可通过组策略或注册表禁用USB存储设备:一、启用“拒绝所有权限”策略彻底封锁;二、分别禁用读/写权限实现精细控制;三、通过设备安装限制阻止驱动安装;四、修改USBSTOR服务启动值为4永久禁用。
如果您希望在 Windows 11 中阻止用户通过 USB 接口使用 U 盘等可移动存储设备,则可通过组策略对读写权限实施强制限制。以下是实现该目标的多种策略配置方法:
一、启用“所有可移动存储类:拒绝所有权限”策略
该策略位于计算机级组策略路径中,启用后将覆盖所有细分权限设置,使系统完全拒绝任何可移动存储设备的访问请求,包括识别、读取与写入操作。
1、按下 Win + R 打开运行对话框,输入 gpedit.msc 并回车,启动本地组策略编辑器。
2、依次展开路径:计算机配置 → 管理模板 → 系统 → 可移动存储访问。
3、在右侧列表中双击打开 所有可移动存储类:拒绝所有权限。
4、勾选 已启用,点击 确定 保存设置。
5、重启计算机使策略生效,此后插入 U 盘将不显示盘符且无法执行任何读写动作。
二、分别启用“可移动磁盘:拒绝读取权限”与“可移动磁盘:拒绝写入权限”
此方法提供更精细的控制粒度,允许管理员按需组合启用读/写限制。例如仅禁用写入可保留数据查看能力,仅禁用读取则可防止信息外泄但允许拷贝入设备。
1、在组策略编辑器中,仍导航至 计算机配置 → 管理模板 → 系统 → 可移动存储访问。
2、双击打开 可移动磁盘:拒绝读取权限,选择 已启用 后点击确定。
3、同路径下再双击打开 可移动磁盘:拒绝写入权限,同样选择 已启用 并确认。
4、关闭组策略编辑器,执行 gpupdate /force 命令刷新策略,或重启系统生效。
三、通过“设备安装限制”阻止 USB 存储设备驱动安装
该策略作用于设备首次接入阶段,当系统检测到新 USB 存储设备时,会因禁止安装其驱动程序而直接跳过识别流程,从而实现逻辑层面的接入拦截。
1、在组策略编辑器中,导航至 计算机配置 → 管理模板 → 系统 → 设备安装 → 设备安装限制。
2、双击打开 禁止安装可移动设备 策略项。
3、选择 已启用,点击 确定 保存。
4、该策略无需重启即可对后续新接入的 USB 存储设备生效,但已安装驱动的设备可能仍可临时使用,建议配合其他策略协同部署。
四、结合注册表锁定 USBSTOR 服务启动状态
组策略配置可能被具备管理员权限的用户绕过,而注册表修改可作为底层加固手段,确保 USB 存储驱动服务始终处于禁用状态,即使组策略被重置也无法恢复功能。
1、按下 Win + R,输入 regedit 并回车,以管理员身份运行注册表编辑器。
2、定位至路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR。
3、在右侧窗格中双击 Start DWORD 值,将其数值数据修改为 4。
4、关闭注册表编辑器,重启系统,此时 USBSTOR 服务将不再加载,U 盘无法被系统识别。
