複数のエンドポイントに展開されているWindows 10 Enterpriseインストールイメージをカスタマイズしようとしています。具体的には、セキュリティを向上させるために、USBデバイスの接続に制限を課そうとしています。
- USB周辺機器(キーボードなど)のインストールと使用を防止する
- 会社発行でないUSBストレージデバイスのインストールと使用を防止する
- 会社が発行したUSBストレージデバイスを使用します。USBストレージデバイスを挿入すると、周辺機器の使用を「ロック解除」
- その会社が発行したUSBストレージデバイスが削除されたら、USB周辺機器の使用を再度禁止します
どういうわけかこのようなことは可能ですか?
ここに私が試したことがいくつかあります:
- デバイスのインストールを防止するためにGPを構成しようとしましたが、それらのエンドポイントに実際に接続する必要があるため、実際には機能しません。
- 一部のデバイスをホワイトリストに登録しようとしましたが、正常に動作しますが、デバイスIDのホワイトリストにはまり込んでいます。 USBデバイスの使用の「ロック解除」。
- USB接続/切断をリッスンするアプリを作成して、そこで何かを実行しようとしましたが、ほとんど成功しませんでした。
概念実証として、1つのUSBデバイスをホワイトリストに登録し、GPの変更を呼び出すためにそのデバイスの自動実行を作成しました。しかし、再び、それは私たちがやりたいことではありません。USBドライブのデバイス情報を変更または強化して、生成するカスタムIDなどの追加情報を追加し、その値を持つすべてのデバイスを自動的にホワイトリストに登録する方法はありますか?
最後に、実際には2つの質問があります。
- 最初にリストされたシナリオは実装可能であり、
- グループポリシーを介して複数のデバイスを簡単にホワイトリストに登録できるようにするために、USBデバイス情報を変更/強化することは可能ですか?
ここで助けていただければ幸いです!
特定の問題を明確にするか、詳細を追加して、必要なものを正確に強調します。現在書かれているように、あなたが何を求めているのかを正確に伝えるのは難しいです。
—
ラムハウンド
@Ramhoundうまくいけば、私はそれをもっと明確にした。全体として、私が尋ねている2つの質問があります:実行可能と記載したシナリオと、デバイスのプロビジョニングとホワイトリストの作成方法をより細かく制御するために、デバイス情報を充実させることです。
—
ミラノ
@Milan、あなたの質問は非常に広範であり、専門的な詳細な検討が必要です。お探しの機能はおそらく実行できますが、MSツールを使用して無料ではない可能性があります。また、OSがアップグレードされて新しいデバイスがリリースされると、おそらく信頼性が低くなります。カスタムプログラミングでそれを達成することもできますが、その場合はそのカスタムコードを維持する必要があります。ソフォスおよびその他のウイルス対策ソフトウェアは、特定の種類のUSBデバイスをブラックリストに登録できます。おそらく、ホワイトリストに代わるものがあります。
—
クリストファー人質