阻止 USB 访问，但仅允许特定的访问（特别是一个 USB 大容量存储设备）

Question

在 Windows 10 专业版中，是否有办法阻止所有 USB 设备，但允许特定的 USB 设备？

特别是，我只想允许一种特定的 USB 大容量存储设备 - 即一种特定的供应商型号，具有唯一的序列号。

本文声称这是可能的：https://community.spiceworks.com/how_to/1488-lockdown-usb-to-specific-removable-usb-drives。然而它是在 2010 年编写的，并且说明似乎不适用于 Windows 10：我无法更改 usbstor.inf 文件的权限，并且机器仍然安装以前未见过的 USB 记忆棒型号。

Answer 1

按照@Ramhound的建议，我使用组策略让它工作。

此处记录了总体方向：https ://technet.microsoft.com/en-us/library/2007.06.grouppolicy.aspx

特别是，“防止安装可移动设备”规则正是我所需要的。

所以这是我最终所做的总结：

1. 在设备管理器中，卸载所有我不需要的 USB 设备，包括当前未连接的设备 - 有一个名为 的环境变量，DEVMGR_SHOW_NONPRESENT_DEVICES可以显示已安装但当前已断开连接的设备；只需在网络上搜索“DEVMGR_SHOW_NONPRESENT_DEVICES”即可；
2. 安装我想要的USB设备；在本例中为 USB 大容量存储设备；
3. 在组策略中启用“阻止安装可移动设备”规则。

买者自负：

1. 组策略可能无法有效阻止某些不公开唯一序列 ID 的设备。例如，如果某个供应商型号的 USB 大容量存储设备未公开唯一的序列 ID，而您已经安装了一个，则组策略可能允许安装同一供应商型号的任何其他实例。我身边没有这种型号的U​​SB大容量存储设备，所以无法验证。
2. 据我了解，USB 设备 ID 没有签名，因此无法验证 - 即，如果 USB 设备声称是某个设备，具有特定的序列 ID，则计算机无法判断这是否属实。坏人可能会使用伪造的 USB 设备 ID 和伪造的序列 ID 来构建 USB 设备，以便让您的计算机接受它，但即便如此。

话虽如此，如果您假设您的所有设备都公开唯一的序列 ID，并且没有人试图伪造 USB 设备以使其被您的计算机接受，则此解决方案将有效。