Estoy tratando de personalizar la imagen de instalación de Windows 10 Enterprise que se está implementando en varios puntos finales. Específicamente, estoy tratando de imponer limitaciones a la conectividad del dispositivo USB para mejorar la seguridad:
- Evite la instalación y el uso de cualquier dispositivo periférico USB (teclados, etc.)
- Evite la instalación y el uso de cualquier dispositivo de almacenamiento USB que no sea emitido por la compañía
- Utilice un dispositivo de almacenamiento USB emitido por la compañía que, una vez insertado, "desbloquea" el uso de dispositivos periféricos
- Una vez que se retira ese dispositivo de almacenamiento USB emitido por la compañía, evite nuevamente el uso de cualquier dispositivo periférico USB
¿Es posible algo como esto?
Aquí hay un par de cosas que he intentado hacer:
- He intentado configurar GP para evitar la instalación de cualquier dispositivo, pero eso en realidad no va a funcionar para nosotros ya que será necesario que realmente nos conectemos a esos puntos finales;
- Traté de incluir en la lista blanca algunos de los dispositivos, lo que funciona bien, sin embargo, estoy atascado con la lista blanca de ID de dispositivo, que no funcionará ya que me gustaría poder emitir varias de esas unidades USB que actúan como clave para "desbloqueo" del uso del dispositivo USB;
- Intenté crear una aplicación que escuche la conexión / desconexión USB e intente hacer algo allí, pero con poco éxito.
Solo como prueba de concepto, incluí en la lista blanca un dispositivo USB y creé una ejecución automática para ese dispositivo con el fin de invocar cambios de GP y eso funciona en la conexión, sin embargo, no estoy realmente seguro de cómo abordar las desconexiones en esas situaciones. Pero, de nuevo, eso no es lo que queremos hacer. ¿Hay alguna manera de modificar o enriquecer la información del dispositivo de una unidad USB, para incluir información adicional, como una ID personalizada que generaríamos y luego automáticamente para incluir en la lista blanca todos los dispositivos que tienen ese valor?
Al final, en realidad hay dos preguntas aquí:
- es el escenario enumerado al principio, incluso posible implementar y
- ¿Es posible modificar / enriquecer la información del dispositivo USB para poder incluir en la lista blanca múltiples dispositivos fácilmente a través de la política de grupo?
Cualquier ayuda aquí sería apreciada!
fuente