在Windows上，如果某种类型的USB设备(例如可移动驱动器)允许使用，是否有任何方法可以以编程方式批准USB设备，否则不允许使用？还不允许运行驱动程序，仅允许以允许的方式使用设备吗？

IE。我们希望允许插入USB驱动器，但不必担心会安装病毒。

编辑对不起，我对这个问题的发表并不十分清楚。是的，这是Windows，但我不担心自动运行的程序，当然它已关闭。用户将无法访问任何可执行文件，只能从驱动器中读取数据。除了我们允许的范围外，他们将无法访问任何UI(这是一个信息亭)。我担心的是运行和安装软件的设备驱动程序(ala U3，以及在插入USB驱动器时会自行安装的其他USB软件)。只需将USB驱动器插入系统即可运行大量病毒。我们已经将组策略限制在了可以的水平，但是我找不到不创建预先安装的USB驱动器基本白名单的情况下不允许安装驱动程序的方法(例如， (不允许安装驱动程序)。

解决方案

不可以。我们可以使用GPO限制对可移动媒体的访问，但不能指定可移动媒体上允许的文件类型，或者是否可以执行。

编辑：投票托马斯。比我的答案更好。

(由于我们担心病毒，因此我认为我们正在谈论Windows。)

这样限制用户是没有意义的。确保用户没有管理员权限。并安装最新的病毒扫描程序。

原理：如果我们甚至不允许读取文件，那么允许USB驱动器也无济于事。因此，我们将允许从USB驱动器读取文件。但是后来有人可以通过将病毒复制到本地硬盘并从那里运行来安装病毒。

另外，在Windows上，禁用USB驱动器上的自动播放/自动运行。

使用组策略：
http://www.howtogeek.com/howto/windows/disable-autoplay-of-audio-cds-and-usb-drives/

TweakUI实用程序中还有一些选项：
http://www.microsoft.com/windowsxp/Downloads/powertoys/Xppowertoys.mspx

如果这是我们自己的信息亭应用程序，请确保信息亭已分配驱动器号A-Z。要访问USB驱动器，我们需要使用\ ?? \ Volume {GUID} \ Filename格式的路径。但是通过将其排除在普通文件系统之外，我们可以抵御大多数攻击。

我们永远不会完全安全。正如雷蒙德·陈(Raymond Chen)指出的那样，如果我们不赞成使用叉子，那并没有太大帮助。 (物理)损坏已经完成。