Izinkan hanya perangkat USB yang dikeluarkan perusahaan untuk digunakan [ditutup]

1

Saya mencoba melakukan beberapa penyesuaian pada gambar instalasi Windows 10 Enterprise kami yang sedang digunakan untuk beberapa titik akhir. Secara khusus, saya mencoba menerapkan batasan pada konektivitas perangkat USB untuk meningkatkan keamanan:

  • Cegah pemasangan dan penggunaan perangkat periferal USB apa pun (keyboard, dll.)
  • Cegah pemasangan dan penggunaan perangkat penyimpanan USB apa pun yang tidak dikeluarkan oleh perusahaan
  • Gunakan perangkat penyimpanan USB yang dikeluarkan perusahaan yang, setelah dimasukkan, "membuka" penggunaan perangkat periferal
  • Setelah perangkat penyimpanan USB yang dikeluarkan perusahaan dihapus, sekali lagi cegah penggunaan perangkat periferal USB apa pun

Apakah hal seperti ini mungkin terjadi?

Berikut adalah beberapa hal yang saya coba lakukan:

  • Saya sudah mencoba mengkonfigurasi GP untuk mencegah instalasi perangkat apa pun, tetapi itu sebenarnya tidak akan bekerja untuk kita karena akan ada kebutuhan bagi kita untuk benar-benar terhubung ke titik akhir tersebut;
  • Saya telah mencoba memasukkan daftar putih beberapa perangkat, yang berfungsi dengan baik, namun saya terjebak dengan daftar putih Device ID, yang tidak akan berfungsi karena saya ingin dapat mengeluarkan banyak dari drive USB yang bertindak sebagai kunci untuk "membuka" penggunaan perangkat USB;
  • Saya sudah mencoba membuat aplikasi yang mendengarkan USB connect / disconnect dan mencoba melakukan sesuatu di sana, tetapi dengan sedikit keberhasilan.

Sama seperti bukti konsep, saya memasukkan satu perangkat USB dan membuat autorun untuk perangkat itu untuk meminta perubahan GP dan yang berfungsi pada koneksi, namun tidak benar-benar yakin bagaimana mengatasi terputusnya situasi tersebut. Tapi sekali lagi, bukan itu yang ingin kita lakukan. Apakah ada cara untuk mengubah atau memperkaya informasi perangkat drive USB, untuk memasukkan beberapa info tambahan, seperti ID khusus yang akan kami buat dan kemudian secara otomatis memasukkan daftar putih semua perangkat yang memiliki nilai tersebut?

Pada akhirnya, sebenarnya ada dua pertanyaan di sini:

  • adalah skenario yang terdaftar di awal bahkan mungkin untuk diterapkan dan
  • apakah mungkin mengubah / memperkaya informasi perangkat USB agar dapat membuat daftar putih beberapa perangkat dengan mudah melalui kebijakan grup?

Setiap bantuan di sini akan dihargai!

Milan
sumber
sewa mengklarifikasi masalah spesifik Anda atau menambahkan detail tambahan untuk menyorot apa yang Anda butuhkan. Saat ini sedang ditulis, sulit untuk mengatakan dengan tepat apa yang Anda minta.
Ramhound
@Ramhound Semoga saya sudah membuatnya lebih jelas sekarang. Secara keseluruhan, ada dua pertanyaan yang saya ajukan di sana: apakah skenario yang saya cantumkan layak dan memungkinkan untuk memperkaya informasi perangkat agar memiliki kontrol lebih besar atas cara kami menyediakan dan memasukkan daftar putih perangkat tersebut.
Milan
@Milan, pertanyaan Anda sangat luas dan membutuhkan pertimbangan profesional yang mendalam. Fungsionalitas yang Anda cari mungkin bisa dilakukan, tetapi mungkin tidak gratis menggunakan alat MS, dan mungkin tidak andal saat OS ditingkatkan dan perangkat baru keluar. Anda mungkin mencapainya dengan pemrograman kustom, tetapi kemudian Anda terjebak mempertahankan kode kustom itu. Sophos dan perangkat lunak antivirus lainnya dapat membuat daftar hitam jenis perangkat USB tertentu, dan mungkin ada alternatif daftar putih.
Christopher Hostage