Estou tentando fazer alguma personalização na imagem de instalação do Windows 10 Enterprise que está sendo implantada em vários pontos de extremidade. Especificamente, estou tentando impor limitações à conectividade de dispositivos USB para melhorar a segurança:
- Impedir a instalação e o uso de qualquer dispositivo periférico USB (teclados, etc.)
- Evite a instalação e o uso de qualquer dispositivo de armazenamento USB que não seja emitido pela empresa
- Use um dispositivo de armazenamento USB emitido pela empresa que, depois de inserido, "desbloqueia" o uso de dispositivos periféricos
- Quando o dispositivo de armazenamento USB emitido pela empresa for removido, impeça novamente o uso de qualquer dispositivo periférico USB
É algo assim de alguma forma possível?
Aqui estão algumas coisas que tentei fazer:
- Eu tentei configurar o GP para impedir a instalação de qualquer dispositivo, mas isso não funcionará para nós, já que será necessário que realmente nos conectemos a esses endpoints;
- Tentei colocar na lista de permissões alguns dos dispositivos, o que funciona bem, mas estou preso à lista de permissões do ID do dispositivo, o que não funcionará, pois gostaria de poder emitir vários desses drives USB que funcionam como uma chave para "desbloquear" o uso de dispositivos USB;
- Eu tentei criar um aplicativo que escuta USB conectar / desconectar e tentar fazer algo lá, mas com pouco sucesso.
Assim como uma prova de conceito, coloquei um dispositivo USB na lista de permissões e criei uma execução automática para esse dispositivo para invocar alterações GP e que funcionem na conexão, mas não tenho certeza de como lidar com as desconexões nessas situações. Mas, novamente, não é isso que queremos fazer. Existe uma maneira de modificar ou enriquecer as informações do dispositivo de uma unidade USB, para incluir algumas informações adicionais, como um código personalizado que geraríamos e, em seguida, para colocar na lista de permissões todos os dispositivos com esse valor?
No final, há duas perguntas aqui:
- é o cenário listado no começo, mesmo possível de implementar e
- é possível modificar / enriquecer as informações do dispositivo USB para poder colocar na lista de permissões vários dispositivos facilmente através da política de grupo?
Qualquer ajuda aqui seria apreciada!