A seguir, bloquearia o acesso ao dispositivo conectado ao MTP
Configuração do Computador \ Modelos Administrativos \ Sistema \ Acesso ao Armazenamento Removível
Dispositivos WPD - Negar acesso de leitura - ativar
fonte: link
Eu preciso desabilitar o Windows no domínio de copiar arquivos para os próprios dispositivos portáteis. Eu encontrei uma configuração que irá informar o registro que irá dizer ao computador para 'proteger' ( StorageDevicePolicies\WriteProtect ) dispositivos de armazenamento portáteis. No entanto, os smartphones são encontrados para contornar a configuração, apresentando-se como um media player portátil . Como devo bloquear isso também?
A seguir, bloquearia o acesso ao dispositivo conectado ao MTP
Configuração do Computador \ Modelos Administrativos \ Sistema \ Acesso ao Armazenamento Removível
Dispositivos WPD - Negar acesso de leitura - ativar
fonte: link
Você pode desativar todos os dispositivos MTP imediatamente? Isso quebraria a leitura e a gravação nesses dispositivos, mas em um ambiente seguro talvez você não se importe. A opção de proteção contra gravação do dispositivo removível é um caso especial para lidar com esse tipo de coisa. Aparentemente, só cobre dispositivos de bloco removíveis.
Seria grosseiro, mas se você puder identificar um arquivo .inf ou um arquivo de driver .sys específico para dispositivos MTP e, em seguida, excluir ou negar acesso (inclusive ao SISTEMA ao qual o serviço PlugAndPlay é executado) acessá-lo, dispositivo não funcionaria quando conectado ao sistema.
Se você acessar o gerenciador de dispositivos, localizar o dispositivo e procurar na guia Detalhes, em Propriedades, Inf name informará o nome do arquivo .inf que melhor identificou o dispositivo. Em Driver - > Detalhes do driver, ele listará os binários do driver carregados para suportar o dispositivo.
Tome cuidado para desativar um arquivo .inf ou .sys específico somente para esse tipo de dispositivo, para que você não desative algo crítico. Experimente em uma VM (faça um instantâneo primeiro) e certifique-se de que não quebre mais nada.
Como todas as coisas são iguais, desabilitar apenas o .inf provavelmente seria melhor que um arquivo .sys. A desativação do acesso por meio da segurança provavelmente funcionará melhor, já que o SFP pode substituir apenas os arquivos excluídos.