หนึ่งในความท้าทายที่ใหญ่ที่สุดสำหรับผู้ดูแลระบบไอทีในบริษัทคือการบล็อกการเข้าถึงอุปกรณ์ต่างๆ เช่น USB, ฮาร์ดไดรฟ์ภายนอก และแม้แต่เครื่องพิมพ์ไปยังอุปกรณ์ขององค์กร เพื่อให้ง่ายขึ้นเล็กน้อย Microsoft ได้เปิดตัวคุณลักษณะ Layered Group Policy ที่ช่วยให้ผู้ดูแลระบบสามารถแบ่งอุปกรณ์ที่สามารถติดตั้งบนเครื่องได้ทั่วทั้งองค์กร
Layered Group Policy ใน Windows 11 คืออะไร
นโยบายกลุ่มนี้มีจุดมุ่งหมายเพื่อให้แน่ใจว่าเครื่องได้รับความเสียหายน้อยลง จำนวนกรณีการสนับสนุนลดลง และที่สำคัญที่สุดคือการลดการขโมยข้อมูล นโยบายนี้ช่วยให้แน่ใจว่าจะจำกัดการติดตั้ง เช่น การใช้อุปกรณ์ทั้งในสภาพแวดล้อมภายในและภายนอกจะถูกบล็อก ผู้ดูแลระบบไอทีสามารถเลือกที่จะใช้งาน/ติดตั้งอุปกรณ์ที่อนุญาตล่วงหน้าได้
มีให้ที่นี่ สคริปต์ช่วยให้แน่ใจว่าไม่ได้บล็อกทุกคลาส:
การกำหนดค่าคอมพิวเตอร์> ระบบ> การติดตั้งอุปกรณ์> ข้อจำกัดในการติดตั้งอุปกรณ์
ซึ่งหมายความว่าหากคุณเลือกบล็อกการใช้อุปกรณ์ USB จะบล็อกเท่านั้น ก้าวไปข้างหน้าหนึ่งก้าว คุณลักษณะใหม่นี้จะแก้ปัญหาก่อนหน้านี้ซึ่งจำเป็นต้องสร้างหลายชุดเพื่อหลีกเลี่ยงความขัดแย้ง แต่คุณมี Instance ID> Device ID> Class> Removable device แทน
วิธีการใช้ Layered Group Policy ใน Windows 11
นโยบายแรกที่คุณต้องเปิดใช้งานคือ — ใช้ลำดับชั้นของการประเมินสำหรับนโยบายอนุญาตและป้องกันการติดตั้งอุปกรณ์ในทุกเกณฑ์การจับคู่อุปกรณ์ .
เมื่อเสร็จแล้ว จะมีชุดนโยบายเพิ่มเติม และคุณต้องแน่ใจว่าได้รักษาลำดับชั้น (ID อินสแตนซ์อุปกรณ์> ID อุปกรณ์> คลาสการตั้งค่าอุปกรณ์> อุปกรณ์ที่ถอดออกได้) นี่คือนโยบายที่เกี่ยวข้องกับแต่ละนโยบาย:
รหัสอินสแตนซ์อุปกรณ์
- ป้องกันการติดตั้งอุปกรณ์โดยใช้ไดรเวอร์ที่ตรงกับ ID อินสแตนซ์อุปกรณ์เหล่านี้
- อนุญาตให้ติดตั้งอุปกรณ์โดยใช้ไดรเวอร์ที่ตรงกับ ID อินสแตนซ์อุปกรณ์เหล่านี้
รหัสอุปกรณ์
- ป้องกันการติดตั้งอุปกรณ์โดยใช้ไดรเวอร์ที่ตรงกับรหัสอุปกรณ์เหล่านี้
- อนุญาตให้ติดตั้งอุปกรณ์โดยใช้ไดรเวอร์ที่ตรงกับรหัสอุปกรณ์เหล่านี้
คลาสการตั้งค่าอุปกรณ์
- ป้องกันการติดตั้งอุปกรณ์โดยใช้ไดรเวอร์ที่ตรงกับคลาสการตั้งค่าอุปกรณ์เหล่านี้
- อนุญาตให้ติดตั้งอุปกรณ์โดยใช้ไดรเวอร์ที่ตรงกับคลาสการตั้งค่าอุปกรณ์เหล่านี้
อุปกรณ์ที่ถอดออกได้
- ป้องกันการติดตั้งอุปกรณ์ที่ถอดออกได้
กำหนดค่าแต่ละรายการโดยเพิ่มรหัสอุปกรณ์หรือรหัสคลาสแล้วนำการเปลี่ยนแปลงไปใช้
Microsoft แนะนำให้ใช้นโยบายนี้แทน “ป้องกันการติดตั้งอุปกรณ์ที่ไม่ได้อธิบายโดยการตั้งค่านโยบายอื่นๆ ” การกำหนดนโยบายเนื่องจากโครงสร้างชั้น
จะค้นหา Hardware ID หรือ Compatible ID ได้อย่างไร?
- เปิด Device Manager โดยใช้ Win + X แล้วกด M
- ระบุตำแหน่งอุปกรณ์ คลิกขวาแล้วเลือก Properties
- สลับไปที่แท็บรายละเอียด
- คลิกที่ดรอปดาวน์คุณสมบัติ และคุณสามารถเลือก ID ฮาร์ดแวร์ ID คลาส และรายละเอียดอื่นๆ ได้ที่นี่ ค่าที่แน่นอนจะอยู่ในส่วนค่า
จะเพิ่มรหัสอุปกรณ์ในรายการอนุญาตได้อย่างไร
- เปิดนโยบาย— อนุญาตให้ติดตั้งอุปกรณ์ที่ตรงกับรหัสอุปกรณ์เหล่านี้ .
- เลือก Enabled จากนั้นคลิกที่ปุ่ม Show ใต้ Options
- เพิ่ม Compatible ID หรือ Hardware ID ลงในรายการ
- นำการเปลี่ยนแปลงไปใช้
คุณยังบล็อกการติดตั้งอุปกรณ์เฉพาะได้โดยใช้นโยบายป้องกันการติดตั้ง
จะอนุญาตให้ผู้ดูแลระบบแทนที่ข้อจำกัดการติดตั้งอุปกรณ์ได้อย่างไร
มีนโยบายเฉพาะสำหรับสิ่งนี้ซึ่งคุณสามารถเปิดใช้งานได้ เมื่อเปิดใช้งานแล้ว สมาชิกของกลุ่มผู้ดูแลระบบสามารถใช้วิซาร์ด Add Hardware หรือตัวช่วยอัปเดตไดรเวอร์เพื่อติดตั้งและอัปเดตอุปกรณ์ได้
จะตั้งค่าไทม์เอาต์เพื่อบังคับใช้การเปลี่ยนแปลงนโยบายได้อย่างไร
หากคุณต้องการบังคับใช้การเปลี่ยนแปลงนโยบาย คุณต้องรีบูต การตั้งค่าทำให้คุณสามารถตั้งค่า Reboot Timeout ที่แสดงต่อผู้ใช้ปลายทาง เพื่อให้แน่ใจว่าไม่มีข้อมูลสูญหาย
ฉันหวังว่าโพสต์จะอธิบายให้คุณทราบอย่างชัดเจนเกี่ยวกับ Layered Group Policy ใน Windows 11
นโยบายนี้ยังมีอยู่ใน Windows 10 โดยเป็นส่วนหนึ่งของการเปิดตัวไคลเอ็นต์ “C” ที่เป็นตัวเลือกในเดือนกรกฎาคม 2021 และจะมีการเปิดให้ใช้งานในวงกว้างมากขึ้นโดยเริ่มในการอัปเดตในวันอังคารที่ 2021 เดือนสิงหาคม
