可通过组策略、注册表、专业软件或禁用USBSTOR服务四种方法实现USB设备只读:组策略启用“拒绝写入权限”;注册表新建WriteProtect值设为1;专业软件配置分级管控策略;设备管理器中禁用USBSTOR服务。
如果您希望在Windows系统中限制USB设备的写入能力,以防止敏感数据被复制到外部存储设备,则可通过多种策略实现仅读取、禁止写入的管控效果。以下是解决此问题的步骤:
该方法利用Windows内置的组策略功能,对所有可移动存储类设备实施写入级限制,不影响USB键盘、鼠标等非存储设备运行,且无需安装第三方工具。
1、按下 Win + R 组合键,输入 gpedit.msc 并回车,打开本地组策略编辑器。
2、依次展开路径:计算机配置 → 管理模板 → 系统 → 可移动存储访问。
3、在右侧列表中,双击打开 “可移动磁盘:拒绝写入权限” 策略。
4、选择 “已启用”,点击“确定”保存设置。
5、重启电脑或执行 gpupdate /force 命令刷新策略,此后插入U盘将允许读取文件,但任何复制、粘贴、新建、修改操作均被系统拦截并提示“拒绝访问”。
该方法通过创建专用注册表项与键值,强制系统将所有USB大容量存储设备识别为只读状态,适用于所有Windows版本(含家庭版),且不依赖组策略组件。
1、按下 Win + R,输入 regedit 并回车,以管理员身份运行注册表编辑器。
2、导航至路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies;若该路径不存在,则右键“Control”项 → 新建 → 项 → 命名为 StorageDevicePolicies。
3、在 StorageDevicePolicies 项右侧空白处右键 → 新建 → DWORD (32位) 值 → 命名为 WriteProtect。
4、双击 WriteProtect,将“数值数据”设为 1(十六进制或十进制均可),点击“确定”。
5、关闭注册表编辑器,重启系统。此后所有USB存储设备插入后均显示为只读,资源管理器中“格式化”、“属性→安全→编辑权限”等写入相关功能不可用。
该方法支持按用户、部门、设备特征实施差异化策略,可精确控制特定U盘允许读取、禁止写入,同时记录每次访问行为,适用于企业级数据防泄漏场景。
1、下载并安装域智盾或安企神等具备USB分级管控能力的终端安全管理软件。
2、以管理员身份登录控制台,在“USB端口管控”模块中选择目标终端或用户组。
3、设定USB设备策略为 “仅读取” 模式,确保该策略覆盖所有USB存储设备类型。
4、如需例外授权,可在白名单中添加指定U盘的VID/PID信息,仅允其正常读写,其余设备一律只读。
5、启用操作日志功能,所有U盘插拔、文件访问、写入尝试均实时记录至服务器,含时间戳、设备标识、终端名称及操作结果。
该方法直接停止Windows底层USB存储驱动服务,使系统完全忽略U盘的写入请求,但保留USB总线供电与基础枚举能力,适合临时高敏环境部署。
1、按下 Win + R,输入 services.msc 打开服务管理控制台。
2、在服务列表中找到 “Universal Serial Bus controllers” 下属的 “USB Mass Storage Device” 或搜索服务名 “US
BSTOR”。
3、右键点击 “USBSTOR” 服务 → 选择“属性” → 将“启动类型”更改为 “禁用”。
4、点击“停止”按钮终止当前运行的服务,确认无错误提示后点击“确定”。
5、重启电脑,此时U盘可被识别并显示盘符,但双击打开后所有文件呈灰色不可复制,右键菜单中“复制”“发送到”“新建文本文档”等功能全部失效。
服务热线