Security: Managing Hardware Restrictions via Group Policy

發行項
08/18/2016

安全性

透過群組原則管理硬體限制

Jeremy Moskowitz

摘要:

限制硬體安裝
限制特定裝置
限制裝置類別

您知道的：USB 隨身碟和卸除式媒體讓您的私人生活更輕鬆，但專業生活更困難。您需要方法，控制哪些

硬體裝置可安裝、哪些不可安裝。所幸，使用 Windows Vista™ 和下一版 Windows Server® (代碼 "Longhorn") 中的群組原則，您就可以選擇允許 USB 滑鼠但禁止 USB 隨身碟、允許 CD-ROM 讀取器但禁止 DVD 燒錄器，或允許藍芽但禁止 PCMCIA。

[圖 1] 群組原則中預先定義的硬體限制

[圖 1]** 群組原則中預先定義的硬體限制 **(按影像可放大)

[圖 2] 自訂您要限制的硬體類型

[圖 2]** 自訂您要限制的硬體類型 **(按影像可放大)

第一組 ([卸除式儲存裝置存取權]) 是不解自明的：如果您為該類型的卸除式儲存裝置 (CD/DVD、軟碟機等等) 啟用原則設定，可視需要限制整個裝置類型的讀取和/或寫入。但它沒有 [裝置安裝限制] 的超強能力。

在 [卸除式儲存裝置存取權] 中，有兩個原則設定群組，名為 [自訂類別: 拒絕讀取存取權] 和 [自訂類別: 拒絕寫入存取權]。這聽起來蠻好的，但 [卸除式儲存裝置存取權] 原則實際上不會阻止安裝驅動程式，在偵測到硬體時，該類別的驅動程式已安裝。該原則只是防止讀取或寫入裝置。等到下一節探討 [裝置安裝限制] 原則設定時，我會鎖定整個驅動程式本身的使用。

瞭解類別和識別碼

首先，最重要的事：您必須知道要限制什麼。考慮的範圍可大可小。也就是說，您可以限制特定「類別」的裝置，或極為明確地限制單一硬體類型。或者，您可以反其道而行，只允許特定裝置類別，如 USB 滑鼠。但有個竅門：您必須追蹤要限制的硬體，才會有效。

如果您要禁止安裝搖桿驅動程式，只允許安裝 USB 滑鼠，則必須掌握搖桿和 USB 滑鼠。替代方案是透過網際網路來追蹤硬體識別碼、相容識別碼或裝置類別。不過，如果您眼前有實體裝置會容易得多。如此一來，您可以將它連接到電腦，並親自查看硬體識別碼、相容識別碼或裝置類別。一旦得到此資訊，您就會確切知道如何抑制或保留其可用性。

在下列範例中，我將抑制特定的音效卡系列：Creative AutoPCI ES1371/ES1373。如果您想要抑制其他項目 (如特定 USB 裝置、USB 連接埠等等)，只要在下列步驟中，換成這些特定項目即可。

在已安裝該硬體項目的電腦上，啟動 [裝置管理員]。當您找到裝置時，以滑鼠右鍵按一下它，選取 [內容]，然後選取 [詳細資料] 索引標籤。根據預設，您會看到 [裝置描述]。有趣的是，這項資訊不太實用。選取 [內容] 下拉式清單，並選擇 [硬體識別碼]，如 [圖 3] 所示。

[圖 3] 裝置的 [詳細資料] 索引標籤

[圖 3]** 裝置的 [詳細資料] 索引標籤 **(按影像可放大)

[硬體識別碼] 頁面會從上到下顯示最明確到最籠統的裝置識別碼。如果您仔細看一下 [硬體識別碼] 值清單中的最上方項目，您會看到這個音效卡最明確的識別是 ES1371 音效卡 Rev 2。真的很明確。在清單下方，描述會變得籠統，以涵蓋整個系列。

而且，您可以將 [內容] 變更為 [相容識別碼]。相容識別碼也會描述硬體，比起 [硬體識別碼] 較不明確。您可以選擇使用 [相容識別碼] 中的資訊，嘗試將更多類似的硬體關進您的禁用清單，因為它比較籠統，可能會獲得更多結果。當然，其中取捨是您可能會限制非預期的項目。

最後，從 [內容] 下拉式清單中選取 [裝置類別] 時，會得到最籠統的類別。在這個案例中，音效卡僅僅顯示為 [媒體]。但是有許多項目都會被視為 [媒體]，因此您應該更謹慎處理籠統的類別。

一旦決定所要使用的值，請以滑鼠右鍵按一下它，選取 [複製]，然後將它貼入 [記事本] 中存放。直接複製完整顯示的值很重要，因為在下面的步驟中必須輸入完全相同的值。值的所有大小寫字元都必須精確移轉。

如果您要使用命令列，而不使用 [裝置管理員]，以擷取 [硬體識別碼] 或 [裝置類別]，請參閱下列網址的 Devcon 命令列公用程式：support.microsoft.com/kb/311272。如果您沒有實體裝置，Microsoft 有一些通用類別的識別碼可能有幫助，請參閱下列網址的資訊：go.microsoft.com/fwlink/?LinkId=52665。

透過群組原則的硬體存取控制

雖然我們將探討位在 [電腦設定] | [系統管理範本] | [系統] | [裝置安裝] | [裝置安裝限制] (如 [圖 2] 所示) 中的所有原則設定，但實際上只需要一個原則設定，即可完成第一個範例。

[圖 4] 貼上裝置識別碼以確切擷取描述

[圖 4]** 貼上裝置識別碼以確切擷取描述 **(按影像可放大)

不過，這裡有個奇怪的現象。如果電腦上已安裝此裝置，並不會神奇地將它解除安裝並限制存取。因此，如果您要限制硬體，最好在部署 Windows Vista 後盡早完成。不過，值得注意的是，在移除裝置後重新安裝時，Windows Vista 將會重新檢查。像是 USB 隨身碟 (移除後重新插入) 的項目便是此程序的完美候選項目。因為 Windows Vista 只在重新連接裝置時重新檢查，這時候才會限制裝置 (即使裝置驅動程式一開始已載入電腦)。比較難處理的裝置是搭載在電腦上，而且不會移除後再重新連接的裝置。對於這些裝置，目前並沒有明顯的解決方案。

如果電腦開機時偵測到新的硬體裝置，Windows 會嘗試安裝驅動程式，並在過程中提供狀態資訊。如果您已經設定原則來限制這種裝置，就會看到 [圖 5] 中的結果。

[圖 5] 被禁止的裝置安裝作業

[圖 5]** 被禁止的裝置安裝作業 **(按影像可放大)

更多的硬體限制

在以上的範例中，我們只抑制一個裝置。如果您想要的話，可以採取相反路線，根據預設限制所有硬體，接著允許部分硬體。同樣地，您會看到 [圖 2] 中的原則設定清單，其顯示群組原則的 [電腦設定] | [系統管理範本] | [系統] | [裝置安裝] | [裝置安裝限制] 分支。您可以從數個可用設定中選擇。

首先是 [允許系統管理員覆寫裝置安裝限制]。根據預設，Windows Vista 的本機管理員必須遵循已設定的限制。如果您啟用這個設定，本機管理員就可以覆寫限制並安裝他們所要的硬體。

接下來是 [允許使用符合這些裝置安裝類別的驅動程式安裝裝置]。藉由在此原則設定中輸入裝置描述，您會明確允許在系統上安裝這些裝置。請注意，這個原則設定只接受安裝類別，而非裝置識別碼 (如範例中所使用)。

若要達成相反的效果，您可以設定 [防止使用符合這些裝置安裝類別的驅動程式安裝裝置]。

[因原則而無法安裝時顯示自訂訊息 (汽球內文)] 和 [因原則而無法安裝時顯示自訂訊息 (汽球標題)] 這兩個設定有助於自訂訊息，如 [圖 5] 所示。

如先前提及的，描述硬體最籠統的方式是基於硬體類別。值得注意的是，[允許安裝符合這些裝置識別碼的裝置] 原則設定不會接受類別識別碼描述。若要使用類別識別碼描述，請使用 [允許使用符合這些裝置安裝類別的驅動程式安裝裝置] 或 [防止使用符合這些裝置安裝類別的驅動程式安裝裝置]。後者最適合與 [防止安裝未由其他原則設定描述的裝置] 設定搭配使用。藉由防止安裝所有項目 (根據預設)，接著使用此設定，您可以精確指定要允許的裝置。

在範例中，我使用 [防止安裝符合這些裝置識別碼的裝置] 原則，根據裝置識別碼來限制特定類型的硬體。如果您要使用裝置類別來實作限制，則必須運用其他特定的原則設定，例如 [允許使用符合這些裝置安裝類別的驅動程式安裝裝置] 或 [防止使用符合這些裝置安裝類別的驅動程式安裝裝置]。

[防止安裝卸除式裝置] 是限制任何自我描述為卸除式硬體裝置 (包括 USB 裝置) 的快速、一般方法。這個設定很籠統，最好不要經常使用。請改用先前描述的技巧，亦即取得較為嚴謹的裝置識別碼，接著明確地鎖定。

最後，[防止安裝未由其他原則設定描述的裝置] 是一網打盡的原則設定，基本上它會限制所有硬體，除非您特別指示可安裝某項目。這個原則搭配各種「允許」原則 (例如 [允許安裝符合這些裝置識別碼的裝置])，會成為在環境中只允許所要硬體的強大工具。

結論

Windows Vista 的群組原則有一些新的超強功能，在環境中只允許所要硬體時極為實用。只要在初期部署時實作原則設定，您在網路中禁止的硬體絕對無法連接。

訪問 Microsoft 群組原則的部門經理 (Lead Program Manager) Michael Dennis

我最近有機會訪問 Michael Dennis，自從 Microsoft 群組原則團隊成立以來，他一直帶領此團隊。Michael 目前要離開群組原則團隊，轉調 Microsoft 內部的其他職務。我與 Michael 面對面，回想過去九年的群組原則，立足過去，放眼未來。

Jeremy Moskowitz Michael，很多人想知道您在 Microsoft 領導群組原則團隊的這幾年來，您認為最大的成就是什麼？

Michael Dennis 最大的成就要回溯至當我們關注於開發現在所謂群組原則的時候。當時已經有 Windows NT® 4.0 的系統原則，因此我們檢視它及其問題。因為當時是在 Active Directory® 開發期間，我們檢視需要更佳處理用戶端和伺服器管理性的地方。

理論上，群組原則是建立在階層中，但這個想法從未實現過，因此對我們來說是大挑戰。我們專注於核心基礎結構、用戶端處理程序和 Active Directory 整合。

最大成就的副產品也是我們的最糟成績。因為隨著 Windows 2000 提供的 GUI 有問題。人們需要群組原則的博士學位，才能有效使用它，因為管理員必須知道完整運作原理。我希望當時我們能建立「群組原則管理主控台」(GPMC) 和「原則結果組」(RSoP)，並重新交付 (這些都已在規格中)。

JM 您希望哪些項目能併入群組原則中呢？

MD 好消息是，打從 Windows 2000 版本開始，我一直想要的項目現在都已併入 Windows Vista，像是 RSoP、GPMC、增加的設定等等。我希望能早個幾年完成這些項目。

此外，我希望群組原則基礎結構更能由合作夥伴輕易延伸。我們的伺服器端/用戶端延伸模型需要開發人員投入更多心力。不過，有人認為我們的 ADM/ADMX 範本結構提供了太容易延伸的架構。但系統的這一部分若能讓人們延伸更多類型的設定，應該會更棒！

此外，我也希望 GPMC 報告對合作夥伴和協力廠商工具開發人員而言更能延伸。工具協力廠商一直很關切這個領域。

JM 哪些事是群組原則團隊不為人所知的？

MD 有時，人們不清楚群組原則團隊在整體中所扮演的角色。理論上，我們建立基礎結構、傳輸，以及伺服器和用戶端組件。單單 Windows Vista，我們就曾經與 Microsoft 的大約 120 個不同團隊合作，使新設定在此版本就位。

讀者應該注意，對於開機或登入時系統變慢的問題，不應責怪群組原則。如果變慢，應該責怪群組原則的工作內容。因為當您要求群組原則執行重量級作業時，它就真的會執行它。例如，如果您告訴它在每部電腦上安裝 Microsoft Office，這當然可以。但是您要知道它會執行所要求的作業，也就是在您看到登入提示前安裝所有 Office 應用程式。那會變慢嗎？當然，但身為部署的管理員，這正是您要系統執行的。

JM 您最喜歡使用群組原則來炫耀哪個項目呢？

MD 這些日子，我喜歡賣弄 Windows Vista 中的一些新設定。卸除式裝置設定 (限制 USB 隨身碟之類的項目) 是人們一直吵著要的項目。在 Windows Vista 中，大約有 2,400 個設定，這些帶給管理員大幅控制。我喜歡問客戶，他們想要控制什麼，接著向他們展示做法。

JM 為什麼將 ADM 變更為 ADMX 檔案呢？

MD 技術上，我們並不需要那樣做，即可搭配 Windows Vista 新的集中存放區功能。轉換為 ADMX 的推動力是為了適當支援多個語言。

先前，在多語言環境中常會發生一種情況，就是 GPO 內部 ADM 檔案的內容可能是由其他語言撰寫。從歷史角度，我們從 Windows NT 4.0 借用 ADM 格式，Windows NT 4.0 從 Windows 98 借用，Windows 98 從 Windows 95 借用。如果當時有 XML，它會是不錯的候選檔案格式。

現在有了 XML，支援多個語言變得更容易，而且也提供機會，以目前結構描述化語言來加強登錄和設定。

JM 在 GP 團隊中工作時，您必須克服的最大內部挑戰是什麼？

MD 本團隊面臨的最大、持續性問題是嘗試讓 Windows 的其他元件透過原則啟用其功能。

某個團隊可能會回應：「我們剛建立這個很棒的新功能。為什麼有人要關閉它呢？」這是可理解的。但我們繼續努力，克服許多問題。

此外，也有關於透過原則啟用某些項目的技術挑戰，例如，具有進階安全性的 Windows 防火牆 (WFAS)。WFAS 很棘手，不容易透過原則正確啟用它。WFAS 團隊為 Windows Vista 建立的介面極佳，但把它做好很棘手。

在 Windows Vista 之前的 Windows 版本中，產品團隊本身不一定會想要透過原則啟用他們的元件。但在 Windows Vista 開發期間，有不少團隊詢問我們相關做法。太棒了！

JM 您的下一步是什麼？

MD 我即將調至「行動資訊工作者」(Mobile Information Worker) 團隊，他們負責 Smartphone、Pocket PC 等等。我的角色將會是延伸 Windows Server 系統的部分管理技術至 Windows Mobile® 裝置。

我會試著將我對管理性的相同願景和熱情應用在新領域中。同時，我所離開的群組原則團隊正處在大有進展的重要地位。

JM 您還想要告訴讀者什麼事情嗎？

MD 在群組原則的整個開發期間，有一個重要步驟就是面對客戶，真正瞭解他們嘗試做什麼。如果客戶有任何想要讓群組原則涵蓋的案例，或是商務案例，請與我們連絡、交流意見。

在 WindowsServerFeedback.com，我們有良好的意見反應機制，所有人都可以使用。請在其中找出 [Group Policy] 按鈕。

如果能夠清楚說明：「我的問題如下，我的商務案例如下，而且我需要系統能夠這樣做，原因如下。」這種資訊對我們非常珍貴。群組原則發展的決策者會閱讀來自此機制的各項意見。

同樣地，如果您想要對群組原則發展有所影響，請告訴我們您的需要。但是，請不要只告訴我們：「我們需要會執行 X 的原則設定」，而不告訴我們理由。我們的工作是想出「做法」。群組原則團隊真正需要知道的是「原因」。

JM 感謝您抽出時間，告訴我們您在 Microsoft 群組原則團隊的經驗。祝一切順利！

MD 謝謝您，Jeremy。

Jeremy Moskowitz為群組原則中的 MCSE 和 MVP，他經營的 GPanswers.com 是有關群組原則的社群論壇。此外，他還舉辦一系列的群組原則密集訓練課程。他的最新著作為 Group Policy: Management, Troubleshooting and Security (Sybex, 2007)。您可以透過下列網站連絡 Jeremy：www.GPanswers.com。

其他資源