由于 Surface 设备上默认启用 USB 端口功能，许多具有 Surface UEFI 的设备允许管理员关闭与 USB 端口的连接。 例如，你可能希望阻止用户从 U 盘或外部硬盘复制数据。

在开始本文中所述的过程之前，请先熟悉以下技术和工具：

该过程由以下部分组成：

招生： 使用 Surface UEFI 配置器将 Surface 设备和停靠注册到 SEMM，如使用 SEMM 保护 Surface 扩展坞端口中所述。 支持的扩展坞包括 Surface Dock 2 和 Surface Thunderbolt 4 扩展坞。 此工作流的关键是，每当设备与授权的 Surface Dock 断开连接时，能够关闭 USB-C 数据、以太网数据和 USB-C 音频，例如，在处理高度敏感信息的工作区环境中。

客户端配置：在面向管理的所有 Surface 设备上安装可从 Surface IT 工具包库获取的 UEFI 管理器。

PowerShell 脚本： 转到 Surface IT 工具包 ，下载并修改适合你的环境的 PowerShell 脚本。 按照使用 Microsoft Configuration Manager 通过 SEMM 管理设备中的说明，使用 Microsoft Configuration Manager 将脚本 (部署为应用程序 ) 目标设备。

有关使用指南，请参阅嵌入的注释。 有关定义和先决条件，请参阅 附录：SEMM PowerShell 脚本技术参考 。

对于支持 USB-2 和 USB-3 的 USB-A 端口，可以从 USB 控制器关闭 USB 数据协议，以防止所有功能。

使用 USB-C 端口对 DisplayPort 和 USB 电源传送的支持来管理 USB-C 端口提供了除关闭所有功能之外的更多选项。 例如，可以阻止数据连接来阻止用户从 USB 存储复制数据，但保留通过 USB-C 扩展坞扩展显示器和为设备充电的功能。

从 Surface Pro 8、Surface Laptop Studio 和 Surface Go 3 开始，可以通过 SEMM PowerShell 脚本使用精细 USB-C 管理选项。

转到 适用于 IT 的 Surface 工具 并下载 SEMM_PowerShell.zip。

如果还没有自己的证书，可以通过相应的示例脚本获取证书，如本页 的附录 中所述。

注意

将证书保存在安全的位置，并确保它们已正确备份。 如果没有它们，就不可能重置 Surface UEFI、更改托管的 Surface UEFI 设置或从已注册的 Surface 设备中删除 SEMM。

动态 USB-C 禁用使在高度安全的环境中运营的客户能够防止通过 USB 进行未经授权的数据传输，从而为组织提供更多的控制。 与 Surface Thunderbolt 4 扩展坞配对时，每当符合条件的 Surface 设备被取消停靠或连接到未经授权的扩展坞时，IT 管理员可以锁定 USB-C 端口。

提示

此功能在 Surface Pro 10、Surface Laptop 6 和 Surface Laptop Studio 2 上提供。

在此方案中，当用户连接到办公室的授权扩展坞时，USB-C 端口将通过其设备提供完整功能。 但是，当他们离开现场时，他们仍然可以连接到扩展坞以使用配件或监视器，但不能使用 USB 端口传输数据。

除了现有的操作模式外，动态 USB-C 禁用功能使 IT 管理员能够更灵活地使用新的“模式 3”管理设备：

模式 0 (默认模式) ： 未配置 SEMM 时的默认模式。

模式 1 (数据禁用) ： USB-C 和以太网数据处于禁用状态。 也禁用通过 USB-C 的音频。 显示出来并启用电源功能。

模式 2 (完全禁用) ： USB-C 和以太网数据处于禁用状态。 也禁用通过 USB-C 的音频。 显示出来，电源功能已禁用。

模式 3 (USB 端口身份验证) 也称为动态 USB-C 禁用。 仅当设备连接到授权的 Surface Thunderbolt 4 扩展坞时，USB-C 数据、以太网数据、USB-C 音频、显示输出和电源才可正常工作。 如果连接到未经授权的扩展坞，则仅显示，并且 Power 函数将正常工作。

现在，可以通过以下方法之一跨所有模式管理 USB-C 端口：

使用相应的预配脚本，如本页的 附录 中所述。

打开 ConfigureSEMM.ps1 并根据需要进行修改。 例如，若要禁用 USB-C 端口，请启用以下设置： UsbPortHwDisabled。 有关所有可用选项，请参阅下表。

USBPortHWDisabled

已禁用数据、显示输出和供电

USBPortHWDisabled

禁用了数据，但启用了显示和电源传送

禁用了数据、显示和电源传输

禁用了数据，但启用了显示和电源传送

禁用了数据、显示和电源传输

动态启用或禁用数据

动态 USB-C 禁用允许主机和扩展坞之间建立多对多关系。 这样，客户就可以将主机和扩展坞配置为与所有主机/扩展坞配合使用，或者将其设置为特定于部门以帮助进行资产管理。

- Surface Device 已安装 SurfaceUEFI_Manager_ (版本) .msi

- 包是通过 CreateSettingsPackage.ps1 或类似生成

- Surface Device 已安装 SurfaceUEFI_Manager_ (版本) .msi

- 包是通过 CreateSettingsPackage.ps1 或类似生成

- 应用创建的预配包

- Dock 证书颁发机构 (DockCA) - p7b 证书，用于控制 Surface Dock 2 的所有权

- 扩展坞预配证书 (ProvCert) - pfx 证书，用于使用 EKU 1.3.6.1.4.1.311.76.9.21.3 对扩展坞配置包进行签名

- 在将程序包创建预配到 -CertStoreLocation Cert：\LocalMachine\Root 期间，必须在 Surface 计算机上安装此证书及其完全信任链

- 停靠主机授权证书 (HostCert) - pfx 证书，用于授权 Surface 计算机使用授权用户扩展坞安全策略

- 此证书及其完全信任链必须在扩展坞预配期间安装在 Surface 计算机上 (，并且只有此证书) 到 -CertStoreLocation Cert：\LocalMachine\Root

- 在创建预配包期间，不得在 Surface 计算机上安装此证书

- Surface Dock 2

-适用于 Surface Dock 的 WMI 实例提供程序。 若要了解详细信息，请参阅 使用 WMI 管理 Surface 扩展坞

- 创建并应用 SAM 证书颁发机构 CFU 有效负载

- Dock 证书颁发机构 (DockCA) - p7b 证书，用于控制 Surface Thunderbolt 4 扩展坞的所有权

- 以下 Surface 计算机 () 尚不支持的其他型号之一：Surface Laptop Studio 2

- 证书颁发机构文件列表 (.p7b) 。 SAM 最多可以支持 10 个不同的 CA

- 以下 Surface 计算机 () 尚不支持的其他型号之一：Surface Laptop Studio 2

- 应用创建的策略包

- 扩展坞预配证书 (ProvCert) - pfx 证书，用于使用 EKU 1.3.6.1.4.1.311.76.9.21.3 对扩展坞配置包进行签名

- 在将程序包创建预配到 -CertStoreLocation Cert：\LocalMachine\Root 期间，必须在 Surface 计算机上安装此证书及其完全信任链

- 停靠主机授权证书 (HostCert) - pfx 证书，用于授权 Surface 计算机使用授权用户扩展坞安全策略

- 此证书及其完全信任链必须在扩展坞预配期间安装在 Surface 计算机上 (，并且只有此证书) 到 -CertStoreLocation Cert：\LocalMachine\Root

- 在创建预配包期间，不得在 Surface 计算机上安装此证书

- 停靠身份验证证书 (DockAuthCert)

- Surface Thunderbolt 4 扩展坞

- 应用创建的预配包

- 将证书颁发机构文件 (DepartmentCA 和/或 OrganizationCA) - p7b 证书，用于控制 Surface Thunderbolt 4 扩展坞的所有权

- 扩展坞预配证书 (ProvCert) - pfx 证书，用于使用 EKU 1.3.6.1.4.1.311.76.9.21.3 对扩展坞配置包进行签名

- 在将程序包创建预配到 -CertStoreLocation Cert：\LocalMachine\Root 期间，必须在 Surface 计算机上安装此证书及其完全信任链

- 停靠主机授权证书 (HostCert) - pfx 证书，用于授权 Surface 计算机使用授权用户扩展坞安全策略

- 此证书及其完全信任链必须在扩展坞预配期间安装在 Surface 计算机上 (，并且只有此证书) 到 -CertStoreLocation Cert：\LocalMachine\Root

- 在创建预配包期间，不得在 Surface 计算机上安装此证书

- 停靠身份验证证书 (DockAuthCert)

- Surface Thunderbolt 4 扩展坞

- 所有权证书签名密钥已生成且可访问

- 以下 Surface 计算机 () 尚不支持的其他型号之一：Surface Laptop Studio 2

- 创建权限包

- 应用创建的所有者和权限包

- 所有权证书签名密钥已生成且可访问

- Surface 设备具有兼容的已启用 SEMM 的 UEFI

- 可以在 IT 管理员工作站上运行， (不需要是 Surface 设备)

- 所有权证书签名密钥已生成且可访问

- 已生成新的所有权证书签名密钥，可供访问

- 已生成现有所有权证书签名密钥，可供访问

- 所有权证书签名密钥已生成且可访问

- 所有权证书签名密钥已生成且可访问

- 它们可与配置和重置脚本或配置器结合使用

- 它们可与配置和重置脚本或配置器结合使用

- 注意： 此处创建的证书适用于测试目的，但简单化，不建议用于实际部署。

- 我们强烈建议通过阅读有关 PKI 的主题详细了解 PKI 最佳做法，如下所示： 实现 Microsoft Windows Server 2003 公钥基础结构的最佳做法

- Surface Device 已安装 SurfaceUEFI_Manager_ (版本) .msi

- 应用创建的重置包

- 停靠证书颁发机构 (DockCA) - p7b 证书文件，用于控制 Surface Dock 2 的所有权

- 停靠预配证书 (ProvCert) - 一个 pfx 证书文件，用于使用 EKU 1.3.6.1.4.1.311.76.9.21.3 对扩展坞配置包进行签名

- 在将程序包创建预配到 -CertStoreLocation Cert：\LocalMachine\Root 期间，必须在 Surface 计算机上安装此证书及其完全信任链

- 将主机授权证书 (HostCert) - 用于授权 Surface 计算机使用授权用户扩展坞安全策略的 pfx 证书文件

- 此证书及其完全信任链必须在扩展坞预配期间安装在 Surface 计算机上 (，并且只有此证书) 到 -CertStoreLocation Cert：\LocalMachine\Root

- 在创建预配包期间，不得在 Surface 计算机上安装此证书

- Surface Dock 2

- Surface Dock 2 的 WMI 实例提供程序。 若要了解详细信息，请参阅 使用 WMI 管理 Surface 扩展坞。

- 应用创建的重置包

- 停靠预配证书 (ProvCert) - 一个 pfx 证书文件，用于使用 EKU 1.3.6.1.4.1.311.76.9.21.3 对扩展坞配置包进行签名

- 在将程序包创建预配到 -CertStoreLocation Cert：\LocalMachine\Root 期间，必须在 Surface 计算机上安装此证书及其完全信任链

- 将主机授权证书 (HostCert) - 用于授权 Surface 计算机使用授权用户扩展坞安全策略的 pfx 证书文件

- 此证书及其完全信任链必须在扩展坞预配期间安装在 Surface 计算机上 (，并且只有此证书) 到 -CertStoreLocation Cert：\LocalMachine\Root

- 在创建预配包期间，不得在 Surface 计算机上安装此证书

- Surface Thunderbolt 4 扩展坞

- Surface Device 已安装 SurfaceUEFI_Manager_ (版本) .msi

- 证书已生成， (可访问，密码为 1234)

- 此 Surface 设备以前是使用相同的证书注册的

- Surface Device 已安装 SurfaceUEFI_Manager_ (版本) .msi

- 应用了包并保存了会话 ID 文件。