插入后批准 USB 设备

Question

在 Windows 上，是否有任何方法可以在插入后以编程方式批准 USB 设备，如果它属于某种类型（例如可移动驱动器）则允许其使用，否则不允许使用？ 也不允许运行驱动程序，只允许以批准的方式使用设备？

IE 我们希望允许插入USB驱动器，但不必担心病毒被安装。

编辑抱歉，我对这个问题的发布不太清楚。 是的，这是Windows，但我并不担心自动运行程序，那当然是关闭的。 用户将无法访问任何可执行文件，只能从驱动器中读取数据。 他们无法访问除我们允许的用户界面（信息亭）之外的任何用户界面。 我关心的是运行和安装软件的设备驱动程序（ala U3 和其他在插入 USB 驱动器时自动安装的 USB 软件）。 有许多病毒可以通过将 USB 驱动器插入系统来运行。 我们已经将组策略限制到我们可以做到的水平，但我找不到一种方法来不允许安装驱动程序，而不创建预安装的 USB 驱动器的基本白名单，其他任何方法都不起作用（即. 不允许安装驱动程序）。

Answer 1

另外，在 Windows 上，禁用 USB 驱动器上的自动播放/自动运行。

使用组策略：
http://www.howtogeek .com/howto/windows/disable-autoplay-of-audio-cds-and-usb-drives/

TweakUI 实用程序中还有一些选项：
http://www.microsoft.com/windowsxp/Downloads/powertoys/Xppowertoys。 mspx

Answer 2

如果是您自己的自助服务终端应用程序，请确保您的自助服务终端已分配驱动器号 AZ。 要访问 USB 驱动器，您需要一个格式为 \??\Volume{GUID}\Filename 的路径。 但是，通过将其排除在正常文件系统之外，您可以安全地抵御大多数攻击。

你永远不会完全安全。 正如 Raymond Chen 所指出的，如果你不赞成分叉，那也没有多大帮助。 （物理）损害已经造成。

Answer 3

不可以。您可以使用 GPO 限制对可移动媒体的访问，但无法指定可移动媒体上允许的文件类型或它们是否可以执行。

编辑：支持托马斯。 比我的答案更好。

Answer 4

（既然您担心病毒，我就假设我们正在谈论 Windows。）

这样限制用户是没有意义的。 确保用户没有管理员权限。 并安装最新的病毒扫描程序。

理由：如果您甚至不允许读取文件，那么允许 USB 驱动器无论如何都是无用的。 因此您将允许从 USB 驱动器读取文件。 但随后有人可能已经通过将病毒复制到本地硬盘驱动器并从那里运行来安装病毒。