Windows 插入后批准USB设备

在Windows上，如果USB设备属于某种类型（如可移动驱动器），是否有任何方法可以在插入后通过编程方式批准其使用，否则不允许？也不允许运行驱动程序，只允许以批准的方式使用设备

也就是说，我们希望允许插入USB驱动器，但不必担心病毒被安装

---

编辑对不起，我对这个问题的发帖不是很清楚。是的，这是Windows，但我不担心自动运行的程序，那当然是关闭的。用户将无法访问任何可执行文件，只能从驱动器中读取数据。除了我们允许的（这是一个信息亭），他们将无法访问任何用户界面。我关心的是设备驱动程序运行和安装软件（ala U3，以及其他在插入USB驱动器时自行安装的USB软件）。在野外有很多病毒，只要在系统中插入一个USB驱动器就可以运行。我们已将组策略限制在我们可以的范围内，但我无法找到一种方法，在不创建预装USB驱动器的基本白名单的情况下，不允许安装驱动程序，其他任何方法都不起作用（即，不允许安装驱动程序）

否。您可以使用GPO限制对可移动媒体的访问，但不能指定可移动媒体上允许的文件类型，也不能指定它们是否可以执行

编辑：托马斯。比我的答案更好。

（既然你担心病毒，我就假设我们谈论的是Windows。）

这样限制用户是没有意义的。确保用户没有管理员权限。并安装最新的病毒扫描程序

---

理由：如果你甚至不允许读取文件，那么允许使用USB驱动器也没用。因此，您将允许从USB驱动器读取文件。但是，有人可能已经通过将病毒复制到本地硬盘并在那里运行来安装病毒。

此外，在Windows上，禁用USB驱动器上的自动播放/自动运行

对于组策略：

TweakUI实用程序中还有以下选项：

---

如果是您自己的kiosk应用程序，请确保您的kiosk已分配驱动器号A-Z。要访问USB驱动器，您需要\？？\Volume{GUID}\Filename格式的路径。但通过将其置于正常文件系统之外，您可以安全地抵御大多数攻击

---

你永远不会完全安全。正如Raymond Chen所指出的，如果你不赞成forks，那没有多大帮助。（物理）损坏已经造成。

任何特定的操作系统？尝试查看Windows组策略，我相信XP、2003和2008可以将其设置为策略设置。让我们知道你发现了什么。