实现目标

随着 USB 接口设备的普及，给我们带来方便之余，伴随着也带来了不少风险，例如病毒、机密文件丢失等问题。现在有不少公司、企业，甚至是学校，为了防止各种风险，都不希望员工使用 U 盘或者其他可移动存储设备。传统的做法都是将 USB 接口堵死，将其用玻璃胶封住，这样子做，不仅破坏了硬件，导致其他 USB 设备无法使用，而且其工作量实在是大——如今的电脑动辄就有十来个 USB 接口，一个机房至少也有几十台计算机。

为了两全其美，我们可以考虑使用系统组策略来对 USB 设备实现封杀。

我们通过组策略，可以对下列情形实现控制：

　　●  只有指定类型的设备可以安装，其他未指定设备一律无法安装

　　●  只有指定的具体硬件可以安装，其他未指定的硬件一律无法安装

　　●  所有可移动设备都无法安装

　　●  对于某些设备，限制用户的读取或者写入操作

实现原理

　　限制对硬件的使用在 Windows 7 中有两种方式：硬件类型（Device class）和硬件 ID（Device ID）。

　　●  硬件类型（Device class）：用于描述设备用途的统一名称。

●  硬件ID（Device ID）：用于描述具体硬件设备的唯一代号。

　　通过限制“硬件类型”，可以做到对所有同类硬件的封杀。而通过限制“硬件 ID”，可以封杀指定设备。两者结合使用，便可做出灵活强大的功能配置。

Windows 7中的组策略对硬件的管理，正是基于以上两点来实现的。通过对组策略不同策略设置的调整，便可轻松实现各种限制功能。

运行“组策略编辑器”：在开始菜单中的搜索框输入 gpedit.msc 即可。

实现过程

（1）禁止使用 USB 可移动存储设备

将“组策略编辑器”分类导航定位到

定位“组策略编辑器”至“可移动存储访问”

在右侧选择组策略条目：

双击进行编辑。

所有可移动存储类：拒绝所有权限

该组策略的默认配置是“未配置”，我们将其启动，选择“已启用”即可完成配置。此配置是立即生效的，无需对系统进行重新启动。

验证

经过上述配置，我将手头的 U 盘插入电脑，系统可正常识别设备。打开“资源管理器”，查看盘符：

盘符状态

可以看到此时我的 U 盘盘符不再显示容量信息等。尝试双击打开：

被拒绝访问

此时，由于我们在组策略中禁止了所有有关可移动存储设备的权限，便顺利实现了对可移动存储设备的封杀。

（2）允许或禁止使用指定设备

一些情况下，并不需要对所有设备进行统一的封杀。例如，备份专用的移动硬盘等。因此，需要灵活实现组策略的配置，就需要用到限制设备 ID 的做法。

将“组策略编辑器”定位到：

设备安装限制

通过对“设备安装限制”下的

便可实现我们的目标要求。

设备 ID：

先将希望被阻止的设备连接至计算机，然后使用“设备管理器”查看其设备 ID。打开“设备管理器”（可以在开始菜单搜索框中输入：devmgmt.msc），在设备列表中找到需要被阻止的设备，并右键单击打开“属性”窗口，在“属性”窗口中查看：详细信息 -> 属性：

设备属性中的设备属性

在“属性”下拉菜单中可以选择“硬件 ID ”或者“设备类 GUID”。我们在具体“值”上单击右键将其复制。打开“组策略编辑器”，配置刚才前文定位到的组策略条目。

例如，我在“设备管理器”中将我刚才使用的 U 盘的“硬件 ID”复制了下来，在组策略中，我选择了“阻止安装与下列任何设备 ID相匹配的设备”，配置时，首先勾选“已启用”：

启用该组策略并配置

接下来，单击“显示”按钮，将刚才复制的“硬件 ID”填入：

填入“硬件 ID”

点击“确定”即可。如果该设备已经在本机安装过，那么，还需要勾选“也适用于匹配已安装的设备”。

勾选“也适用于匹配已安装的设备”

此时，再次插入我刚才的 U 盘，系统会提示设备已被组策略所禁止。

设备安装被策略阻止

此时，对指定设备的阻止就配置完毕。

其他限制功能

使用同样的方法，可以实现对一类设备的特殊管理，只需使用其“设备类 GUID”配合不同的组策略管理条目即可。

在组策略中，刚才我们使用的那两个分类下，还有诸多条目可以控制光驱、软驱、磁带机等设备。用户可以通过不同的策略配置以实现更加丰富灵活多变的管理。