Запрет и разрешение установки драйверов

We use cookies. Read the Privacy and Cookie Policy

Запрет и разрешение установки драйверов

Последний набор параметров, влияющих на установку драйверов оборудования, имеет тип REG_DWORD и расположен в ветви реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsDriverInstallRestrictions и ее подразделах. Эти параметры позволяют указать оборудование, установка которого на данный компьютер запрещена.

Общие настройки

Проще всего изменить значения следующих параметров данной ветви реестра:

• DenyRemovableDevices – если значение данного параметра равно 1, то будет запрещена возможность установки и обновления драйверов съемных устройств;

• DenyUnspecified – при установке значения этого параметра равным 1 будет запрещена возможность установки и обновления всех драйверов устройств, установка которых явно не разрешена с помощью параметров ветви HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsDriverInstallRestrictions;

• AllowAdminInstall – если значение данного параметра равно 1, то пользователи с административными правами смогут устанавливать драйверы любого оборудования.

По умолчанию параметры ветви реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsDriverInstallRestrictions также влияют и на пользователей с административными правами.

Запрет установки оборудования на основе класса оборудования

Чтобы запретить либо разрешить установку драйверов оборудования, необходимо знать GUID-номер класса этого оборудования. Узнать его довольно просто – необходимо воспользоваться оснасткой Диспетчер устройств (консоль devmgmt.msc). На рис. 3.3 приведен пример окна, содержащего GUID-номер класса модема.

Рис. 3.3. Отображение GUID-номера класса устройства

После того как вы узнали GUID-номер класса устройств, нужно воспользоваться одним из трех параметров REG_DWORD-типа.

• Если вы хотите создать список устройств, установка которых будет разрешена для обычных пользователей, то необходимо присвоить параметру AllowUserDeviceClasses значение 1. После этого нужно создать ветвь HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsDriverInstallRestrictionsAllowUserDeviceClasses, а уже в ней – параметр REG_DWORD-типа, названный в честь GUID-номера класса оборудования, после чего присвоить этому параметру значение 1.

• Если вы хотите создать список устройств, установка которых будет разрешена, даже если описанному выше параметру DenyUnspecified присвоено значение 1, то необходимо задать параметру AllowDeviceClasses значение 1. После этого нужно создать ветвь реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsDriverInstallRestrictionsAllowDeviceClasses, а уже в ней – параметр REG_DWORD-типа, названный в честь GUID-номера класса оборудования, после чего присвоить этому параметру значение 1.

• Если же вы хотите создать список устройств, установка которых будет запрещена, то необходимо присвоить параметру DenyDeviceClasses значение 1. После этого нужно создать ветвь реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsDriverInstallRestrictionsDenyDeviceClasses, а уже в ней – параметр REG_DWORD-типа, названный в честь GUID-номера класса оборудования, после чего присвоить этому параметру значение 1.

Запрет установки оборудования на основе идентификатора оборудования

Вместо GUID-номера класса оборудования при определении разрешенного или запрещенного для установки оборудования можно использовать идентификатор устройств. Узнать его так же просто, как и GUID-номер класса оборудования, – необходимо воспользоваться оснасткой Диспетчер устройств (консоль devmgmt.msc). На рис. 3.4 приведен пример окна, содержащего идентификатор модема. Обратите внимание, что одному устройству может быть сопоставлено сразу несколько идентификаторов (как правило, это идентификаторы от более общего, например идентифицирующего только производителя устройства, к более конкретному, например также идентифицирующему само устройство).

Рис. 3.4. Отображение идентификатора устройства

• Если вы хотите создать список устройств, установка которых будет разрешена, то необходимо присвоить параметру AllowDeviceIDs значение 1. После этого нужно создать ветвь реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsDriverInstallRestrictionsAllowDeviceIDs, а уже в ней – параметр REG_DWORD-типа, названный в честь идентификатора оборудования, после чего присвоить этому параметру значение 1.

• Если же вы хотите создать список устройств, установка которых будет запрещена, то необходимо присвоить параметру DenyDeviceIDs значение 1. После этого нужно создать ветвь реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsDriverInstallRestrictionsDenyDeviceIDs, а уже в ней – параметр REG_DWORD-типа, названный в честь идентификатора оборудования, после чего присвоить этому параметру значение 1.

Сообщение при установке запрещенного оборудования

Некоторые параметры находятся и в ветви реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsDriverInstallRestrictionsDeniedPolicy. Например, здесь можно найти параметры строкового типа SimpleText и DetailText. Значение первого из этих параметров определяет заголовок сообщения, отображаемого перед пользователем при попытке установки запрещенного оборудования. Второй же параметр определяет текст этого сообщения.

Ниже представлен REG-файл (расположение на компакт-диске – Файлы реестраРежимыInstDriverNoMessage.reg), изменяющий сообщение.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsDriverInstallRestrictionsDeniedPolicy]

"SimpleText"="Запрет установки"

"DetailText"="Данный тип оборудования запрещено устанавливать пользователям, не имеющим прав администратора"

Доступ к съемным устройствам

Кроме запрета на установку драйверов оборудования операционная система Windows Vista поддерживает запрет на подключение съемных устройств, для которых драйверы уже установлены.

Например, запретить доступ пользователей к любому типу съемных устройств можно с помощью параметров REG_DWORD-типа Deny_All и AllowRemoteDASD, расположенных в ветви реестра HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsRemovableStorageDevices. Для этого параметру Deny_All достаточно присвоить значение 1, а параметру AllowRemoteDASD – значение 0. Первый параметр запрещает доступ к съемным устройствам для локальных пользователей, а второй – для удаленных.

Если же необходимо запретить доступ к определенному типу съемных устройств, то следует воспользоваться одним из следующих подразделов ветви реестра HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsRemovableStorageDevices:

• {53f56308-b6bf-11d0-94f2-00a0c91efb8b} – определяет съемные оптические приводы;

• {53f56311-b6bf-11d0-94f2-00a0c91efb8b} – задает дисководы гибких дисков;

• {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} – определяет съемные запоминающие устройства;

• {53f5630b-b6bf-11d0-94f2-00a0c91efb8b} – задает ленточные накопители;

• {6AC27878-A6FA-4155-BA85-F98F491D4F33} – определяет WPD-устройства;

• {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE} – задает WPD-устройства.

В этих подразделах могут присутствовать два параметра REG_DWORD-типа: Deny_Read и Deny_Write. Если значение параметра Deny_Read равно 1, то чтение с соответствующего типа съемного носителя будет запрещено. Если же значение параметра Deny_Write равно 1, то будет запрещена запись на соответствующий тип съемного носителя.

Данный текст является ознакомительным фрагментом.