如果您希望在Windows系统中阻止员工或未经授权用户通过U盘拷贝敏感数据,则可通过组策略对USB存储设备实施系统级禁用。以下是具体操作步骤:
一、启用“所有可移动存储类:拒绝所有权限”
该策略直接作用于系统底层驱动访问层,一旦启用,Windows将拒绝为所有USB大容量存储设备(包括U盘、移动硬盘、读卡器等)分配访问权限,设备插入后不会显示盘符,也无法执行任何读写操作。
1、按下 Win + R 组合键,打开“运行”对话框。
2、输入 gpedit.msc 并按回车,启动本地组策略编辑器。
3、在左侧树形菜单中,依次展开:计算机配置 → 管理模板 → 系统 → 可移动存储访问。
4、在右侧窗格中,双击打开策略项:所有可移动存储类:拒绝所有权限。
5、选择“已启用”,点击“应用”,再点击“确定”。
6、重启计算机使设置生效。
二、分别限制读取与写入权限
若需保留U盘只读功能(例如允许查阅培训资料但禁止导出内部文件),可单独配置读写控制策略,实现更精细的权限分离,避免“一刀切”影响必要办公流程。
1、在相同路径“计算机配置 → 管理模板 → 系统 → 可移动存储访问”下,找到并双击:可移动磁盘:拒绝读取权限。
2、选择“已启用”,点击“确定”。
3、继续在同一位置,双击:可移动磁盘:拒绝写入权限。
4、选择“已启用”,点击“确定”。
5、如仅需禁止拷贝(即禁止写入),则只需启用后者;如需完全禁用访问,则两项均启用。
三、通过设备管理器禁用USB大容量存储控制器
此方法不依赖组策略,适用于未启用组策略编辑器的环境(如Windows家庭版),通过禁用驱动模块使系统无法识别任何USB存储设备,效果即时且无需重启(部分设备需重新插拔)。
1、右键点击“此电脑”或“我的电脑”,选择“管理”,进入“计算机管理”界面。
2、在左侧导航栏中,展开“系统工具” → “设备管理器”。
3、展开“通用串行总线控制器”或直接搜索“磁盘驱动器”下的“USB大容量存储设备”。
4、右键点击任一“USB大容量存储设备”条目,选择“禁用设备”。
5、重复操作,确保列表中所有同类设备均被禁用。
6、关闭窗口,插入U盘验证是否不再识别。
四、部署注册表级写保护(仅限禁止拷贝)
该方法不屏蔽U盘识别,而是强制将其设为只读状态,允许用户查看U盘内容,但无法将电脑中的任何文件写入U盘,从行为层面切断数据外泄路径,隐蔽性强且不影响其他USB设备(如鼠标、键盘)使用。
1、按 Win + R 打开运行框,输入 regedit 并回车,以管理员身份运行注册表编辑器。
2、导航至路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies。
3、若该路径不存在,右键“Control”项 → 新建 → 项,命名为 StorageDevicePolicies。
4、在新建项右侧空白处右键 → 新建 → DWORD (32位) 值,命名为 WriteProtect。
5、双击该值,将“数值数据”设为 1,基数选“十进制”,点击“确定”。
6、关闭注册表编辑器,重新插拔U盘即可生效。
评论(0)