为某些本地用户禁用 USB

执行此操作时，当用户将设备连接到计算机时，USB 存储设备将无法工作。要设置“开始”值，请按照以下步骤操作：

1. 单击“开始”，然后单击“运行”。
2. 在打开框中，键入 regedit，然后单击确定。

3. 找到并单击以下注册表项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

4. 在详细信息窗格中，双击“开始”。

5. 在“数值数据”框中，键入 4，单击“十六进制”（如果尚未选择），然后单击“确定”。

6. 退出注册表编辑器。

如果您想再次启用，只需将此值更改为 3。

Microsoft 有一个工具，你可以下载这里来修复这个问题。

来源

如果计算机上尚未安装 USB 存储设备

如果计算机上尚未安装 USB 存储设备，请分配用户或组和本地 SYSTEM 帐户拒绝对以下文件的权限：

%SystemRoot%\Inf\Usbstor.pnf %SystemRoot%\Inf\Usbstor.inf

当您执行此操作时，用户无法在计算机上安装 USB 存储设备。

要为用户或组分配对 Usbstor.pnf 和 Usbstor.inf 文件的拒绝权限，请按照以下步骤操作：

启动 Windows 资源管理器，然后找到 %SystemRoot%\Inf 文件夹。

右键单击 Usbstor.pnf 文件，然后单击“属性”。

单击“安全”选项卡。

在“组或用户名”列表中，添加要为其设置拒绝权限的用户或组。

在“用户名或组名的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框。

注意还将系统帐户添加到拒绝列表中。

在组或用户名列表中，选择 SYSTEM 帐户。

在“用户名或组名的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。

右键单击 Usbstor.inf 文件，然后单击“属性”。

单击“安全”选项卡。

在“组或用户名”列表中，添加要为其设置拒绝权限的用户或组。

在“用户名或组名的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框。

在组或用户名列表中，选择 SYSTEM 帐户。

在“用户名或组名的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。

了解更多信息： https://support.microsoft.com/kb/823732

启动 gpedit.msc 并创建新的 GPO。设置过滤器，使管理员用户不会执行此 GP。在以下位置配置读/写/执行项目访问权限：计算机配置 > 策略 > 管理模板 > 系统 > 可移动存储访问。

编辑：好的，我刚刚重读了这个问题：没有本地政策。但这是最好的方法。