: PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02
PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086
PCI\VEN_8086&DEV_2F34&CC_110100
PCI\VEN_8086&DEV_2F34&CC_1101
Compatible IDs: PCI\VEN_8086&DEV_2F34&REV_02
PCI\VEN_8086&DEV_2F34
PCI\VEN_8086&CC_110100
PCI\VEN_8086&CC_1101
PCI\VEN_8086
PCI\CC_110100
PCI\CC_1101
<snip>
Cenário n.º 1: Impedir a instalação de todas as impressoras
Neste cenário simples, irá aprender a impedir a instalação de toda uma Classe de dispositivos.
Configurar o ambiente
Configure o ambiente para o cenário com os seguintes passos:
Abra Política de Grupo Editor e navegue para a secção Restrição de Instalação do Dispositivo.
Desative todas as políticas de Instalação de Dispositivos anteriores, exceto "Aplicar ordem de avaliação em camadas", embora a política esteja desativada por predefinição, recomenda-se que esta política seja ativada na maioria das aplicações práticas.
Se existirem políticas ativadas, alterar o respetivo status para "desativado", irá limpá-las de todos os parâmetros
Ter uma impressora USB/rede disponível para testar a política com
Passos do cenário – impedir a instalação de dispositivos proibidos
Obter o identificador de dispositivo certo para impedir que seja instalado:
Se tiver no seu sistema um dispositivo da classe que pretende bloquear, pode seguir os passos na secção anterior para localizar o identificador da Classe do Dispositivo através de Gerenciador de Dispositivos ou PnPUtil (GUID de Classe).
Se não tiver esse dispositivo instalado no seu sistema ou souber o nome da classe, pode marcar as duas ligações seguintes:
O nosso cenário atual centra-se em impedir que todas as impressoras sejam instaladas, como tal, eis o GUID de Classe para a maioria das impressoras no mercado:
Printers
Classe = Impressora
ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
Esta classe inclui impressoras.Observação
Conforme mencionado anteriormente, impedir que uma Classe inteira o impeça de utilizar completamente o seu sistema. Certifique-se de que compreende quais os dispositivos que vão ser bloqueados ao especificar uma Classe. Para o nosso cenário, existem outras classes relacionadas com impressoras, mas antes de as aplicar, certifique-se de que não estão a bloquear nenhum outro dispositivo existente que seja crucial para o seu sistema.
Criar a política para impedir que todas as impressoras sejam instaladas:
Abra Política de Grupo Objeto Editor clique no botão Iniciar, escreva mmc gpedit.msc na caixa Iniciar Pesquisa e, em seguida, prima ENTER; ou escreva "Política de Grupo Editor" da pesquisa do Windows e abra a IU.
Navegue para a página Restrição de Instalação do Dispositivo:
Configuração > do Computador Modelos Administrativos > Restrições de Instalação > do Dispositivo do Sistema >
Certifique-se de que todas as políticas estão desativadas (recomendado para manter a política de "ordem de avaliação em camadas aplicada" ativada).
Abra Impedir a instalação de dispositivos através de controladores que correspondam a esta política de classes de configuração de dispositivos e selecione o botão de opção "Ativar".
No canto inferior esquerdo, na janela "Opções", clique em "Mostrar...". caixa. Esta opção direciona-o para uma tabela onde pode introduzir o identificador de classe a bloquear.
Introduza o GUID da classe de impressora que encontrou com as chavetas:
{4d36e979-e325-11ce-bfc1-08002be10318}
.
Lista de IMPEDIR GUIDs de ClasseClique em 'OK'.
Clique em "Aplicar" no canto inferior direito da janela da política. Esta opção emita a política e bloqueia todas as instalações futuras da impressora, mas não se aplica a instalações existentes.
Opcional: se quiser aplicar a política a instalações existentes: abra a política Impedir a instalação de dispositivos com controladores que correspondam novamente a estas classes de configuração de dispositivos ; na janela "Opções", marque a caixa de verificação que diz "aplicar também aos dispositivos correspondentes que já estão instalados"
Importante
Utilizar uma política Impedir (como a que utilizámos no cenário n.º 1 acima) e aplicá-la a todos os dispositivos instalados anteriormente (veja o passo 9) pode tornar os dispositivos cruciais inutilizáveis; portanto, utilize com cuidado. Por exemplo: se um administrador de TI quiser impedir que todos os dispositivos de armazenamento amovíveis sejam instalados no computador, a utilização da classe "Unidade de Disco" para bloquear e aplicá-la retroativa poderá tornar o disco rígido interno inutilizável e para interromper a máquina.
Cenário de teste 1
Se ainda não concluiu o passo 9, siga estes passos:
- Desinstale a impressora: Gerenciador de Dispositivos > Impressoras > clique com o botão direito do rato em Impressora > Canónica clique em "Desinstalar dispositivo".
- Para desligar a tomada usb da impressora e voltar a ligar o cabo; para dispositivos de rede, procure a impressora na aplicação Definições do Windows.
- Não deverá conseguir reinstalar a impressora.
Se concluiu o passo 9 acima e reiniciou o computador, procure a impressora em Gerenciador de Dispositivos ou a aplicação Definições do Windows e verifique se já não está disponível para utilização.
Cenário n.º 2: Impedir a instalação de uma impressora específica
Este cenário baseia-se no cenário n.º 1, Impedir a instalação de todas as impressoras. Neste cenário, tem como destino uma impressora específica para impedir a instalação no computador.
Configurar o ambiente
Configure o ambiente para o cenário com os seguintes passos:
Abra Política de Grupo Editor e navegue para a secção Restrição de Instalação do Dispositivo.
Certifique-se de que todas as políticas anteriores de Instalação de Dispositivos estão desativadas, exceto "Aplicar ordem de avaliação em camadas" (este pré-requisito é opcional para ativar/desativar este cenário). Embora a política esteja desativada por predefinição, recomenda-se que seja ativada na maioria das aplicações práticas. Para o cenário n.º 2, é opcional.
Passos do cenário – impedir a instalação de um dispositivo específico
Obter o identificador de dispositivo certo para impedir que seja instalado:
Obtenha o ID de Hardware da impressora. Neste exemplo, vamos utilizar o identificador que encontrámos anteriormente.
ID de Hardware da ImpressoraAnote o ID do dispositivo (neste caso, ID de Hardware):
WSDPRINT\CanonMX920_seriesC1A0;
. Utilize o identificador mais específico para se certificar de que bloqueia uma impressora específica e não uma família de impressoras
Criar a política para impedir a instalação de uma única impressora:
Abra Editor objeto Política de Grupo.
Navegue para a página Restrição de Instalação do Dispositivo:
Configuração > do Computador Modelos Administrativos > Restrições de Instalação > do Dispositivo do Sistema >
Abra Impedir a instalação de dispositivos que correspondam a qualquer uma destas políticas de IDs de dispositivo e selecione o botão de opção "Ativar".
No canto inferior esquerdo, na janela "Opções", clique em "Mostrar...". caixa. Esta opção irá levá-lo para uma tabela onde pode introduzir o identificador do dispositivo para bloquear.
Introduza o ID do dispositivo da impressora que encontrou acima:
WSDPRINT\CanonMX920_seriesC1A0
.
Impedir lista de ID de DispositivoClique em 'OK'.
Clique em "Aplicar" no canto inferior direito da janela da política. Esta opção emita a política e bloqueia a impressora de destino em instalações futuras, mas não se aplica a uma instalação existente.
Opcionalmente, se quiser aplicar a política a uma instalação existente, abra novamente a política Impedir a instalação de dispositivos que correspondam a qualquer um destes IDs de dispositivo . Na janela "Opções", marque a caixa de verificação que diz "Aplicar também aos dispositivos correspondentes que já estão instalados".
Cenário de teste 2
Se concluiu o passo 8 acima e reiniciou o computador, procure a impressora em Gerenciador de Dispositivos ou a aplicação Definições do Windows e verifique se já não está disponível para utilização.
Se ainda não concluiu o passo 8, siga estes passos:
Desinstale a impressora: Gerenciador de Dispositivos > Impressoras > clique com o botão direito do rato em Impressora > Canónica clique em "Desinstalar dispositivo".
Para impressora USB, desligue e volte a ligar o cabo; para dispositivo de rede, procure a impressora na aplicação Definições do Windows.
Não deverá conseguir reinstalar a impressora.
Cenário n.º 3: Impedir a instalação de todas as impressoras ao mesmo tempo que permite a instalação de uma impressora específica
Agora, ao utilizar os conhecimentos de ambos os cenários anteriores, irá aprender a impedir a instalação de uma Classe inteira de dispositivos ao mesmo tempo que permite a instalação de uma única impressora.
Configurar o ambiente
Configure o ambiente para o cenário com os seguintes passos:
Abra Política de Grupo Editor e navegue para a secção Restrição de Instalação do Dispositivo.
Desative todas as políticas anteriores de Instalação de Dispositivos e ative "Aplicar ordem de avaliação em camadas".
Se existirem políticas ativadas, alterar o respetivo status para "desativado", irá limpá-las de todos os parâmetros.
Tenha uma impressora USB/rede disponível para testar a política.
Passos do cenário – impedir a instalação de uma classe inteira ao mesmo tempo que permite uma impressora específica
Obter o identificador do dispositivo para a Classe de Impressora e uma impressora específica seguindo os passos no cenário n.º 1 para localizar o Identificador de classe e o cenário n.º 2 para localizar o Identificador do dispositivo, pode obter os identificadores de que precisa para este cenário:
- ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
- Hardware ID = WSDPRINT\CanonMX920_seriesC1A0
Primeiro, crie uma política "Impedir Classe" e, em seguida, crie uma política "Permitir Dispositivo":
Abra Política de Grupo Objeto Editor clique no botão Iniciar, escreva mmc gpedit.msc na caixa Iniciar Pesquisa e, em seguida, prima ENTER; ou escreva "Política de Grupo Editor" da pesquisa do Windows e abra a IU.
Navegue para a página Restrição de Instalação do Dispositivo:
Configuração > do Computador Modelos Administrativos > Restrições de Instalação > do Dispositivo do Sistema >
Certifique-se de que todas as políticas estão desativadas
Abra Impedir a instalação de dispositivos através de controladores que correspondam a esta política de classes de configuração de dispositivos e selecione o botão de opção "Ativar".
No canto inferior esquerdo, na janela "Opções", clique em "Mostrar...". caixa. Esta opção irá levá-lo para uma tabela onde pode introduzir o identificador de classe a bloquear.
Introduza o GUID da classe de impressora que encontrou acima com as chavetas (este valor é importante! Caso contrário, não funcionará): {4d36e979-e325-11ce-bfc1-08002be10318}
Lista de IMPEDIR GUIDs de ClasseClique em 'OK'.
Clique em "Aplicar" no canto inferior direito da janela da política. Esta opção emita a política e bloqueia todas as instalações futuras da impressora, mas não se aplica a instalações existentes.
Para concluir a cobertura de todas as impressoras futuras e existentes, abra a política Impedir a instalação de dispositivos com controladores que correspondam novamente a estas classes de configuração de dispositivos ; na janela "Opções", marque a caixa de verificação que diz "aplicar também a dispositivos correspondentes que já estão instalados" e clique em "OK"
Abra a política Aplicar ordem de avaliação em camadas para Permitir e Impedir que as políticas de instalação de dispositivos em todos os dispositivos correspondam a critérios e ative-a. Esta política irá permitir-lhe substituir a ampla cobertura da política "Impedir" com um dispositivo específico.
Agora, abra Permitir a instalação de dispositivos que correspondam a qualquer uma destas políticas de IDs de dispositivo e selecione o botão de opção "Ativar".
No canto inferior esquerdo, na janela "Opções", clique em "Mostrar...". caixa. Esta opção irá levá-lo para uma tabela onde pode introduzir o identificador do dispositivo a permitir.
Introduza o ID do dispositivo da impressora que encontrou acima: WSDPRINT\CanonMX920_seriesC1A0.
Permitir ID de Hardware da ImpressoraClique em 'OK'.
Clique em "Aplicar" no canto inferior direito da janela da política. Esta opção emita a política e permite que a impressora de destino seja instalada (ou mantida instalada).
Cenário de teste 3
Procure a impressora em Gerenciador de Dispositivos ou na aplicação Definições do Windows e veja se ainda está lá e acessível. Em alternativa, imprima um documento de teste.
Voltar à Política de Grupo Editor, desative Aplicar ordem de avaliação em camadas para Permitir e Impedir que as políticas de instalação de dispositivos em todos os dispositivos correspondam à política de critérios e teste novamente a impressora. Não deve ser um fardo imprimir nada ou conseguir aceder à impressora.
Cenário n.º 4: Impedir a instalação de um dispositivo USB específico
O cenário baseia-se no conhecimento do cenário n.º 2, Impedir a instalação de uma impressora específica. Neste cenário, irá compreender como alguns dispositivos são incorporados na árvore de dispositivos PnP (Plug and Play).
Configurar o ambiente
Configure o ambiente para o cenário com os seguintes passos:
Abra Política de Grupo Editor e navegue para a secção Restrição de Instalação do Dispositivo
Certifique-se de que todas as políticas anteriores de Instalação de Dispositivos estão desativadas, exceto "Aplicar ordem de avaliação em camadas". Este pré-requisito é opcional para estar Ativado/Desativado neste cenário. Embora a política esteja desativada por predefinição, recomenda-se que seja ativada na maioria das aplicações práticas.
Passos do cenário – impedir a instalação de um dispositivo específico
Obter o identificador de dispositivo certo para impedir que seja instalado e a respetiva localização na árvore PnP:
Ligar uma pen USB ao computador
Abrir o Gerenciador de Dispositivos
Localize a pen USB e selecione-a.
Selecionar a pen usb no Gerenciador de DispositivosAltere Vista (no menu superior) para "Dispositivos por ligações". Esta vista representa a forma como os dispositivos são instalados na árvore PnP.
Alterar a vista no Gerenciador de Dispositivos para ver a árvore de ligação PnPObservação
Ao bloquear\Impedir um dispositivo que se encontra mais alto na árvore PnP, todos os dispositivos que se encontram debaixo do mesmo serão bloqueados. Por exemplo: ao impedir a instalação de um "Concentrador USB Genérico", todos os dispositivos que se encontram abaixo de um "Concentrador USB Genérico" serão bloqueados.
Ao bloquear um dispositivo, todos os dispositivos aninhados abaixo do mesmo também serão bloqueadosFaça duplo clique na pen USB e aceda ao separador "Detalhes".
Na janela "Valor", copie o ID de Hardware mais detalhado. Vamos utilizar este valor nas políticas. Neste caso, ID do Dispositivo = USBSTOR\DiskGeneric_Flash_Disk______8.07
IDs de hardware do dispositivo USB
Criar a política para impedir a instalação de uma única pen USB:
Abra Política de Grupo Objeto Editor e clique no botão Iniciar, escreva mmc gpedit.msc na caixa Iniciar Pesquisa e, em seguida, prima ENTER ou escreva "Política de Grupo Editor" da pesquisa do Windows e abra a IU.
Navegue para a página Restrição de Instalação do Dispositivo:
Configuração > do Computador Modelos Administrativos > Restrições de Instalação > do Dispositivo do Sistema >
Abra Impedir a instalação de dispositivos que correspondam a qualquer uma destas políticas de IDs de dispositivo e selecione o botão de opção "Ativar".
No canto inferior esquerdo, na janela "Opções", clique na caixa "Mostrar". Esta opção irá levá-lo para uma tabela onde pode introduzir o identificador do dispositivo para bloquear.
Introduza o ID do dispositivo de pen USB que encontrou acima
USBSTOR\DiskGeneric_Flash_Disk______8.07
.
Impedir lista de IDs de DispositivosClique em 'OK'.
Clique em "Aplicar" no canto inferior direito da janela da política. Esta opção emita a política e bloqueia a pen USB de destino em instalações futuras, mas não se aplica a uma instalação existente.
Opcional – se quiser aplicar a política a uma instalação existente, abra novamente a política Impedir a instalação de dispositivos que correspondam a qualquer um destes IDs de dispositivo . Na janela "Opções", marque a caixa de verificação que diz "aplicar também aos dispositivos correspondentes que já estão instalados".
Cenário de teste 4
Se ainda não concluiu o passo 8, siga estes passos:
- Desinstale a pen USB: Gerenciador de Dispositivos > Unidades > de disco clique com o botão direito do rato na pen USB de > destino e clique em "Desinstalar dispositivo".
- Não deverá conseguir reinstalar o dispositivo.
Se concluiu o passo 8 acima e reiniciou a máquina, procure as unidades de Disco em Gerenciador de Dispositivos e verifique se já não está disponível para utilização.
Cenário n.º 5: Impedir a instalação de todos os dispositivos USB ao mesmo tempo que permite a instalação de apenas uma pen USB autorizada
Agora, com o conhecimento de todos os quatro cenários anteriores, irá aprender a impedir a instalação de uma Classe inteira de dispositivos, permitindo a instalação de uma única pen USB autorizada.
Configurar o ambiente
Configure o ambiente para o cenário com os seguintes passos:
Abra Política de Grupo Editor e navegue para a secção Restrição de Instalação do Dispositivo.
Desative todas as políticas anteriores de Instalação de Dispositivos e ative "Aplicar ordem de avaliação em camadas".
Se existirem políticas ativadas, alterar o respetivo status para "desativado", irá limpá-las de todos os parâmetros.
Tenha uma pen USB disponível para testar a política.
Passos do cenário – impedir a instalação de todos os dispositivos USB, permitindo apenas uma pen USB autorizada
Obter o identificador do dispositivo para as Classes USB e uma pen USB específica e seguir os passos no cenário n.º 1 para localizar o Identificador de classe e o cenário n.º 4 para localizar o Identificador do dispositivo, pode obter os identificadores de que precisa para este cenário:
Dispositivos USB Bus (hubs e controladores anfitriões)
- Classe = USB
- ClassGuid = {36fc9e60-c465-11cf-8056-444553540000}
- Esta classe inclui controladores anfitriões USB e concentradores USB, mas não periféricos USB. Os controladores para esta classe são fornecidos pelo sistema.
Dispositivo USB
- Classe = USBDevice
- ClassGuid = {88BAE032-5A81-49f0-BC3D-A4FF138216D6}
- O USBDevice inclui todos os dispositivos USB que não pertencem a outra classe. Esta classe não é utilizada para controladores anfitriões e hubs USB.
Hardware ID = USBSTOR\DiskGeneric_Flash_Disk______8.07
Conforme mencionado no cenário n.º 4, não basta ativar apenas um único ID de hardware para ativar uma única pen USB. O administrador de TI tem de garantir que todos os dispositivos USB anteriores ao destino também não estão bloqueados (permitidos). No nosso caso, os seguintes dispositivos têm de ser permitidos para que a pen USB de destino também possa ser permitida:
- "Intel(R) USB 3.0 eXtensible Host Controller - 1.0 (Microsoft)" -> PCI\CC_0C03
- "Usb Root Hub (USB 3.0)" -> USB\ROOT_HUB30
- "Concentrador USB Genérico" -> USB\USB20_HUB
Dispositivos USB aninhados entre si na árvore PnP
Estes dispositivos são dispositivos internos no computador que definem a ligação de porta USB para o mundo exterior. A sua ativação não deve permitir que nenhum dispositivo externo/periférico seja instalado no computador.
Importante
Alguns dispositivos no sistema têm várias camadas de conectividade para definir a instalação no sistema. As pen USB são esses dispositivos. Assim, ao procurar bloquear ou permitir que sejam bloqueados num sistema, é importante compreender o caminho da conectividade para cada dispositivo. Existem vários IDs de Dispositivo genéricos que são frequentemente utilizados em sistemas e podem fornecer um bom começo para criar uma "Lista de permissões" nesses casos. Veja abaixo a lista:
PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST (para Controladores Anfitriões)/ USB\ROOT_HUB30; USB\ROOT_HUB20 (para Usb Root Hubs)/ USB\USB20_HUB (para Concentradores USB Genéricos)/
Especificamente para computadores de secretária, é muito importante listar todos os dispositivos USB através dos quais os teclados e ratos estão ligados na lista acima. Se não o fizer, poderá impedir um utilizador de aceder ao respetivo computador através de dispositivos HID.
Por vezes, diferentes fabricantes de PC têm diferentes formas de aninhar dispositivos USB na árvore PnP, mas, em geral, é assim que é feito.
Primeiro, crie uma política "Impedir Classe" e, em seguida, crie uma política "Permitir Dispositivo":
Abra Política de Grupo Objeto Editor: clique no botão Iniciar, escreva mmc gpedit.msc na caixa Iniciar Pesquisa e, em seguida, prima ENTER; ou escreva na pesquisa do Windows "Política de Grupo Editor" e abra a IU.
Navegue para a página Restrição de Instalação do Dispositivo:
Configuração > do Computador Modelos Administrativos > Restrições de Instalação > do Dispositivo do Sistema >
Certifique-se de que todas as políticas estão desativadas
Abra Impedir a instalação de dispositivos através de controladores que correspondam a esta política de classes de configuração de dispositivos e selecione o botão de opção "Ativar".
No canto inferior esquerdo, na janela "Opções", clique em "Mostrar...". caixa. Esta opção irá levá-lo para uma tabela onde pode introduzir o identificador de classe a bloquear.
Introduza o GUID de ambas as classes USB que encontrou acima com as chavetas:
{36fc9e60-c465-11cf-8056-444553540000}/ {88BAE032-5A81-49f0-BC3D-A4FF138216D6}
Clique em 'OK'.
Clique em "Aplicar" no canto inferior direito da janela da política. Esta opção emita a política e bloqueia todas as futuras instalações de dispositivos USB, mas não se aplica a instalações existentes.
Importante
O passo anterior impede a instalação de todos os dispositivos USB futuros. Antes de avançar para o passo seguinte, certifique-se de que tem a lista o mais completa possível de todos os Controladores anfitriões USB, Hubs de Raiz USB e IDs de Dispositivos Usb Hubs Genéricos disponíveis para impedir que interaja com o seu sistema através de teclados e ratos.
Abra a política Aplicar ordem de avaliação em camadas para Permitir e Impedir que as políticas de instalação de dispositivos em todos os dispositivos correspondam a critérios e ative-as. Esta política permite-lhe substituir a ampla cobertura da política "Impedir" por um dispositivo específico.
Aplicar ordem de avaliação em camadasAgora, abra Permitir a instalação de dispositivos que correspondam a qualquer uma destas políticas de IDs de dispositivo e selecione o botão de opção "Ativar".
No canto inferior esquerdo, na janela "Opções", clique em "Mostrar...". caixa. Esta opção irá levá-lo para uma tabela onde pode introduzir o identificador do dispositivo a permitir.
Introduza a lista completa de IDs de dispositivo USB que encontrou acima, incluindo a pen USB específica que pretende autorizar para instalação.
USBSTOR\DiskGeneric_Flash_Disk______8.07
Lista de IDs de Dispositivo USB permitidosClique em 'OK'.
Clique em "Aplicar" no canto inferior direito da janela da política.
Para aplicar a cobertura "Impedir" de todos os dispositivos USB atualmente instalados, abra a política Impedir a instalação de dispositivos com controladores que correspondam novamente a estas classes de configuração de dispositivos ; na janela "Opções", marque a caixa de verificação que diz "aplicar também aos dispositivos correspondentes que já estão instalados" e clique em "OK".
Cenário de teste 5
Não deverá conseguir instalar nenhuma pen USB, exceto a que autorizou para utilização.