(1)彻底关闭USB设备的大门按下“Win+R”组合键,打开“运行”对话框,在这里手工输入“gpedit.msc”打开“组策略对象编辑器”窗口,在左侧任务窗格中依次选择“计算机配置一管理模板一系统一可移动存储访问”,然后在右侧窗格中选择“所有可移动存储类:拒绝所有权限”,双击打开属性窗口,在这里重新设置为“已启用”,最后单击“确定”按钮保存退出。
确认之后,当再次使用闪存等移动存储设备时,系统会弹出“拒绝访问”对话框,怎么样?够苛刻的吧!
(2)禁止写入数据不过,拒绝了所有权限之后,似乎对外来的USB设备过于苛刻了一些,毕竟很多时候我们还是需要读入数据。其实,这时候我们可以对“可移动磁盘:拒绝写入权限”进行设置,将默认的“未配置”更改为“已启用”,这样就可以防止向USB设备中写入数据,但读取数据的操作并不受禁止。
当然,如果你觉得有必要拒绝读取数据的操作,那么可以将“可移动磁盘:拒绝读取权限”设置为“已启用”。
(3)按需分配“后门”
按照上面的方法,似乎是“一网打尽”,固然外来的USB设备在本机上是无法使用了,但如果自己需要使用这些设备时,也会受到禁止,你可能不得不重新进入“组策略对象编辑器”进行相关的设置,虽然操作步骤并不是太复杂,但总感觉到有些别扭。
其实,我们可以为自己手头的USB设备暗自设置好“后门”,而其他外来的USB设备却仍然会受到禁止。请按照如下的步骤进行操作:
(1)进入“设备管理器”窗口,将相关USB设备的硬件ID复制下来,从“通用串行总线控制器”下选择“USB大容量存储设备”,右击打开属性窗口,切换到“详细信息”标签页,在“属性”下拉列表框中选择“硬件ID”,先“全选”再“复制”,将相关的硬件lD信息复制到记事本中备用。
(2)进入“组策略对象编辑器”窗口,依次选择“计算机配置→管理模板→系统→设备安装→设备安装限制”,在右侧窗格中双击选择“允许安装与下列设备ID相匹配的设备”,此时会弹出一个属性对话框,将默认设置“未配置”更改为“已启用”,此时“显示”按钮会变成可用的状态。
(3)单击“显示”按钮进入添加硬件ID的对话框,在这里单击“添加”按钮,将刚才获取的硬件ID数据粘贴进去,表示相关的设备允许被安装,遗憾的是这里每次只能添加一行,因此需要经过多次的添加才能完成。
经过这些设置之后,这台计算机上就只有被添加了硬件lD的USB设备才允许使用,而其他闪存在连接到计算机之后,虽然会提示“正在安装设备驱动程序软件”,但经过扫描之后却会提示“安装被策略禁止”,有这方面需要的朋友不妨一试。当然,你可要保存好自己的管理员密码。
如果你觉得有必要,甚至可以自定义设备被阻止安装时显示的气球标题和气球文本,这只需要在“计算机配置一管理模板→系统→设备安装→设备安装限制”下双击右侧窗格中的“当策略阻止时显示自定义信息”进行设置,具体操作这里就不多说了,朋友们可以自行尝试。