如果您希望在Windows系统中阻止用户接入U盘等USB存储设备,可通过组策略编辑器对可移动存储访问权限进行强制限制。以下是具体操作步骤:
一、启用“所有可移动存储类:拒绝所有权限”策略
该策略通过系统级组策略直接拦截所有可移动存储设备的读写与执行权限,适用于Windows专业版、企业版及教育版,生效后U盘插入将无法被识别或访问。
1、按下 Win + R 组合键,输入 gpedit.msc,回车打开本地组策略编辑器。
2、在左侧树形菜单中依次展开:计算机配置 → 管理模板 → 系统 → 可移动存储访问。
3、在右侧窗格中找到并双击打开策略项:所有可移动存储类:拒绝所有权限。
4、在弹出窗口中选择 已启用,点击 确定 保存设置。
二、禁用USBSTOR服务启动类型
此方法从驱动服务层面阻止USB大容量存储设备加载,即使组策略未覆盖全部场景,也能形成双重防护,确保USB存储驱动无法启动。
1、在组策略编辑器中,导航至:计算机配置 → 管理模板 → 系统 → 设备安装 → 设备安装限制。
2、启用策略:禁止安装可移动大容量存储设备。
3、另需手动验证服务状态:按 Win + R 输入 services.msc,定位到 USB Storage(或 USBSTOR)服务,右键属性,将启动类型设为 禁用。
三、修改USB存储驱动文件访问权限
通过限制系统关键驱动文件(Usbstor.inf 和 Usbstor.pnf)的安全权限,使普通用户及SYSTEM账户均无法加载USB存储驱动模块,实现底层阻断。
1、打开文件资源管理器,进入路径:%SystemRoot%\Inf(通常为 C:\Windows\Inf)。
2、找到文件 Usbstor.inf,右键 → 属性 → 安全选项卡。
3、点击 编辑 → 添加,输入 SYSTEM 并确认;再添加当前受限用户或用户组。
4、对每个添加的账户,在权限列表中勾选 拒绝 下的 完全控制,点击确定。
5、重复步骤2–4,对同目录下的 Usbstor.pnf 文件执行相同权限设置。
四、部署基于注册表的组策略备份管控
当组策略因权限或版本限制不可用时,可结合注册表键值同步强化限制效果,确保策略持久化且难以绕过。
1、按 Win + R 输入 regedit,导航至:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices。
2、若该路径不存在,右键“Windows”项 → 新建 → 项,命名为 RemovableStorageDevices。
3、在新建项内右键 → 新建 → DWORD (32位) 值,命名为 {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}(USB大容量存储设备Class GUID)。
4、双击该DWORD值,将数值数据设为 0,表示完全禁用该设备类。
评论(0)