Windows Server 2019 域策略禁止电脑使用USB移动存储

在企业的内网中有时候为了安全需要，要求禁止使用USB移动存储设备。很早之前我见过最极端的做法就是直接使用尖嘴钳物理破坏USB接口。当然那个时候的电脑系统还是XP。现在可以使用域策略禁止客户端使用USB移动存储。

客户端操作系统需要Windows Vista以上的操作系统，XP以下的操作系统不能禁用USB移动存储；

0x01 组策略管理

服务器管理器 → 工具 → 组策略管理；

组策略管理 → 新建GPO命名为禁止USB存储；

禁用USB存储GPO → 编辑；

组策略管理编辑器 → 计算机配置 → 策略 → 管理模板 → 系统 → 可移动存储访问 →所有可移动存储类：拒绝所有权限（默认是未配置，修改为已启用）

在存放计算机的组织单位右键链接现有GPO；电脑在加入域后默认存放在 Computer 这个组织单位，可以新建一个组织单位。将默认存放在 Computer 的电脑移动到新建的组织单位；

选择禁用USB存储这个GPO；

选择好后，在禁用USB存储这个GPO上右键，勾选强制；

在服务器上打开 CMD 键入gpupdate /force 强制刷新策略；

0x06 验证策略

在服务器上刷新了策略，客户端电脑没有刷新策略也没有重启。我的电脑可以看到 USB 移动存储可以看到容量并可以打开；

客户端电脑打开 CMD 键入gpupdate /force 强制刷新策略，策略刷新完成后USB移动存储盘符变为灰色无法看到容量也无法打开提示拒绝访问；说明策略已经生效。