可通过四种方法禁止U盘等可移动设备向Win10写入:一、启用组策略“可移动磁盘:拒绝写入权限”;二、将USBSTOR服务启动类型设为禁用;三、启用“禁止安装可移动设备”策略;四、在设备管理器中禁用USB大容量存储控制器驱动。
如果您希望防止外部U盘、移动硬盘等可移动存储设备向Windows 10系统写入数据,以保护内部敏感信息不被意外拷贝或恶意植入,则可通过系统内置策略精准控制写入行为。以下是实现该目标的多种独立操作方法:
一、启用“可移动磁盘:拒绝写入权限”组策略
该方法通过本地组策略编辑器对可移动磁盘类设备单独施加写入限制,保留读取能力,适用于需允许查看但禁止修改/复制的管控场景。
1、按下 Win + R 组合键打开“运行”窗口,输入 gpedit.msc 并按回车,以管理员权限启动本地组策略编辑器。
2、在左侧导航栏中,依次展开路径:计算机配置 > 管理模板 > 系统 > 可移动存储访问。
3、在右侧窗格中,双击打开策略项:可移动磁盘:拒绝写入权限。
4、在弹出窗口中,选择 已启用 单选框,点击“应用”和“确定”保存设置。
5、重启资源管理器或重新登录系统后,所有插入的U盘、移动硬盘等将仅能读取,无法执行复制、粘贴、新建、修改或删除等任何写入操作。
二、修改USBSTOR服务启动类型为禁用
此方法直接干预USB存储驱动程序的服务状态,使系统在加载阶段即跳过USBSTOR驱动初始化,从而彻底阻断写入通道,对所有USB存储设备生效且无需依赖组策略功能。
1、按下 Win + R 键,输入 regedit 并按回车,以管理员身份运行注册表编辑器。
2、在地址栏中粘贴并回车访问路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR。
3、在右侧窗格中,找到名为 Start 的 DWORD (32位) 值,双击打开。
4、将“数值数据”字段修改为 4(表示“禁用”),确保“基数”为十六进制,点击“确定”。
5、关闭注册表编辑器,必须重启计算机,此后所有USB存储设备将无法被识别,自然丧失写入能力。
三、通过设备安装限制策略阻止可移动设备安装
该方法作用于设备驱动安装环节,在系统检测到新可移动设备时即拦截其驱动安装流程,从而从源头禁止设备获得写入所需的底层支持,适用于家庭版等无完整组策略模块的系统。
1、按下 Win + R 打开运行,输入 gpedit.msc 并回车启动组策略编辑器。
2、依次展开左侧路径:计算机配置 > 管理模板 > 系统 > 设备安装 > 设备安装限制。
3、在右侧找到并双击打开策略:禁止安装可移动设备。
4、勾选 已启用,点击“应用”和“确定”。
5、插入任意U盘或移动硬盘时,系统将显示“由于这台计算机的策略,无法安装该设备”,设备无法完成驱动加载,写入功能完全不可用。
四、禁用USB大容量存储控制器驱动
该方法在设备管理器中手动停用已识别的USB存储类硬件驱动,不修改系统策略或注册表,操作可逆性强,适合临时性写入防护需求。
1、右键点击“开始”按钮,选择“设备管理器”进入硬件管理界面。
2、展开类别:通用串行总线控制器 或 磁盘驱动器(部分设备可能列在此处)。
3、查找名称中含 USB Mass Storage Device、Generic USB Flash Disk 或类似标识的设备项。
4、右键点击该设备,选择 禁用设备。
5、确认提示后,该设备驱动即刻停止响应,当前及后续插入同型号设备均无法执行写入操作,直至手动重新启用。
