グループポリシーを利用してデバイスのインストールを制御する

Windows10のカーネルDMA保護 が有効かどうか、[ファイル名を指定して実行]から msinfo32 を使って調べたところ、[無効]だった(マザーボードが古いからしょうがないね)ので次善策としてグループポリシーによるデバイスインストール制御について設定したのでメモ。

BitLocker に対する 1394 DMA と Thunderbolt DMA の脅威を軽減するための SBP-2 ドライバーと Thunderbolt コントローラーのブロック

[Windows]+[R] で [ファイル名を指定して実行]から gpedit.msc と入力して[Enter]

グループポリシーエディターを起動します。

[コンピューターの構成]-[管理用テンプレート]-[システム]-[デバイスのインストール]-[デバイスのインストールの制限] から [他のポリシー設定で記述されていないデバイスのインストールを禁止する] を[有効]にします。

一方、[Windows]+[X] でショートカットメニューから[デバイスマネージャー]を起動して、許可するデバイスのハードウェアを右クリック、[プロパティ]から[詳細]タブの[ハードウェアID] を表示して[コピー]します。

同じくグループポリシーの[コンピューターの構成]-[管理用テンプレート]-[システム]-[デバイスのインストール]-[デバイスのインストールの制限] の中の[これらのデバイスIDと一致するデバイスのインストールを許可する]を [有効] にして、先ほどコピーした[ハードウェアID] をリストに登録します。

リストにないハードウェアドライバーをデバイスマネージャーからアンインストールしてみます。

機器を再び、取り付けるとシステムから警告が表示されドライバーのインストールが制限されているのが確認できました。

Thunderbolt のID「 PCI\CC_0C0A 」を[これらのデバイスIDと一致するデバイスのインストールを禁止する]一覧に登録して作業終了です。

参考URL: グループ ポリシーを使用してデバイスのインストールを制御するためのステップバイステップ ガイド(英語)

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です