logo_intune

  

HOWTO: 通过 Intune 配置 Windows 客户端拒绝向移动存储写入数据

  

        在企业环境下一些 Windows 客户端将受到严格的管控,尤其是在一些涉及敏感数据的场景中,通常需要禁止将本机数据写入到 USB 等移动存储设备中,以避免数据泄露。如果企业正在使用 Intune 管理这些客户端和策略,那将很轻松的能够实现这些需求,并且提供了更为灵活全面的管控方案。今天就跟随 gOxiA 来做这个配置实践,首先登录 Microsoft Intune 管理中心,进入“设备 – Windows - 配置文件”,然后“创建”配置文件,“平台”这里选择“Windows 10 和更高版本”,“配置文件类型”选择“设置目录”。

  

1

  

        进入“创建配置文件”向导页面,先为配置文件填入一个名称,本例为“Deny Removable Storage Write Access”。

  

2

  

        然后,找到“Storage”类别(也可以通过搜索找到),然后选中“Remove Disk Deny Write Access”,之后将左侧内容窗格中的配置启用 - “Enabled”即可。

  

        OK!到这里主要配置完成,是不是非常轻松便捷!但是我们从备注中可以了解到,一旦启用该配置,将拒绝所有移动存储的写入。对于那些希望允许将数据写入移动存储已启用 Bitlocker To Go 的组织,则建议改用“Computer Configuration\Administrative Templates\Windows Components\Bitlocker Drive Encryption\Removable Data Drivers”进行配置,如果希望改用则继续关注后面的截图。

  

3

  

        我们可以搜索“Bitlocker”分类,找到“Administrative Templates\Windows Components\Bitlocker Drive Encryption\Removable Data Drives”,勾选“Deny write access to removable drives not protected by Bitlocker”,这里我们应当留意它的子选项“Do not allow write access to devices configured in another organization”,这将禁止写入到非授权的设备,即使它已经使用 Bitlocker。此外,我们还要注意,这个分类配置会被前面的“Remove Disk Deny Write Access”覆盖,所以不能同时配置。

  

4

  

        OK,一旦决定采用的限制方案即可完成配置进入配置文件分配的页面,最后宣告完成。

  

5

  

        如果您希望创建更为复杂的限制策略,可以搜索“Removable”,在“Removable Storage Access”分类中提供了多达38个策略,其中我们可以使用“Custom Classes”为特定设备配置禁止访问的权限。通过“Device Installation Restrictions”还可以允许安装特定的设备进行更为复杂全面的管控,多管齐下的方案总有能够适配组织安全需求的。

  

        最后,如果我们推送了“Remove Disk Deny Write Access”策略,并希望在客户端上验证是否应用了该策略,可以通过事件日志查看器找到“Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider”,并查阅事件ID813的日志,其中能够看到相关的记录。

Windows_logo_horiz_blue_rgb

HOWTO: 在 Windows 10/11 上实现网卡聚合

        Windows 平台提供了强大的网络支持,如果我们在一台 Windows 设备上安装了多块网卡并且希望能够将其绑定在一起聚合使用,例如提升带宽!那么要实现它将会是非常容易的一件事情。今天 gOxiA 将快速分享这一功能的实现方法。本例是基于 Hyper-V VM 环境,为 VM 配置了两块网卡,其桥接在一块物理无线网卡上。所以我们暂不考虑网卡对于聚合的兼容性问题。

        首先,以管理员权限启动 PowerShell,我们可以先使用 Get-NetAdapter 命令获取当前网卡信息。

NIC-Info

        然后使用 New-NetSwitchTeam 命令创建网卡聚合,如:new-switchteam -name nicteam -teammembers "以太网","以太网 2"

new-netswitchteam

         之后,重启计算机我们可以通过 Get-NetAdapter, Get-NetSwitchTeam, IPConfig 来确认相关信息。

nicteam-info

参考链接:

New-NetSwitchTeam | Microsoft Learn

        此外,还有一个 PowerShell 指令也可以实现,但默认会提示不适用当前 Windows SKU,但不妨大家可以了解。它是 New-NetLbfoTeam,该命令用于创建基于“负载平衡/故障转移”的网卡聚合,这种聚合模式除了提高网络带宽,也增强了容错能力,因为支持多种负载平衡算法,以及故障转移和容错功能。

Windows_logo_horiz_blue_rgb

Windows 11 Insider Preview 26040 发布全新 Windows Setup 体验

        近日微软向 Windows Insider Canary Channel 发布了最新的 Preview 版本 - 26040,在众多增强和改进中 gOxiA 特别感兴趣的就是全新的 Windows Setup 体验,因为这关乎在企业环境下批量自动化部署的各项流程和配置。

UpdatedWindowsSetupExperience

        利用周末时间 gOxiA 做了快速的测试,并收集了 Windows Setup 新体验的过程截图,供有需要的 ITPro 参考,也为日后实现自动化部署奠定实践基础。从以下截图可以看到,首先 Windows Setup 启动后仍是直接从语言设置开始,只是“键盘和输入方法”从语言设置剥离成为单独的一页。(PS:不太清楚这样设计的意义!!!)

1

2

添加了安装选项,分别三个:安装 Windows 11修复个人电脑启动旧体验。在使用“安装 Windows 11”时需要复选“我同意将删除所有内容,包括文件、应用和设置”才能下一步继续安装。“启动旧体验”则是我们熟悉的 Windows Setup 界面。(PS:不知道最终版的 Windows Setup 新体验会什么样,起码目前看起来感觉只是在做一种尝试,因为一些界面感觉是比较多余的。同时也没有看到从云端安装源文件的选项。)

3

        如果选择“修复个人电脑”,则会转到如下键盘布局选择界面,然后再显示选项界面,对于硬盘上没有操作系统的,则仅提供“疑难解答”和“关闭电脑”的选项。如果硬盘上存在系统,则会提示“继续”、“使用设备”、“疑难解答”和“关闭电脑”的选项。这与旧安装体验的“修复计算机”是保持一致的。(PS:目前还没有看到 Online 方式修复的功能)

3-Repair-1

3-Repair-23-Repair-2-existOS

        在“疑难解答”中提供了以下选项:“启动修复、命令提示符、卸载更新、UEFI 固件设置、系统还原、系统映像恢复”。看起来与之前的版本也保持了一致。

3-Repair-3

        使用全新的体验 - “安装 Windows 11”,会来到产品密钥的向导界面,如果不输入密钥则无法点击下一步,但可以点击位于左下方的“I don't have a product key”以跳过(PS:它是一个文本形式的选项,虽然它不是一个醒目的按钮)。

4

        映像选择,以及之后的声明和许可条款,和不满足硬件需求的向导界面倒是延续了以往的设计。

5

6

6-noRequired

        硬盘和分区向导界面倒是有了挺大的改动,对于新硬盘并且不打算额外创建分区,可以直接点击下一步,Windows Setup 会自动分区格式化。

7

        我们也可以手动创建分区,在指定了系统卷的大小后,向导会自动创建 EFI 引导分区和 MSR 分区,从截图可见 EFI 引导分区默认为 100MB。(PS:gOxiA 在部署实践时更青睐 260MB 大小的 EFI 分区)

7-createpartition

        Windows Setup 应答部分完成旧可以开始安装,向导会再提示确认是否要进行全新安装。之后的安装进度界面大改,变成了纯文本方式。此外在全新 Windows Setup 体验下,一样可以通过热键调出 CMD 窗口。Windows Setup 结束后重启会进入 Specialized 阶段,说明 Windows Setup 安装逻辑并没有改变,那以往的映像定制流程不会受到影响。

8

9-1

10

        Windows Setup 新体验到这里就算告一段落,不知道各位看官是否有不同的建议和意见,不妨留言讨论!此外,26040 对应的 ADK 也有发布,可供大家下载安装使用。

相关链接:

下载 Windows 预览体验成员 ISO | Microsoft Learn

分页: 3/470 第一页 上页 1 2 3 4 5 6 7 8 9 10 下页 最后页 [ 显示模式: 摘要 | 列表 ]