Windows7通过组策略禁止使用移动存储设备
现在移动存储设备的使用越来越广泛，但随之而引发的是泄密和感染病毒等问题。

虽然可以通过设置BIOS或封死计算机上的USB接口的“硬”方法防范风险发生，不过同时也意味着计算机将无法使用其他USB接口的设备，例如最常见的键盘的鼠标。

因此怎样使用一些更加“温和”的方法限制某个特定或者某类硬件的安装成了一个很多人关心的问题。

在Windows 7中使用组策略就可以完全解决这一问题。

但在继续阅读下文之前，请首先确认你的Windows 7版本。

带有组策略功能的Windows 7版本包括Windows 7专业版、Windows 7企业版和Windows 7旗舰版。

如果确定所用的Windows 7版本具有组策略功能，则可以按照以下步骤进行操作。

(1)单击“开始”按钮，在搜索框中输入“gpedit.msc”并按回车键，打开“本
地组策略编辑器”窗口。

(2)在窗口左侧的树形图中展开到“计算机配置—管理模板—系统—设备安
装—设备安装限制”项，如图1所示。

图1
(3)双击右侧的相应策略，就可以针对实际情况对硬件设备的安装做出限制。

这里一共有10条可用的策略，含义分别如下。

允许管理员忽略设备安装限制策略：这条策略用于决定是否允许管理员账户不受设备安装限制策略的影响。

如果启用这条策略，那么不管其他
策略如何设置，都只能影响非管理员账户，而不能影响管理员账户。

如
果禁用这条策略，或者保持未被配置的默认状态，那么管理员账户也将
受到其余几条策略的限制。

⏹允许使用与下列设备安装程序类相匹配的驱动程序安装设备：这条策略
用于设定允许安装的设备类型。

简单来说，这条策略等于一个“白名单”，配合其他策略，就可以让Windows 7只安装设备类型在这条策略中批准过的设备，其他未指定的设备都拒绝安装。

⏹阻止使用与下列设备安装程序类相匹配的驱动程序安装设备：这条策略
用于设定禁止安装的设备类型。

简单来说，这条策略等于一个“黑名单”，所有被添加到这条策略中的设备类型都将被Windows 7拒绝安装。

⏹当策略设置禁止安装时显示自定义信息：这条策略用于决定当有设备被
禁止安装后，在Windows 7的系统提示区显示什么样的气球图标消息。

⏹当策略设置禁止设备安装时显示自定义信息标题：这条策略用于决定当
有设备被禁止安装后，在Windows 7的系统提示区显示的气球图标使用什么样的标题。

⏹允许安装与下列设备ID相匹配的设备：这条策略用于决定允许Windows
7安装具有哪些硬件ID的设备。

⏹阻止安装与下列任何设备ID相匹配的设备：这条策略用于决定禁止
Windows 7安装具有哪些硬件ID的设备。

⏹在策略更改需要重新启动才能生效时，等待强制重新启动的时间（以秒
为单位）：这条策略用于设置强制重新启动计算机前的倒计时，以便让策略生效。

⏹禁止安装可移动设备：这条策略用于决定是否禁止安装任何可移动设备，
而且这条策略的优先级是最高的，只要启用了这条策略，那么不管其他允许策略是如何设置的，可移动设备都将无法被安装。

⏹禁止安装未由其他策略设置描述的设备：这条策略用于决定是否禁止安
装没有被其他策略允许或禁止过的设备，这是一条相当宽泛的策略。

在上面列举的这些策略中，有两个名词需要解释。

⏹设备类型（device class）：简单来说，就是用于描述设备用途的一个名
称，例如所有的网卡，不管是主板集成的板载网卡，还是独立网卡，不
管是百兆网卡还是千兆网卡，只要是网卡，那就具有统一的设备类型。

⏹硬件ID（device ID）：用于描述具体硬件的一个代号。

同样的硬件，例
如同一个品牌和型号，甚至同一个生产批次的两个硬件产品，都会有不
同的硬件ID。

那么如何知道某个设备的设备类型或者硬件ID？这时要用到Windows设备管理器了。

可以进行如下操作。

(1)单击“开始”按钮，在搜索框中输入“devmgmt.msc”并按回车键，打
开设备管理器窗口。

(2)找到并双击想要查看设备类型和硬件ID的硬件设备，打开该设备的属性
对话框。

(3)切换到属性对话框中的“详细信息”选项卡。

(4)从“属性”下拉菜单中选择“硬件Id”选项，在下方的“值”中即可看
到该设备的硬件ID，如图2所示；选择“设备类GUID”选项则可以看到
该设备的设备类型。

在“值”文本框中显示的内容可以使用鼠标右击，
然后复制出来。

图2
通过上述方法知道某类设备的设备类型或者某个设备的硬件ID后，就可以配合Windows 7提供的策略对硬件的安装进行限制了。

例如，如果希望这台计算机无法安装本例中的这个U盘，但同时希望其他设备的使用不受影响，则可以这样做。

(1)在设备属性对话框复制出该设备的硬件ID。

(2)单击“开始”按钮，在搜索框中输入“gpedit.msc”并按回车键，打开“本
地组策略编辑器”窗口。

(3)在窗口左侧的树形图中展开到“计算机配置—管理模板—系统—设备安
装—设备安装限制”策略项。

(4)双击“阻止安装与下列任何设备ID相匹配的设备”这条策略，打开该策
略的设置对话框，如图3所示。

图3
(5)选择“已启用”选项启用该策略，然后单击“显示”按钮，打开“显示
内容”对话框，如图4所示。

图4
(6)将之前复制出来的硬件ID添加进去，然后单击“确定”按钮。

(7)依次单击“确定”按钮关闭所有打开的对话框。

(8)至此这条限制策略就开始生效了。

尝试再次将这台设备通过USB接口连
接到计算机，在系统提示区中将会出现气球图标，告诉用户这个设备的
安装已经被禁止。

当然，气球图标中显示的内容也是可以通过组策略自
定义的。

注意：如果为了获得某个硬件的设备类型或者硬件ID，用户已经将这台硬件安装在了本机上，那么为了以后限制在本机上安装这个设备，用户还需要在设置策略之前将这台设备连同驱动程序彻底从系统中删除。

否则下次连接好设备后设备将会使用以前已经安装到系统中的驱动程序正常工作，丝毫不会受到设备的影响。