Windows7使用组策略禁用移动存储设备.docxVIP

Windows7通过组策略禁止使用移动存储设备 现在移动存储设备的使用越来越广泛，但随之而引发的是泄密和感染病毒等问题。虽然可以通过设置BIOS或封死计算机上的USB接口的“硬”方法防范风险发生，不过同时也意味着计算机将无法使用其他USB接口的设备，例如最常见的键盘的鼠标。因此怎样使用一些更加“温和”的方法限制某个特定或者某类硬件的安装成了一个很多人关心的问题。 在Windows 7中使用组策略就可以完全解决这一问题。但在继续阅读下文之前，请首先确认你的Windows 7版本。带有组策略功能的Windows 7版本包括Windows 7专业版、Windows 7企业版和Windows 7旗舰版。 如果确定所用的Windows 7版本具有组策略功能，则可以按照以下步骤进行操作。 单击“开始”按钮，在搜索框中输入“gpedit.msc”并按回车键，打开“本地组策略编辑器”窗口。 在窗口左侧的树形图中展开到“计算机配置—管理模板—系统—设备安装—设备安装限制”项，如图1所示。 图1 双击右侧的相应策略，就可以针对实际情况对硬件设备的安装做出限制。 这里一共有10条可用的策略，含义分别如下。 允许管理员忽略设备安装限制策略：这条策略用于决定是否允许管理员账户不受设备安装限制策略的影响。如果启用这条策略，那么不管其他策略如何设置，都只能影响非管理员账户，而不能影响管理员账户。如果禁用这条策略，或者保持未被配置的默认状态，那么管理员账户也将受到其余几条策略的限制。 允许使用与下列设备安装程序类相匹配的驱动程序安装设备：这条策略用于设定允许安装的设备类型。简单来说，这条策略等于一个“白名单”，配合其他策略，就可以让Windows 7只安装设备类型在这条策略中批准过的设备，其他未指定的设备都拒绝安装。 阻止使用与下列设备安装程序类相匹配的驱动程序安装设备：这条策略用于设定禁止安装的设备类型。简单来说，这条策略等于一个“黑名单”，所有被添加到这条策略中的设备类型都将被Windows 7拒绝安装。 当策略设置禁止安装时显示自定义信息：这条策略用于决定当有设备被禁止安装后，在Windows 7的系统提示区显示什么样的气球图标消息。 当策略设置禁止设备安装时显示自定义信息标题：这条策略用于决定当有设备被禁止安装后，在Windows 7的系统提示区显示的气球图标使用什么样的标题。 允许安装与下列设备ID相匹配的设备：这条策略用于决定允许Windows 7安装具有哪些硬件ID的设备。 阻止安装与下列任何设备ID相匹配的设备：这条策略用于决定禁止Windows 7安装具有哪些硬件ID的设备。 在策略更改需要重新启动才能生效时，等待强制重新启动的时间（以秒为单位）：这条策略用于设置强制重新启动计算机前的倒计时，以便让策略生效。 禁止安装可移动设备：这条策略用于决定是否禁止安装任何可移动设备，而且这条策略的优先级是最高的，只要启用了这条策略，那么不管其他允许策略是如何设置的，可移动设备都将无法被安装。 禁止安装未由其他策略设置描述的设备：这条策略用于决定是否禁止安装没有被其他策略允许或禁止过的设备，这是一条相当宽泛的策略。 在上面列举的这些策略中，有两个名词需要解释。 设备类型（device class）：简单来说，就是用于描述设备用途的一个名称，例如所有的网卡，不管是主板集成的板载网卡，还是独立网卡，不管是百兆网卡还是千兆网卡，只要是网卡，那就具有统一的设备类型。 硬件ID（device ID）：用于描述具体硬件的一个代号。同样的硬件，例如同一个品牌和型号，甚至同一个生产批次的两个硬件产品，都会有不同的硬件ID。 那么如何知道某个设备的设备类型或者硬件ID？这时要用到Windows设备管理器了。可以进行如下操作。 单击“开始”按钮，在搜索框中输入“devmgmt.msc”并按回车键，打开设备管理器窗口。 找到并双击想要查看设备类型和硬件ID的硬件设备，打开该设备的属性对话框。 切换到属性对话框中的“详细信息”选项卡。 从“属性”下拉菜单中选择“硬件Id”选项，在下方的“值”中即可看到该设备的硬件ID，如图2所示；选择“设备类GUID”选项则可以看到该设备的设备类型。在“值”文本框中显示的内容可以使用鼠标右击，然后复制出来。 图2 通过上述方法知道某类设备的设备类型或者某个设备的硬件ID后，就可以配合Windows 7提供的策略对硬件的安装进行限制了。 例如，如果希望这台计算机无法安装本例中的这个U盘，但同时希望其他设备的使用不受影响，则可以这样做。 在设备属性对话框复制出该设备的硬件ID。 单击“开始”按钮，在搜索框中输入“gpedit.msc”并按回车键，打开“本地组策略编辑器”窗口。 在窗口左侧的树形图中展开到“计算机配置—管理模板—系统—设备安装—设