Permitir que solo se usen dispositivos USB emitidos por la compañía [cerrado]

1

Estoy tratando de personalizar la imagen de instalación de Windows 10 Enterprise que se está implementando en varios puntos finales. Específicamente, estoy tratando de imponer limitaciones a la conectividad del dispositivo USB para mejorar la seguridad:

  • Evite la instalación y el uso de cualquier dispositivo periférico USB (teclados, etc.)
  • Evite la instalación y el uso de cualquier dispositivo de almacenamiento USB que no sea emitido por la compañía
  • Utilice un dispositivo de almacenamiento USB emitido por la compañía que, una vez insertado, "desbloquea" el uso de dispositivos periféricos
  • Una vez que se retira ese dispositivo de almacenamiento USB emitido por la compañía, evite nuevamente el uso de cualquier dispositivo periférico USB

¿Es posible algo como esto?

Aquí hay un par de cosas que he intentado hacer:

  • He intentado configurar GP para evitar la instalación de cualquier dispositivo, pero eso en realidad no va a funcionar para nosotros ya que será necesario que realmente nos conectemos a esos puntos finales;
  • Traté de incluir en la lista blanca algunos de los dispositivos, lo que funciona bien, sin embargo, estoy atascado con la lista blanca de ID de dispositivo, que no funcionará ya que me gustaría poder emitir varias de esas unidades USB que actúan como clave para "desbloqueo" del uso del dispositivo USB;
  • Intenté crear una aplicación que escuche la conexión / desconexión USB e intente hacer algo allí, pero con poco éxito.

Solo como prueba de concepto, incluí en la lista blanca un dispositivo USB y creé una ejecución automática para ese dispositivo con el fin de invocar cambios de GP y eso funciona en la conexión, sin embargo, no estoy realmente seguro de cómo abordar las desconexiones en esas situaciones. Pero, de nuevo, eso no es lo que queremos hacer. ¿Hay alguna manera de modificar o enriquecer la información del dispositivo de una unidad USB, para incluir información adicional, como una ID personalizada que generaríamos y luego automáticamente para incluir en la lista blanca todos los dispositivos que tienen ese valor?

Al final, en realidad hay dos preguntas aquí:

  • es el escenario enumerado al principio, incluso posible implementar y
  • ¿Es posible modificar / enriquecer la información del dispositivo USB para poder incluir en la lista blanca múltiples dispositivos fácilmente a través de la política de grupo?

Cualquier ayuda aquí sería apreciada!

Milán
fuente
Arrendamiento aclare su problema específico o agregue detalles adicionales para resaltar exactamente lo que necesita. Como está escrito actualmente, es difícil saber exactamente lo que estás preguntando.
Ramhound
@Ramhound Espero haberlo dejado más claro ahora. En general, hay dos preguntas que hago: es factible el escenario que he enumerado y es posible enriquecer la información del dispositivo para tener más control sobre cómo aprovisionamos y colocamos en la lista blanca los dispositivos.
Milán
@ Milan, su pregunta es muy amplia y requiere una consideración profesional en profundidad. La funcionalidad que está buscando probablemente se puede hacer, pero probablemente no de forma gratuita utilizando herramientas de MS, y probablemente no de manera confiable a medida que se actualizan los sistemas operativos y salen nuevos dispositivos. Puede lograrlo con una programación personalizada, pero luego está atascado manteniendo ese código personalizado. Sophos y otro software antivirus pueden incluir en la lista negra tipos específicos de dispositivos USB, y quizás haya alternativas a la lista blanca.
Christopher Hostage