域 GPO 删除 Win10 下的 USB-C 基座驱动程序

这不是一个答案，而是我当前的解决方法。

因此，我最初的问题，如何防止 USB-C 底座将“PCI\CC_0C0A”注册为兼容设备 ID，仍然存在。如果可能的话？

更新 在正常工作日中，断开连接的情况发生了很多次，需要我手动重新安装 4 个驱动程序才能使其重新启动并运行。

我已经成功创建了一个脚本来缓解这个问题。

该脚本执行以下操作：

• 将自身提升为管理员（基于此站点上的一篇文章中的脚本）
• 通过在注册表中添加“DisableBkGndGroupPolicy”来启用策略“关闭 GPO 的后台刷新”
• 从注册表中删除有问题的公司 GPO
• 将脚本提升至 TrustedInstaller（名为 PowerRun 的第三方程序）
• 从注册表中删除所有旧的 USB 基座驱动程序的痕迹（发现它们有时会产生问题）
• 这就需要我来断开并重新连接 USB-C

早上，GPO 总会找到更新的方法（白天重启时不会发生这种情况，很奇怪），但通常只需一次即可重新安装。此外，我唯一需要做的就是在脚本执行后断开并重新连接 USB-C。

事情是这样的：你并不是在努力解决一个技术问题。它看上去像是一个技术问题，表现也像是一个技术问题，而且你找到了一个技术解决方法，但从根本上说，你面临的是人的问题。

在这种情况下，从根本上控制您正在使用的计算机的人（您有一个管理员帐户，但正如您所共享的，这并不能给您足够的控制权来解决此问题）似乎已经创建了一项策略（GPO），阻止您充分利用此硬件。

虽然从技术上来说，您可以继续绕过这个问题，但故意绕过他们可能至少从安全角度来看有有限理由的政策，会让您面临一定的风险。希望您的雇主不会对这样的事情太过挑剔，但有些人会，这可能会对您的工作产生影响。我怀疑这也会给您带来不便。

幸运的是，我认为确实有机会通过妥协来解决这个问题。首先，这里有一篇文章可能会在这种情况下推动管理员：[https://support.microsoft.com/en-us/topic/blocking-the-sbp-2-driver-and-thunderbolt-controllers-to-reduce-1394-dma-and-thunderbolt-dma-threats-to-bitlocker-bf0ef10b-f563-5cfc-9740-8340b1d86a0c]。“Thunderbolt 缓解”部分是最相关的，因为设备 ID 就是从这里来的。

其次，准备好理由。假设您出于某种原因将此设备添加到计算机中。它可能有助于您的工作，即使它可以让您使用对您更方便/更舒适的外接显示器、键盘或鼠标。只要您能解释这对组织有何好处，您就能更好地准备推动您的组织（无论是您的主管还是 IT 团队）做出任何努力。

文章相关部分的第一句话是第一个妥协的机会。如果您的系统较新（有一个链接可能更详细）并且使用的是较新版本的 Windows 10（很有可能？），则无需移除设备，并且您可能可以不受该政策的约束，而不会损害安全性。或者，您可以争辩说，尽早升级您的计算机是有意义的，这样您就可以利用这些硬件来提高效率。

或者，如果您阅读文章的其余部分，其他缓解措施可能是禁用计算机的待机模式，并禁用 Bitlocker 的仅 TPM 身份验证（这意味着您可能需要输入密码才能启动计算机；您可以判断这种权衡是否值得）。

另一种选择是与团队一起研究“请注意，新的 USB Type-C 连接器上的 Thunderbolt 3 包含新的安全功能，可以配置这些功能以防止此类攻击而无需禁用端口”这句话是否提供了任何缓解机会（例如，通过切换到更新或不同的设备）。

祝你在组织中一切顺利；希望你能与一些负责让你和你的团队真正完成工作的人交朋友。这将对每个人的未来大有裨益。