(1)彻底关闭USB设备的大门按下“Win+R”组合键，打开“运行”对话框，在这里手工输入“gpedit．msc”打开“组策略对象编辑器”窗口，在左侧任务窗格中依次选择“计算机配置一管理模板一系统一可移动存储访问”，然后在右侧窗格中选择“所有可移动存储类：拒绝所有权限”，双击打开属性窗口，在这里重新设置为“已启用”，最后单击“确定”按钮保存退出。

　　确认之后，当再次使用闪存等移动存储设备时，系统会弹出“拒绝访问”对话框，怎么样?够苛刻的吧!

　　(2)禁止写入数据不过，拒绝了所有权限之后，似乎对外来的USB设备过于苛刻了一些，毕竟很多时候我们还是需要读入数据。其实，这时候我们可以对“可移动磁盘：拒绝写入权限”进行设置，将默认的“未配置”更改为“已启用”，这样就可以防止向USB设备中写入数据，但读取数据的操作并不受禁止。

　　当然，如果你觉得有必要拒绝读取数据的操作，那么可以将“可移动磁盘：拒绝读取权限”设置为“已启用”。

　　(3)按需分配“后门”

　　按照上面的方法，似乎是“一网打尽”，固然外来的USB设备在本机上是无法使用了，但如果自己需要使用这些设备时，也会受到禁止，你可能不得不重新进入“组策略对象编辑器”进行相关的设置，虽然操作步骤并不是太复杂，但总感觉到有些别扭。

　　其实，我们可以为自己手头的USB设备暗自设置好“后门”，而其他外来的USB设备却仍然会受到禁止。请按照如下的步骤进行操作：

　　(1)进入“设备管理器”窗口，将相关USB设备的硬件ID复制下来，从“通用串行总线控制器”下选择“USB大容量存储设备”，右击打开属性窗口，切换到“详细信息”标签页，在“属性”下拉列表框中选择“硬件ID”，先“全选”再“复制”，将相关的硬件lD信息复制到记事本中备用。

　　(2)进入“组策略对象编辑器”窗口，依次选择“计算机配置→管理模板→系统→设备安装→设备安装限制”，在右侧窗格中双击选择“允许安装与下列设备ID相匹配的设备”，此时会弹出一个属性对话框，将默认设置“未配置”更改为“已启用”，此时“显示”按钮会变成可用的状态。

　　(3)单击“显示”按钮进入添加硬件ID的对话框，在这里单击“添加”按钮，将刚才获取的硬件ID数据粘贴进去，表示相关的设备允许被安装，遗憾的是这里每次只能添加一行，因此需要经过多次的添加才能完成。

　　经过这些设置之后，这台计算机上就只有被添加了硬件lD的USB设备才允许使用，而其他闪存在连接到计算机之后，虽然会提示“正在安装设备驱动程序软件”，但经过扫描之后却会提示“安装被策略禁止”，有这方面需要的朋友不妨一试。当然，你可要保存好自己的管理员密码。

　　如果你觉得有必要，甚至可以自定义设备被阻止安装时显示的气球标题和气球文本，这只需要在“计算机配置一管理模板→系统→设备安装→设备安装限制”下双击右侧窗格中的“当策略阻止时显示自定义信息”进行设置，具体操作这里就不多说了，朋友们可以自行尝试。