在 Windows 10 Pro 中,有没有办法阻止所有 USB 设备,但允许特定设备?
具体来说,我只想允许一个特定的 USB 大容量存储设备 - 即一个特定的供应商型号,具有唯一的序列号。
这篇文章声称这是可能的:https://community.spiceworks.com/how_to/1488-lockdown-usb-to-specific-removable-usb-drives。但是它是在 2010 年编写的,并且说明似乎不适用于 Windows 10:我无法更改 usbstor.inf 文件的权限,并且机器仍然会安装以前从未见过的 USB 记忆棒型号。
答案1
按照@Ramhound 的建议,我使用组策略使其正常工作。
总体方向记录如下:https://technet.microsoft.com/en-us/library/2007.06.grouppolicy.aspx
特别是“防止安装可移动设备”规则正是我需要的。
以下是我最终所做事情的总结:
- 在设备管理器中,卸载所有我不想要的 USB 设备,包括当前未连接的设备 - 有一个名为的环境变量
DEVMGR_SHOW_NONPRESENT_DEVICES
可以显示已安装但当前断开连接的设备;只需在网上搜索“DEVMGR_SHOW_NONPRESENT_DEVICES”即可; - 安装我想要的 USB 设备;在本例中是 USB 大容量存储设备;
- 在组策略中启用“防止安装可移动设备”规则。
买者自负:
- 组策略可能无法有效阻止某些未公开唯一序列 ID 的设备。例如,如果某个供应商型号的 USB 大容量存储设备未公开唯一序列 ID,而您已安装该序列 ID,则组策略可能允许安装同一供应商型号的任何其他实例。我没有这种型号的 USB 大容量存储设备,因此无法验证。
- 据我所知,USB 设备 ID 未签名,因此无法验证 - 即如果 USB 设备声称是具有特定序列号的某个设备,计算机无法判断这是否属实。坏人可能会伪造 USB 设备 ID 和序列号来构建 USB 设备,以便让您的计算机接受它,尽管如此。
综上所述,如果您假设所有设备都公开唯一的序列 ID,并且没有人试图伪造 USB 设备以使其被您的计算机接受,那么此解决方案就有效。