共用方式為


使用群組原則管理裝置安裝

系統管理員可以使用 Windows 作業系統,判斷哪些裝置可以安裝在他們管理的電腦上。 本指南摘要說明裝置安裝程式,並示範數種使用 群組原則 控制裝置安裝的技術。

簡介

一般

本逐步指南說明如何在您管理的計算機上控制裝置安裝,包括指定使用者可以和無法安裝的裝置。 本指南適用於從 Windows 10 版本 1809 開始的所有 Windows 版本。 本指南包含下列案例:

  • 防止使用者安裝「禁止」清單上的裝置。 如果裝置不在清單中,則使用者可以安裝它。
  • 允許使用者只安裝「已核准」清單上的裝置。 如果裝置不在清單中,則使用者無法安裝它。

本指南說明裝置安裝程式,並介紹 Windows 用來比對裝置與電腦上可用設備驅動器套件的裝置識別字串。 本指南也會說明控制裝置安裝的兩種方法。 每個案例會逐步顯示一個方法,可用來允許或防止安裝特定裝置或裝置類別。

案例中使用的範例裝置是USB記憶體裝置。 您可以使用不同的裝置來執行本指南中的步驟。 不過,如果您使用不同的裝置,則指南中的指示不會完全符合計算機上出現的使用者介面。

請務必瞭解,本指南中呈現的組策略只會套用至機器/計算機群組,而不會套用至使用者/使用者群組。

重要

本指南中提供的步驟適用於測試實驗室環境。 本逐步指南並非用來部署沒有隨附檔的 Windows Server 功能,而且應該以獨立檔的形式隨選使用。

誰應該使用本指南?

本指南以下列對象為目標:

  • 評估 Windows 10、Windows 11 或 Windows Server 2022 的資訊技術規劃人員和分析師
  • 企業資訊技術規劃人員和設計人員
  • 負責在其組織中實作可信任運算的安全性架構設計人員
  • 想要熟悉技術的系統管理員

使用 群組原則 控制裝置安裝的優點

限制使用者可以安裝的裝置可降低數據竊取的風險,並降低支援成本。

降低數據竊取的風險

如果使用者的計算機無法安裝支援卸除式媒體的未經核准裝置,使用者就更難以製作未經授權的公司數據複本。 例如,如果使用者無法安裝 USB Thumb-drive 裝置,他們就無法將公司數據的複本下載到抽取式記憶體。 這項優點無法消除數據竊取,但會對未經授權的數據移除造成另一個障礙。

降低支援成本

您可以確保使用者只安裝您的技術支援小組已訓練並具備支援能力的裝置。 此權益可減少支援成本和使用者混淆。

案例概觀

本指南所呈現的案例說明如何在您管理的計算機上控制裝置安裝和使用量。 這些案例會在本機計算機上使用 群組原則,以簡化在實驗室環境中使用程式的程式。 在您管理多部用戶端計算機的環境中,您應該使用 群組原則 來套用這些設定。 透過 Active Directory 部署 群組原則,您可以將設定套用至網域成員或網域中組織單位的所有電腦。 如需如何建立組策略物件以管理用戶端計算機的詳細資訊,請參閱建立 群組原則物件

案例 描述
案例 1:防止安裝所有印表機 在此案例中,系統管理員想要防止使用者安裝任何印表機。 因此,這是一個基本案例,可讓您瞭解 群組原則 中裝置安裝原則的「防止/允許」功能。
案例 2:防止安裝特定印表機 在此案例中,系統管理員允許標準使用者安裝所有印表機,但防止他們安裝特定印表機。
案例 3:防止安裝所有印表機,同時允許安裝特定印表機 在此案例中,您會結合從案例 #1 和案例 #2 學到的內容。 系統管理員想要允許標準使用者只安裝特定印表機,同時防止安裝所有其他印表機。 此案例較為實際,可讓您更進一步了解裝置安裝限制原則。
案例 4:防止安裝特定 USB 裝置 此案例雖然與案例 2 類似,但會帶來另一層複雜度,也包括裝置連線如何在 PnP 樹狀結構中運作。 系統管理員想要防止標準使用者安裝特定的USB裝置。 在案例結束時,您應該了解裝置在 PnP 裝置連線樹狀結構下層的巢狀方式。
案例 5:防止安裝所有 USB 裝置,同時只允許安裝授權的 USB Thumb 磁碟驅動器 在此案例中,結合前四個案例,您將瞭解如何保護計算機免於所有未經授權的USB裝置。 系統管理員想要允許使用者只安裝一小組授權的 USB 裝置,同時防止安裝任何其他 USB 裝置。 此外,此案例包含如何將「防止」功能套用至已安裝在計算機上的現有USB裝置的說明,而系統管理員喜歡防止與它們進行任何進一步的互動, (將它們全部封鎖在一起) 。 此案例是以我們在前四個案例中引進的原則和結構為基礎,因此建議您在嘗試此案例之前先加以移轉。

技術檢閱

下列各節提供本指南中所討論核心技術的簡短概觀,並提供瞭解案例所需的背景資訊。

Windows 中的裝置安裝

裝置是一種硬體,Windows 會與其互動以執行某些功能,或在更技術性定義中,它是在 Windows 隨插即用 子系統中具有唯一表示法的單一硬體元件實例。 Windows 只能透過稱為設備驅動器 (也稱為驅動程式) 的軟體來與裝置通訊。 若要安裝驅動程式,Windows 會偵測裝置、辨識其類型,然後尋找符合該類型的驅動程式。

當 Windows 偵測到電腦上從未安裝過的裝置時,操作系統會查詢裝置以擷取其裝置識別字串清單。 裝置通常具有裝置製造商指派的多個裝置識別字串。 .inf 檔案中包含相同的裝置識別字串, (也稱為屬於驅動程式套件的 INF) 。 Windows 會藉由比對從裝置擷取的裝置識別字串與驅動程式套件隨附的字串,選擇要安裝的驅動程式套件。

Windows 使用四種類型的標識碼來控制裝置安裝和設定。 您可以使用 Windows 中的 群組原則 設定來指定要允許或封鎖哪些識別碼。

四種識別碼類型為:

  • 裝置實例標識碼
  • 裝置標識碼
  • 裝置設定類別
  • 「卸載式裝置」裝置類型

裝置實例標識碼

裝置實例識別碼是系統提供的裝置識別字串,可唯一識別系統中的裝置。 隨插即用 (PnP) 管理員會將裝置實例識別碼指派給系統裝置樹狀結構中 devnode) (每個裝置節點。

裝置標識碼

Windows 可以使用每個字串來比對裝置與驅動程式套件。 字串的範圍從特定、符合裝置的單一製造和型號,到一般,可能套用至整個裝置類別。 裝置識別字串有兩種類型:硬體識別碼和相容識別碼。

硬體標識碼

硬體標識碼是提供裝置與驅動程式套件之間完全相符的標識碼。 硬體標識符清單中的第一個字串稱為裝置標識碼,因為它符合裝置的確切製作、型號和修訂。 清單中的其他硬體標識碼較不完全符合裝置的詳細數據。 例如,硬體標識碼可能會識別裝置的製造和型號,但無法識別特定修訂。 如果無法使用正確修訂的驅動程式,此配置可讓 Windows 針對裝置的不同修訂使用驅動程式。

相容標識碼

如果操作系統找不到與裝置標識碼或任何其他硬體標識符相符的專案,Windows 會使用這些標識碼來選取驅動程式。 相容標識碼會以降低適用性的順序列出。 這些字串是選擇性的,而且在提供時為泛型字串,例如磁碟。 使用相容識別碼進行比對時,您通常只能使用裝置最基本的功能。

當您安裝印表機、USB 記憶體裝置或鍵盤等裝置時,Windows 會搜尋符合您嘗試安裝之裝置的驅動程式套件。 在此搜尋期間,Windows 會將「排名」指派給它所探索的每個驅動程式套件,其中至少有一個與硬體或相容標識符相符的相符專案。 排名會指出驅動程式與裝置相符的程度。 較低的排名數位表示驅動程式與裝置之間的相符專案較佳。 零的排名代表可能的最佳相符專案。 將裝置識別碼與驅動程式套件中的裝置標識符相符,會導致 (比其他硬體標識符相符) 等級更低。 同樣地,與硬體標識碼的比對會產生比任何相容標識符相符更好的排名。 在 Windows 排名所有驅動程式套件之後,它會安裝整體排名最低的驅動程式套件。 如需排名和選取驅動程式套件程式的詳細資訊,請參閱 Windows 如何選取裝置的驅動程式套件

注意

如需驅動程式安裝程式的詳細資訊,請參閱驅動程式簽署和預備的逐步指南中的一節。

某些實體裝置會在安裝時建立一或多個邏輯裝置。 每個邏輯裝置可能會處理實體裝置的部分功能。 例如,多函式裝置,例如一體掃描器/傳真/印表機,可能會針對每個函式有不同的裝置識別字串。

當您使用裝置安裝原則來允許或防止安裝使用邏輯裝置的裝置時,您必須允許或防止該裝置的所有裝置識別字串。 例如,如果使用者嘗試安裝多功能裝置,但您不允許或防止實體和邏輯裝置的所有識別字串,您可能會收到安裝嘗試的非預期結果。 如需硬體識別碼的詳細資訊,請參閱 裝置識別字串

裝置設定類別

裝置安裝類別 (也稱為 類別) 是另一種類型的識別字串。 製造商會將 類別指派給驅動程式套件中的裝置。 類別會以相同方式將安裝和設定的裝置分組。 例如,所有生物特徵辨識裝置都屬於 Biometric Class (ClassGuid = {53D29EF7-377C-4D14-864B-EB3A85769359}) ,且安裝時會使用相同的共同安裝程式。 稱為 GUID (全域唯一識別碼的長數位) 代表每個裝置安裝類別。 當 Windows 啟動時,它會建置記憶體內部樹狀結構,其中包含所有偵測到裝置的 GUID。 除了裝置本身類別的 GUID,Windows 可能需要將裝置所連接總線類別的 GUID 插入樹狀結構中。

當您使用裝置類別來允許或防止使用者安裝驅動程式時,您必須指定裝置所有裝置安裝類別的 GUID,否則可能無法達到您想要的結果。 如果您想要) 成功,安裝可能會失敗 (或者如果您想要) 失敗,它可能會成功 (。

例如,多函式裝置,例如一般多函式裝置的 GUID、印表機函式的 GUID、掃描儀函式的 GUID 等等。 個別函式的 GUID 是多函式裝置 GUID 下的「子節點」。 若要安裝子節點,Windows 也必須能夠安裝父節點。 除了印表機和掃描器函式的任何子 GUID 以外,您還必須允許安裝多函式裝置的父 GUID 裝置安裝類別。

如需詳細資訊,請參閱裝置安裝類別

本指南不會描述任何使用裝置安裝類別的案例。 不過,本指南中以裝置識別字串示範的基本原則也適用於裝置安裝類別。 探索特定裝置的裝置安裝類別之後,您就可以在原則中使用它,以允許或防止安裝該裝置類別的驅動程式。

下列兩個連結提供裝置安裝類別的完整清單。 'System Use' 類別大多是指來自工廠的計算機/計算機隨附的裝置,而 'Vendor' 類別大多是指可能連線到現有計算機/計算機的裝置:

「卸載式裝置」裝置類型

某些裝置可以分類為 卸除式裝置。 當裝置所連接裝置的驅動程式指出裝置是 可移動 的時,就會將裝置視為可卸除。 例如,USB 裝置會回報為裝置所連線之 USB 中樞的驅動程式可卸除。

群組原則裝置安裝的設定

群組原則 是一種基礎結構,可讓您透過 群組原則 設定和 群組原則 喜好設定,為使用者和計算機指定受控組態。

群組原則 中的 [裝置安裝] 區段是一組原則,可控制哪些裝置可以或無法安裝在計算機上。 不論您要將設定套用至獨立計算機或 Active Directory 網域中的許多電腦,您都會使用 群組原則 物件 編輯器 來設定及套用原則設定。 如需詳細資訊,請參閱 群組原則 物件 編輯器

下列段落是本指南中所使用裝置安裝原則的簡短描述。

注意

裝置安裝控制項只會套用至電腦 ( 計算機設定 ) ,而非 ( 用戶設定的使用者 ) Windows OS 設計的本質。 這些原則設定會影響所有登入套用原則設定之計算機的使用者。 除了 [允許系統管理員覆寫裝置安裝原則] 原則以外,您無法將這些原則套用至特定使用者或群組。 此原則會藉由設定本節所述的其他原則設定,讓本機 Administrators 群組的成員免於您套用至計算機的任何裝置安裝限制。

允許系統管理員覆寫裝置安裝限制原則

此原則設定可讓本機 Administrators 群組的成員安裝及更新任何裝置的驅動程式,而不論其他原則設定為何。 如果啟用此原則設定,系統管理員可以使用 [新增硬體精靈] 或 [更新驅動程序精靈] 來安裝和更新任何裝置的驅動程式。 如果您停用或未設定此原則設定,系統管理員會受限於限制裝置安裝的所有原則設定。

允許安裝符合任何這些裝置標識碼的裝置

此原則設定會指定 隨插即用 硬體識別碼和相容標識碼的清單,這些標識符會描述使用者可以安裝的裝置。 此設定僅適用於啟用 [防止其他原則設定未描述的裝置安裝] 原則設定,而且不會優先於任何會防止使用者安裝裝置的原則設定。 如果啟用此原則設定,如果防止安裝符合這些裝置標識碼的裝置原則設定[防止安裝符合這些裝置標識符的裝置] 原則設定,使用者可以使用符合此清單中標識碼的硬體標識碼或相容標識符來安裝和更新任何裝置, 或 [防止安裝卸除式裝置] 原則設定。 如果另一個原則設定防止使用者安裝裝置,即使此原則設定中的值也描述裝置,使用者還是無法安裝裝置。 如果您停用或未設定此原則設定,而且沒有其他原則描述裝置,[防止其他原則設定未描述的裝置安裝] 原則設定會決定使用者是否可以安裝裝置。

允許安裝符合任何這些裝置實例標識碼的裝置

此原則設定可讓您針對允許 Windows 安裝的裝置,指定 隨插即用 裝置實例識別碼的清單。 只有在啟用 [防止安裝其他原則設定未描述的裝置] 原則設定時,才使用此原則設定。 其他防止裝置安裝的原則設定優先於此原則設定。 如果啟用此原則設定,則允許 Windows 安裝或更新其 隨插即用 裝置實例識別碼出現在您所建立清單中的任何裝置,除非另一個原則設定特別防止該安裝 (例如,[防止安裝符合這些裝置標識符的裝置] 原則設定、[防止安裝這些裝置類別的裝置] 原則設定、 [防止安裝符合這些裝置實例標識符的裝置] 原則設定,或 [防止安裝卸除式裝置] 原則設定) 。 如果您在遠端桌面伺服器上啟用此原則設定,原則設定會影響指定裝置從遠端桌面用戶端重新導向至遠端桌面伺服器。

允許使用符合這些裝置安裝類別的驅動程式來安裝裝置

此原則設定會指定描述使用者可以安裝之裝置的裝置安裝類別 GUID 清單。 此設定僅適用於啟用 [防止其他原則設定未描述的裝置安裝] 原則設定,而且不會優先於任何會防止使用者安裝裝置的原則設定。 如果啟用此設定,如果防止安裝符合這些裝置識別碼的裝置原則設定[防止安裝符合這些裝置識別符的裝置] 原則設定、[防止安裝這些裝置類別的裝置] 原則設定,使用者可以使用符合此清單中其中一個標識符的硬體標識符或相容標識符來安裝和更新任何裝置。 或 [防止安裝卸除式裝置] 原則設定。 如果另一個原則設定防止使用者安裝裝置,即使此原則設定中的值也描述裝置,使用者還是無法安裝裝置。 如果您停用或未設定此原則設定,而且沒有其他原則設定描述裝置,[防止其他原則設定未描述的裝置安裝] 原則設定會決定使用者是否可以安裝裝置。

防止安裝符合這些裝置標識碼的裝置

此原則設定會針對使用者無法安裝的裝置,指定 隨插即用 硬體識別碼和相容標識碼的清單。 如果您啟用此原則設定,如果裝置的硬體識別碼或相容標識元符合此列表中的硬體識別碼,使用者就無法安裝或更新其驅動程式。 如果您停用或未設定此原則設定,用戶可以安裝裝置並更新其驅動程式,如裝置安裝的其他原則設定所允許。 注意:此原則設定的優先順序高於允許使用者安裝裝置的任何其他原則設定。 此原則設定可防止使用者安裝裝置,即使其符合允許安裝該裝置的另一個原則設定也一般。

防止安裝符合任何這些裝置實例標識碼的裝置

此原則設定可讓您為 Windows 無法安裝的裝置指定 隨插即用 裝置實例識別碼清單。 此原則設定的優先順序高於允許 Windows 安裝裝置的任何其他原則設定。 如果啟用此原則設定,Windows 將無法安裝裝置實例標識碼出現在您所建立清單中的裝置。 如果您在遠端桌面伺服器上啟用此原則設定,原則設定會影響指定裝置從遠端桌面用戶端重新導向至遠端桌面伺服器。 如果您停用或未設定此原則設定,則可以依照其他原則設定所允許或防止的方式來安裝和更新裝置。

使用符合這些裝置安裝類別的驅動程式來防止安裝裝置

此原則設定會針對使用者無法安裝的裝置,指定 隨插即用 裝置安裝類別 GUID 的清單。 如果啟用此原則設定,使用者就無法安裝或更新屬於任何列出之裝置安裝類別的裝置。 如果您停用或未設定此原則設定,使用者可以依照其他裝置安裝原則設定所允許的方式安裝和更新裝置。 注意:此原則設定的優先順序高於允許使用者安裝裝置的任何其他原則設定。 此原則設定可防止使用者安裝裝置,即使其符合允許安裝該裝置的另一個原則設定也一般。

針對所有裝置比對準則套用允許和防止裝置安裝原則的分層評估順序

此原則設定會變更當多個安裝原則設定適用於指定裝置時,套用允許和防止原則設定的評估順序。 啟用此原則設定,以確保根據已建立的階層套用重疊裝置比對準則,其中更特定的比對準則會取代較不明確的比對準則。 指定裝置比對準則之原則設定的評估階層順序如下:

裝置實例標識碼>裝置標識碼>裝置安裝類別>卸除式裝置

注意

此原則設定提供比 [防止安裝其他原則設定未描述的裝置] 原則設定更細微的控制。 如果同時啟用這些衝突的原則設定,將會啟用 [允許和防止所有裝置比對準則的裝置安裝原則套用分層評估順序] 原則設定,並忽略其他原則設定。

如果您停用或未設定此原則設定,則會使用預設評估。 根據預設,所有「防止安裝...」原則設定的優先順序高於允許 Windows 安裝裝置的任何其他原則設定。

其中一些原則的優先順序高於其他原則。 下列流程圖說明 Windows 如何處理它們,以判斷使用者是否可以安裝裝置。

裝置安裝原則流程圖。
裝置安裝原則流程圖

完成案例的需求

一般

若要完成每個案例,請確定您有:

  • 執行 Windows 的用戶端電腦。
  • USB Thumb 磁碟驅動器。 本指南中所述的案例會使用USB Thumb磁碟驅動器作為範例裝置 (也稱為「可移動磁碟驅動器」、「記憶體磁碟驅動器」、「快閃磁碟驅動器」或「密鑰驅動器」) 。 大部分的 USB Thumb 磁碟驅動器不需要任何製造商提供的驅動程式,而且這些裝置會使用 Windows 組建所提供的收件匣驅動程式。
  • 計算機上預安裝的 USB/網路印表機。
  • 存取測試計算機上的系統管理員帳戶。 本指南中的程式在大部分步驟中都需要系統管理員許可權。

瞭解套用「防止」原則回溯的含意

所有「防止」原則都可以在原則生效之前,將區塊功能套用至已安裝在計算機上的裝置。 當系統管理員不確定計算機上裝置的安裝歷程記錄,而且想要確定原則適用於所有裝置時,建議使用此選項。

例如:計算機上已安裝印表機,防止安裝所有印表機會封鎖任何未來的印表機安裝,同時只讓已安裝的印表機保持可用性。 若要套用區塊回溯,系統管理員應該勾選 [將此原則套用至已安裝的裝置] 選項。 標示此選項會防止存取已安裝的裝置,以及任何未來的裝置。

此選項是功能強大的工具,但必須謹慎使用。

重要

將 [防止追溯] 選項套用至重要裝置可能會使機器變得無用/無法接受! 例如:防止所有「磁碟驅動器」追溯,可能會封鎖OS開機所在磁碟的存取;防止追溯所有 『Net』 可能會封鎖這部電腦存取網路,並修正系統管理員必須有直接連線的問題。

判斷裝置識別字串

依照這些步驟,您可以判斷裝置的裝置識別字串。 如果您裝置的硬體識別碼和相容標識碼不符合本指南所示的標識碼,請使用適用於您裝置的標識碼 (此原則適用於實例標識符和類別,但我們不會在本指南) 中提供這些標識符的範例。

您可以透過兩種方式來判斷裝置的硬體識別碼和相容標識碼。 您可以使用 裝置管理員、操作系統隨附的圖形化工具,或 PnPUtil,這是適用於所有 Windows 版本的命令行工具。 使用下列程式來檢視裝置的裝置識別字串。

注意

這些程式專屬於 Canon 印表機。 如果您使用不同類型的裝置,則必須據以調整步驟。 顯著的差異在於裝置在 裝置管理員 階層中的位置。 您必須在適當的節點中找到裝置,而不是位於 [印表機] 節點中。

若要使用 裝置管理員 尋找裝置識別字串

  1. 請確定您的印表機已插入並安裝。

  2. 若要開啟 裝置管理員,請選取 [開始] 按鈕,在 [開始搜尋] 方塊中輸入 mmc devmgmt.msc,然後按 ENTER;或搜尋 裝置管理員 作為應用程式。

  3. 裝置管理員 啟動並顯示樹狀結構,代表計算機上偵測到的所有裝置。 樹狀結構頂端是一個節點,其旁邊有您的計算機名稱。 較低的節點代表將電腦裝置分組到其中的各種硬體類別。

  4. 尋找 [印表機] 區段並尋找目標印表機

    選取 裝置管理員 中的印表機。
    選取 裝置管理員 中的印表機

  5. 按兩下印表機,然後移至 [詳細數據] 索引標籤。

    [詳細數據] 索引標籤。
    開啟 [詳細數據] 索引標籤以尋找裝置識別碼

  6. 從 [值] 視窗複製最詳細的硬體標識符,我們將在原則中使用此值。

    HWID。

    相容標識碼。
    HWID 和相容標識碼

    提示

    您也可以使用 PnPUtil 命令行公用程式來判斷裝置識別字串。 如需詳細資訊,請參閱 PnPUtil - Windows 驅動程式

使用 PnPUtil 取得裝置標識碼

pnputil /enum-devices /ids

以下是機器上單一裝置的輸出範例:

<snip>
Instance ID:                PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02\3&103a9d54&0&81
Device Description:         Intel(R) Xeon(R) E7 v3/Xeon(R) E5 v3/Core i7 PCIe Ring Interface - 2F34
Class Name:                 System
Class GUID:                 {4d36e97d-e325-11ce-bfc1-08002be10318}
Manufacturer Name:          INTEL
Status:                     Stopped
Driver Name:                oem6.inf
Hardware IDs:               PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02
                            PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086
                            PCI\VEN_8086&DEV_2F34&CC_110100
                            PCI\VEN_8086&DEV_2F34&CC_1101
Compatible IDs:             PCI\VEN_8086&DEV_2F34&REV_02
                            PCI\VEN_8086&DEV_2F34
                            PCI\VEN_8086&CC_110100
                            PCI\VEN_8086&CC_1101
                            PCI\VEN_8086
                            PCI\CC_110100
                            PCI\CC_1101
<snip>

案例 1:防止安裝所有印表機

在此簡單案例中,您將瞭解如何防止安裝整個類別的裝置。

設定環境

使用下列步驟設定案例的環境:

  1. 開 群組原則 編輯器 並流覽至 [裝置安裝限制] 區段。

  2. 停用所有先前的裝置安裝原則,但「套用分層評估順序」除外-雖然預設會停用原則,但建議在大部分實際的應用程式中啟用此原則。

  3. 如果有任何已啟用的原則,將其狀態變更為「已停用」,將會從所有參數中清除這些原則

  4. 使用USB/網路印表機來測試原則

案例步驟 - 防止安裝禁止的裝置

取得正確的裝置識別碼,以防止安裝它:

  1. 如果您在系統上有來自您想要封鎖之類別的裝置,您可以依照上一節中的步驟,透過 裝置管理員 或 PnPUtil (類別 GUID) 來尋找裝置類別識別碼。

  2. 如果您的系統上未安裝這類裝置,或知道類別的名稱,您可以檢查下列兩個連結:

  3. 我們目前的案例著重於防止安裝所有印表機,例如,以下是市場中大部分印表機的類別 GUID:

    印表機
    類別 = 印表機
    ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
    此類別包含印表機。

    注意

    如先前所述,防止整個類別可能會封鎖您完全使用您的系統。 請確定您瞭解哪些裝置在指定 Class 時會遭到封鎖。 在我們的案例中,還有其他與印表機相關的類別,但在您套用這些類別之前,請確定它們不會封鎖對您系統至關重要的任何其他現有裝置。

建立原則以防止安裝所有印表機:

  1. 開 群組原則 物件 編輯器 按兩下 [開始] 按鈕,在 [開始搜尋] 方塊中輸入 mmc gpedit.msc,然後按 ENTER;或輸入 Windows 搜尋 “群組原則 編輯器”,然後開啟 UI。

  2. 瀏覽至 [裝置安裝限制] 頁面:

    計算機設定 > 系統管理 > 範本系統 > 裝置安裝 > 裝置安裝限制

  3. 請確定已停用所有原則, (建議將「套用的分層評估順序」原則保持啟用) 。

  4. 開啟 [防止使用符合這些裝置安裝類別原則的驅動程式安裝裝置 ],然後選取 [啟用] 單選按鈕。

  5. 在左下方的 [選項] 視窗中,按兩下 [顯示...]箱。 這個選項會帶您前往可在其中輸入要封鎖之類別標識符的數據表。

  6. 輸入您以大括弧找到的印表機類別 GUID: {4d36e979-e325-11ce-bfc1-08002be10318}

    防止類別 GUID 的清單
    防止類別 GUID 的清單

  7. 按兩下 [確定]。

  8. 按兩下角的 [套用],此選項會推送原則並封鎖所有未來的印表機安裝,但不適用於現有的安裝。

  9. 選擇性-如果您想要將原則套用至現有的安裝:再次開啟 防止使用符合這些裝置安裝類別的驅動程式安裝裝置 原則;在 [選項] 視窗中,標示 [也適用於已安裝的相符裝置] 複選框

重要

使用如上述案例中所使用的防止原則 (#1) ,並將它套用至所有先前安裝的裝置 (請參閱步驟 #9) 可能會使重要裝置無法使用;因此,請小心使用 。 例如:如果 IT 系統管理員想要防止所有卸載式儲存裝置安裝在電腦上,則使用「磁碟驅動器」類別封鎖並將其套用回溯,可能會使內部硬碟無法使用,並中斷計算機。

測試案例 1

  1. 如果您尚未完成步驟 9,請遵循下列步驟:

    1. 卸載您的印表機:裝置管理員 > 印表機>以滑鼠右鍵按兩下 [Canon 印表機] > 按兩下 [卸載裝置]。
    2. 針對USB印表機卸除並插上纜線;針對網路裝置,在 Windows 設定應用程式中搜尋印表機。
    3. 您應該無法重新安裝印表機。
  2. 如果您已完成上述步驟 9 並重新啟動電腦,請在 [裝置管理員] 或 [Windows 設定] 應用程式底下尋找您的印表機,並查看它不再可供您使用。

案例 2:防止安裝特定印表機

此案例是以案例 #1、防止安裝所有印表機為基礎。 在此案例中,您會以特定印表機為目標,以防止安裝在計算機上。

設定環境

使用下列步驟設定案例的環境:

  1. 開 群組原則 編輯器 並流覽至 [裝置安裝限制] 區段。

  2. 請確定所有先前的裝置安裝原則都已停用,但「套用分層評估順序」除外 (此必要條件是選擇性,可在此案例中開啟/關閉) 。 雖然原則預設為停用,但建議您在最實用的應用程式中啟用。 針對案例 #2,這是選擇性的。

案例步驟 - 防止安裝特定裝置

取得正確的裝置識別碼,以防止安裝它:

  1. 取得印表機的硬體識別碼。 在此範例中,我們將使用我們先前找到的標識符。

    印表機硬體識別碼標識碼。
    印表機硬體標識碼

  2. 記下裝置標識碼 (在此案例中為硬體標識碼) : WSDPRINT\CanonMX920_seriesC1A0;。 取得更特定的標識碼,以確定您封鎖特定的印表機,而不是一系列的印表機

建立原則以防止安裝單一印表機:

  1. 開 群組原則 物件 編輯器。

  2. 瀏覽至 [裝置安裝限制] 頁面:

    計算機設定 > 系統管理 > 範本系統 > 裝置安裝 > 裝置安裝限制

  3. 開啟 [防止安裝符合這些裝置標識符原則的裝置 ],然後選取 [啟用] 單選按鈕。

  4. 在左下方的 [選項] 視窗中,按兩下 [顯示...]箱。 此選項會帶您前往可在其中輸入要封鎖之裝置標識符的數據表。

  5. 輸入您在上面找到的印表機裝置識別碼: WSDPRINT\CanonMX920_seriesC1A0

    防止裝置標識碼清單。
    防止裝置標識碼清單

  6. 按兩下 [確定]。

  7. 按兩下角的 [套用]。 此選項會推送原則,並在未來的安裝中封鎖目標列印機,但不適用於現有的安裝。

  8. 或者,如果您想要將原則套用至現有的安裝,請再次開啟 [防止安裝符合上述任一裝置標識符的裝置] 原則 。 在 [選項] 視窗中,標示 [也適用於已安裝的相符裝置] 複選框。

測試案例 2

如果您已完成上述步驟 8 並重新啟動電腦,請在 [裝置管理員] 或 [Windows 設定] 應用程式底下尋找您的印表機,並查看它不再可供您使用。

如果您尚未完成步驟 8,請遵循下列步驟:

  1. 卸載您的印表機:裝置管理員 > 印表機>以滑鼠右鍵按兩下 [Canon 印表機] > 按兩下 [卸載裝置]。

  2. 針對USB印表機,請將纜線拔除並插回;針對網路裝置,在 Windows 設定應用程式中搜尋印表機。

  3. 您應該無法重新安裝印表機。

案例 3:防止安裝所有印表機,同時允許安裝特定印表機

現在,使用上述兩種案例的知識,您將瞭解如何防止安裝整個類別的裝置,同時允許安裝單一列印機。

設定環境

使用下列步驟設定案例的環境:

  1. 開 群組原則 編輯器 並流覽至 [裝置安裝限制] 區段。

  2. 停用所有先前的裝置安裝原則,並啟用「套用分層評估順序」。

  3. 如果有任何已啟用的原則,將其狀態變更為「已停用」,將會從所有參數中清除這些原則。

  4. 提供可用來測試原則的USB/網路印表機。

案例步驟 - 防止安裝整個類別,同時允許特定印表機

取得印表機類別和特定印表機的裝置識別碼,並遵循案例中的步驟 #1 尋找類別識別碼和案例 #2 以尋找裝置識別碼,您可以取得此案例所需的標識碼:

  • ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
  • 硬體標識碼 = WSDPRINT\CanonMX920_seriesC1A0

首先建立「防止類別」原則,然後建立「允許裝置」原則:

  1. 開啟 群組原則 Object 編輯器 按兩下 [開始] 按鈕,在 [開始搜尋] 方塊中輸入 mmc gpedit.msc,然後按 ENTER;或輸入 Windows 搜尋 “群組原則 編輯器”,然後開啟 UI。

  2. 瀏覽至 [裝置安裝限制] 頁面:

    計算機設定 > 系統管理 > 範本系統 > 裝置安裝 > 裝置安裝限制

  3. 確定已停用所有原則

  4. 開啟 [防止使用符合這些裝置安裝類別原則的驅動程式安裝裝置 ],然後選取 [啟用] 單選按鈕。

  5. 在左下方的 [選項] 視窗中,按兩下 [顯示...]箱。 這個選項會帶您前往可在其中輸入要封鎖之類別標識符的數據表。

  6. 輸入您在上面找到的印表機類別 GUID,並輸入大括弧 (此值很重要!否則,它將無法) :{4d36e979-e325-11ce-bfc1-08002be10318}

    防止類別標識碼的清單
    防止類別 GUID 的清單

  7. 按兩下 [確定]。

  8. 按兩下角的 [套用],此選項會推送原則並封鎖所有未來的印表機安裝,但不適用於現有的安裝。

  9. 若要完成所有未來和現有印表機的涵蓋範圍,請再次開啟 防止使用符合這些裝置安裝類別的驅動程式安裝裝置 原則;在 [選項] 視窗中,標示 [也適用於已安裝的相符裝置] 的複選框,然後按兩下 [確定]

  10. 開啟 [ 允許] 和 [防止裝置安裝原則跨所有裝置比對準則] 原則套用分層評估順序 ,並加以啟用-此原則可讓您以特定裝置覆寫 「防止」原則的涵蓋範圍。

    本機 群組原則 編輯器 的螢幕快照,其中顯示 [裝置安裝限制] 底下的原則,以及此步驟中名為的原則。

    此圖顯示此步驟中所命名原則的目前設定:「在所有裝置比對準則上套用允許和防止裝置安裝原則的分層評估順序。
    套用評估原則的分層順序

  11. 現在開啟 [允許安裝符合這些裝置標識符原則的裝置 ],然後選取 [啟用] 單選按鈕。

  12. 在左下方的 [選項] 視窗中,按兩下 [顯示...]箱。 這個選項會帶您前往資料表,您可以在其中輸入要允許的裝置識別碼。

  13. 輸入您在上面找到的印表機裝置標識碼:WSDPRINT\CanonMX920_seriesC1A0。

    允許印表機硬體標識碼。
    允許印表機硬體標識碼

  14. 按兩下 [確定]。

  15. 按兩下原則視窗右下方的 [套用],此選項會推送原則,並允許在安裝 (或安裝目標印表機) 安裝目標印表機。

測試案例 3

  1. 在 [裝置管理員] 或 [Windows 設定] 應用程式底下尋找您的印表機,並查看它仍然存在且可供存取。 或只列印測試檔。

  2. 返回 至 群組原則 編輯器,請停用 [允許] 和 [防止裝置安裝原則跨所有裝置比對準則原則套用分層評估順序],然後再次測試您的印表機-您不應該被壓著列印任何專案或完全能夠存取印表機。

案例 4:防止安裝特定 USB 裝置

此案例是以案例 #2 的知識為基礎,防止安裝特定印表機。 在此案例中,您將瞭解某些裝置在 PnP (隨插即用) 裝置樹狀結構中的內建方式。

設定環境

使用下列步驟設定案例的環境:

  1. 開啟 群組原則 編輯器 並流覽至 [裝置安裝限制] 區段

  2. 請確定所有先前的裝置安裝原則都已停用,但「套用分層評估順序」除外。 此必要條件是此案例中選擇性的開啟/關閉。 雖然原則預設為停用,但建議您在最實用的應用程式中啟用。

案例步驟 - 防止安裝特定裝置

取得正確的裝置識別碼,以防止安裝它,以及其在 PnP 樹狀結構中的位置:

  1. 將USB Thumb 磁碟驅動器連線到電腦

  2. 開啟裝置管理員

  3. 尋找USB指紋磁碟驅動器並加以選取。

    選取 裝置管理員 中的usb thumb-drive。
    選取 裝置管理員 中的usb thumb-drive

  4. 將頂端功能表中的 [檢視 () 變更為 [依連線的裝置]。 此檢視代表在 PnP 樹狀結構中安裝裝置的方式。

    變更 裝置管理員 中的檢視以查看 PnP 連線樹狀結構。
    變更 裝置管理員 中的檢視以查看 PnP 連線樹狀結構

    注意

    封鎖\防止位於 PnP 樹狀結構中較高位置的裝置時,會封鎖位於該樹狀結構下的所有裝置。 例如:防止安裝「一般USB中樞」,所有在「一般USB中樞」下方的裝置都會遭到封鎖。

    封鎖根目錄中的巢狀裝置。
    封鎖一個裝置時,也會封鎖巢狀下方的所有裝置

  5. 按兩下USB指紋磁碟驅動器,然後移至 [詳細數據] 索引標籤。

  6. 從 [值] 視窗複製最詳細的硬體標識符,我們將在原則中使用此值。 在此案例中,裝置標識碼 = USBSTOR\DiskGeneric_Flash_Disk______8.07

    USB 裝置硬體標識碼。
    USB 裝置硬體標識碼

建立原則以防止安裝單一 USB Thumb-drive:

  1. 開 群組原則 物件 編輯器,然後按兩下 [開始] 按鈕,在 [開始搜尋] 方塊中輸入 mmc gpedit.msc,然後按 ENTER;或輸入 Windows 搜尋 “群組原則 編輯器” 並開啟 UI。

  2. 瀏覽至 [裝置安裝限制] 頁面:

    計算機設定 > 系統管理 > 範本系統 > 裝置安裝 > 裝置安裝限制

  3. 開啟 [防止安裝符合這些裝置標識符原則的裝置 ],然後選取 [啟用] 單選按鈕。

  4. 在左下方的 [選項] 視窗中,按兩下 [顯示] 方塊。 此選項會帶您前往可在其中輸入要封鎖之裝置標識符的數據表。

  5. 輸入您在上面找到的 USB Thumb-drive 裝置識別碼USBSTOR\DiskGeneric_Flash_Disk______8.07

    防止裝置標識碼清單。
    防止裝置標識碼清單

  6. 按兩下 [確定]。

  7. 按兩下角的 [套用]。 此選項會推送原則,並在未來的安裝中封鎖目標USB Thumb-drive,但不適用於現有的安裝。

  8. 選擇性 - 如果您想要將原則套用至現有的安裝,請再次開啟 [防止安裝符合上述任何裝置標識符的裝置] 原則 。 在 [選項] 視窗中,將複選框標示為「也適用於已安裝的相符裝置」。

測試案例 4

  1. 如果您尚未完成步驟 8,請遵循下列步驟:

    • 卸載 USB 指紋磁碟驅動器:裝置管理員 > 磁碟驅動器以滑鼠右鍵按兩下目標 USB 指紋磁碟>驅動器>,然後按兩下 [卸載裝置]。
    • 您應該無法重新安裝裝置。
  2. 如果您已完成上述步驟 8 並重新啟動電腦,請在 [裝置管理員] 下尋找您的磁碟驅動器,並查看它不再可供您使用。

案例 5:防止安裝所有 USB 裝置,同時只允許安裝授權的 USB Thumb-drive

現在,使用前四個案例的知識,您將瞭解如何防止安裝整個類別的裝置,同時允許安裝單一授權的USB Thumb-drive。

設定環境

使用下列步驟設定案例的環境:

  1. 開 群組原則 編輯器 並流覽至 [裝置安裝限制] 區段。

  2. 停用所有先前的裝置安裝原則,並 用「套用分層評估順序」。

  3. 如果有任何已啟用的原則,將其狀態變更為「已停用」,將會從所有參數中清除這些原則。

  4. 有可用來測試原則的USB Thumb磁碟驅動器。

案例步驟 - 防止安裝所有 USB 裝置,同時只允許授權的 USB 指紋磁碟驅動器

取得 USB 類別和特定 USB 指紋磁碟驅動器的裝置識別碼,並遵循案例中的步驟 #1 尋找類別標識符和案例 #4 來尋找裝置標識符,您可以取得此案例所需的標識碼:

  • USB 總線裝置 (中樞和主機控制器)

    • 類別 = USB
    • ClassGuid = {36fc9e60-c465-11cf-8056-444553540000}
    • 此類別包含USB主機控制器和USB中樞,但不包含USB周邊。 此類別的驅動程式是系統提供的。
  • USB 裝置

    • 類別 = USBDevice
    • ClassGuid = {88BAE032-5A81-49f0-BC3D-A4FF138216D6}
    • USBDevice 包含不屬於另一個類別的所有USB裝置。 此類別不適用於 USB 主機控制器和中樞。
  • 硬體標識碼 = USBSTOR\DiskGeneric_Flash_Disk______8.07

如案例 4 所述,僅啟用單一硬體標識符來啟用單一 USB Thumb-drive 並不夠。 IT 系統管理員必須確保目標前方的所有 USB 裝置不會遭到封鎖, (也允許) 。 在我們的案例中,必須允許下列裝置,才能同時允許目標USB Thumb-drive:

  • “Intel (R) USB 3.0 eXtensible Host Controller - 1.0 (Microsoft) ” -> PCI\CC_0C03
  • “USB 根中樞 (USB 3.0) ” -> USB\ROOT_HUB30
  • 「一般 USB 中樞」 -> USB\USB20_HUB

巢狀於 PnP 樹狀結構中的 USB 裝置。
在 PnP 樹狀結構中彼此巢狀的 USB 裝置

這些裝置是電腦上的內部裝置,可定義與外界的 USB 埠連線。 啟用它們不應該讓任何外部/周邊裝置無法安裝在計算機上。

重要

系統中的某些裝置有數層連線能力,可定義其在系統上的安裝。 USB Thumb-drive 是這類裝置。 因此,當您想要在系統上封鎖或允許它們時,請務必瞭解每個裝置的連線路徑。 系統中常會使用數個一般裝置標識碼,而且在這種情況下,可以提供建置「允許清單」的良好開頭。 如需清單,請參閱下列內容:

PCI\CC_0C03;PCI\CC_0C0330;PCI\VEN_8086;PNP0CA1;PNP0CA1&主机控制器的 HOST () / USB\ROOT_HUB30;適用於一般 USB 中樞的 USB\ROOT_HUB20 () /USB\USB20_HUB () /

特別是針對桌面計算機,請務必在上述清單中列出鍵盤和滑鼠聯機的所有 USB 裝置。 若無法這麼做,可能會封鎖使用者透過 HID 裝置存取其電腦。

不同的計算機製造商有時會以不同的方式在 PnP 樹狀結構中巢狀處理 USB 裝置,但一般而言,這是它的方式。

首先建立「防止類別」原則,然後建立「允許裝置」原則:

  1. 開啟 群組原則 物件 編輯器:按兩下 [開始] 按鈕,在 [開始搜尋] 方塊中輸入 mmc gpedit.msc,然後按 ENTER;或輸入 Windows 搜尋 “群組原則 編輯器” 並開啟 UI。

  2. 瀏覽至 [裝置安裝限制] 頁面:

    計算機設定 > 系統管理 > 範本系統 > 裝置安裝 > 裝置安裝限制

  3. 確定已停用所有原則

  4. 開啟 [防止使用符合這些裝置安裝類別原則的驅動程式安裝裝置 ],然後選取 [啟用] 單選按鈕。

  5. 在左下方的 [選項] 視窗中,按兩下 [顯示...]箱。 這個選項會帶您前往可在其中輸入要封鎖之類別標識符的數據表。

  6. 使用大括號輸入您在上面找到的兩個 USB 類別 GUID:

    {36fc9e60-c465-11cf-8056-444553540000}/ {88BAE032-5A81-49f0-BC3D-A4FF138216D6}

  7. 按兩下 [確定]。

  8. 按兩下角的 [套用]。 此選項會推送原則並封鎖所有未來的 USB 裝置安裝,但不適用於現有的安裝。

    重要

    上一個步驟會防止安裝所有未來的USB裝置。 移至下一個步驟之前,請確定您擁有所有可用的USB主機控制器、USB 根中樞和一般 USB 中樞裝置識別碼的完整清單,以防止您透過鍵盤和滑鼠與系統互動。

  9. 開啟 [ 在所有裝置比對準則之間套用層級評估順序] 的 [允許] 和 [防止裝置安裝 原則],並加以啟用。 此原則可讓您使用特定裝置覆寫「防止」原則的廣泛涵蓋範圍。

    套用分層式評估原則順序。
    套用評估原則的分層順序

  10. 現在開啟 [允許安裝符合這些裝置標識符原則的裝置 ],然後選取 [啟用] 單選按鈕。

  11. 在左下方的 [選項] 視窗中,按兩下 [顯示...]箱。 這個選項會帶您前往資料表,您可以在其中輸入要允許的裝置識別碼。

  12. 輸入您在上面找到的USB裝置標識碼完整清單,包括您想要授權安裝的特定USB Thumb-drive。USBSTOR\DiskGeneric_Flash_Disk______8.07

    已針對「允許安裝符合上述任何裝置標識碼的裝置」原則設定的裝置範例清單影像。
    允許的 USB 裝置識別碼清單

  13. 按兩下 [確定]。

  14. 按兩下角的 [套用]。

  15. 若要套用所有目前已安裝 USB 裝置的「防止」涵蓋範圍,請再次開啟 防止使用符合這些裝置安裝類別的驅動程式安裝裝置 原則;在 [選項] 視窗中,標示 [也適用於已安裝的相符裝置] 的複選框,然後按兩下 [確定]。

測試案例 5

您應該無法安裝任何 USB 指紋磁碟驅動器,但您授權使用的 USB 磁碟驅動器除外。