1.彻底关闭USB设备的大门

　　按下“Win+R”组合键，打开“运行”对话框，在这里手工输入“gpedit.msc”打开“组策略对象编辑器”窗口(图1)，在左侧任务窗格中依次选择“计算机配置→管理模板→系统→可移动存储访问”，然后在右侧窗格中选择“所有可移动存储类：拒绝所有权限”，双击打开属性窗口(图2)，在这里重新设置为“已启用”，最后单击“确定”按钮保存退出。

　　确认之后，当再次使用闪存等移动存储设备时，系统会弹出“拒绝访问”对话框(图3)，怎么样?够苛刻的吧!

　　2.禁止写入数据

　　不过，拒绝了所有权限之后，似乎对外来的USB设备过于苛刻了一些，毕竟很多时候我们还是需要读入数据。其实，这时候我们可以对“可移动磁盘：拒绝写入权限”进行设置，将默认的“未配置”更改为“已启用”，这样就可以防止向USB设备中写入数据，但读取数据的操作并不受禁止。

　　当然，如果你觉得有必要拒绝读取数据的操作，那么可以对“可移动磁盘：拒绝读取权限”设置为“已启用”。

　　按照上面的方法，似乎是“一网打尽”，固然外来的USB设备在本机上是无法使用了，但如果自己需要使用这些设备时，也会受到禁止，你可能不得不重新进入组策略对象编辑器进行相关的设置，虽然操作步骤并不是太复杂，但总感觉到有些别扭。

　　其实，我们可以为自己手头的USB设备暗自设置好“后门”，而其他外来的USB设备却仍然会受到禁止。请按照如下的步骤进行操作：

　　(1)进入“设备管理器”窗口，将相关USB设备的硬件ID复制下来，从“通用串行总线控制器”下选择“USB大容量存储设备”，右击打开属性窗口，切换到“详细信息”标签页，在“属性”下拉列表框中选择“硬件 Id”(图4)，先“全选”再“复制”，将相关的硬件Id信息复制到记事本中备用。

　　(2)进入组策略对象编辑器窗口，依次选择“计算机配置→管理模板→系统→设备安装→设备安装限制”，在右侧窗格中双击选择“允许安装与下列设备ID相匹配的设备”，此时会弹出一个属性对话框(图5)，将默认设置“未配置”更改为“已启用”，此时“显示”按钮会变成可用的状态。

　　(3)单击“显示”按钮进入添加硬件ID的对话框，在这里单击“添加”按钮(图6)，将刚才获取的硬件Id数据粘贴进去，表示相关的设备允许被安装，遗憾的是这里每次只能添加一行，因此需要经过多次的添加才能完成。