域 GPO 删除 Win10 下的 USB-C 基座驱动程序

域 GPO 删除 Win10 下的 USB-C 基座驱动程序

首先介绍一些背景。

我有一台 Dell Precision 7510 笔记本电脑,通过 USB-C 连接到 Dell WD15。

  • Microsoft Windows 10 企业版
  • 版本 10.0.15063 内部版本 15063
  • 系统类型 基于 x64 的 PC

我的问题是,当连接到基座时,一切正常,突然间,基座被移除,需要手动安装驱动程序,才能使其再次工作。

我一直在研究这个问题,并相信根本原因是我的公司通过域名推送的组策略,但我一直无法让他们修复它,因此我正在探索是否有其他可用的选择。

我一直在调查 Dock 离线时的事件日志,发现一切都始于 GPO 更新: 在此处输入图片描述

然后设备就被删除了: 在此处输入图片描述

设备抛出错误: 在此处输入图片描述

然后出现设备需要进一步安装的信息: 在此处输入图片描述

然后出现驱动程序安装失败的信息,代码为 0xE0000248: 在此处输入图片描述

据我所知,此代码 0xE0000248 内容为:

系统策略禁止安装此设备。

这让我相信 GPO 应该为此负责,经过一番挖掘,我发现: 在此处输入图片描述

在检查“PCI 到 PCI 桥接器”属性时,我发现了该硬件的兼容 ID 列表:

在此处输入图片描述

基于在两处都提到了“PCI\CC_0C0A”的事实,我相信删除是由 GPO 触发的。如果有人有理由不同意我的结论,请提出来并解释原因。

最后,我的问题来了。我想知道兼容 ID 列表来自哪里?

案例 #1:当 Windows 检测到新设备时,该设备会将此列表通知 Windows,然后 Windows 尝试根据该列表找到合适的驱动程序。

案例 #2:该列表以某种方式来自 Windows 和/或驱动程序 inf 文件,然后 Windows 尝试根据该列表找到合适的驱动程序。

案例#3:完全不同的东西?

如果发生了 #2 的情况,那么我有没有办法从兼容 ID 列表中删除“PCI\CC_0C0A”,从而希望阻止 GPO 移除基座?

提前致谢。

谨致问候 Henrik V. Nielsen

答案1

这不是一个答案,而是我当前的解决方法。

因此,我最初的问题,如何防止 USB-C 底座将“PCI\CC_0C0A”注册为兼容设备 ID,仍然存在。如果可能的话?

更新 在正常工作日中,断开连接的情况发生了很多次,需要我手动重新安装 4 个驱动程序才能使其重新启动并运行。

我已经成功创建了一个脚本来缓解这个问题。

该脚本执行以下操作:

  • 将自身提升为管理员(基于此站点上的一篇文章中的脚本)
  • 通过在注册表中添加“DisableBkGndGroupPolicy”来启用策略“关闭 GPO 的后台刷新”
  • 从注册表中删除有问题的公司 GPO
  • 将脚本提升至 TrustedInstaller(名为 PowerRun 的第三方程序)
  • 从注册表中删除所有旧的 USB 基座驱动程序的痕迹(发现它们有时会产生问题)
  • 这就需要我来断开并重新连接 USB-C

早上,GPO 总会找到更新的方法(白天重启时不会发生这种情况,很奇怪),但通常只需一次即可重新安装。此外,我唯一需要做的就是在脚本执行后断开并重新连接 USB-C。

答案2

事情是这样的:你并不是在努力解决一个技术问题。它看上去像是一个技术问题,表现也像是一个技术问题,而且你找到了一个技术解决方法,但从根本上说,你面临的是人的问题。

在这种情况下,从根本上控制您正在使用的计算机的人(您有一个管理员帐户,但正如您所共享的,这并不能给您足够的控制权来解决此问题)似乎已经创建了一项策略(GPO),阻止您充分利用此硬件。

虽然从技术上来说,您可以继续绕过这个问题,但故意绕过他们可能至少从安全角度来看有有限理由的政策,会让您面临一定的风险。希望您的雇主不会对这样的事情太过挑剔,但有些人会,这可能会对您的工作产生影响。我怀疑这也会给您带来不便。

幸运的是,我认为确实有机会通过妥协来解决这个问题。首先,这里有一篇文章可能会在这种情况下推动管理员:[https://support.microsoft.com/en-us/topic/blocking-the-sbp-2-driver-and-thunderbolt-controllers-to-reduce-1394-dma-and-thunderbolt-dma-threats-to-bitlocker-bf0ef10b-f563-5cfc-9740-8340b1d86a0c]。“Thunderbolt 缓解”部分是最相关的,因为设备 ID 就是从这里来的。

其次,准备好理由。假设您出于某种原因将此设备添加到计算机中。它可能有助于您的工作,即使它可以让您使用对您更方便/更舒适的外接显示器、键盘或鼠标。只要您能解释这对组织有何好处,您就能更好地准备推动您的组织(无论是您的主管还是 IT 团队)做出任何努力。

文章相关部分的第一句话是第一个妥协的机会。如果您的系统较新(有一个链接可能更详细)并且使用的是较新版本的 Windows 10(很有可能?),则无需移除设备,并且您可能可以不受该政策的约束,而不会损害安全性。或者,您可以争辩说,尽早升级您的计算机是有意义的,这样您就可以利用这些硬件来提高效率。

或者,如果您阅读文章的其余部分,其他缓解措施可能是禁用计算机的待机模式,并禁用 Bitlocker 的仅 TPM 身份验证(这意味着您可能需要输入密码才能启动计算机;您可以判断这种权衡是否值得)。

另一种选择是与团队一起研究“请注意,新的 USB Type-C 连接器上的 Thunderbolt 3 包含新的安全功能,可以配置这些功能以防止此类攻击而无需禁用端口”这句话是否提供了任何缓解机会(例如,通过切换到更新或不同的设备)。

祝你在组织中一切顺利;希望你能与一些负责让你和你的团队真正完成工作的人交朋友。这将对每个人的未来大有裨益。

相关内容