组策略控制法

　　停用自动播放

　　当USB设备连接到本地计算机中时，Windows系统会自动打开对应设备窗口，以利于用户快速访问其中的文件。而USB设备自动打开窗口的过程，很容易被网络病毒利用，那么带毒的USB设备插入计算机时，既会将病毒传染给Windows系统，又容易引起重要数据泄密事件。所以，为了保护系统和重要数据的安全，我们可以停用所有磁盘分区的自动播放功能。

　　首先逐一点选“开始”|“运行”选项，切换到系统运行对话框，输入“gpedit.msc”命令并回车，弹出系统组策略编辑界面，找到该界面下的“本地计算机策略”|“计算机配置”|“管理模板”|“系统”节点，用鼠标双击目标节点下的“关闭自动播放”选项，展开组策略属性对话框。

　　其次选中这里的“已启用”选项，打开“关闭自动播放”下拉列表，将其中的“所有驱动器”选项选中，单击“确定”按钮保存设置操作，这样USB设备日后插入到本地计算机后，对应设备窗口就不会自动打开了，那么即使该设备中隐藏有病毒、木马程序，它们也没机会激活运行了。

　　限制样本病毒

　　很多病毒在恶意传播之前，一般都是先激活样本病毒程序，之后才会进行病毒传播扩散。根据这种病毒传播原则，我们可以上网查询病毒公告，及时获取那些利用USB设备传播的病毒程序样本，并下载获取对应病毒样本文件，再利用系统组策略设置，来限制样本病毒程序在本地计算机中自动运行，下面就是具体的操作步骤：

　　首先按照前面的操作步骤，展开系统组策略编辑界面，找到该界面左侧的“本地计算机策略”|“计算机配置”|“Windows设置”|“安全设置”|“软件限制策略”|“其他规则”节点，用鼠标右键单击目标节点选项，点击右键菜单中的“新散列规则”命令，弹出设置界面。

　　其次按下设置界面中的“浏览”按钮，切换到文件选择对话框，导入之前获取得到的样本病毒程序文件，这样Windows系统会智能生成文件散列号码，并且还会自动显示相关样本病毒文件的版本信息以及其他方面的状态信息，接着将样本病毒程序文件“安全级别”选择为“不允许”，确认后本地计算机就能自动预防新型的通过USB设备传播的病毒了，日后即使USB设备感染了样本病毒，也不会在本地系统中造成安全威胁，更不会发生由样本病毒引起的数据泄密现象。

　　隐藏访问分区

　　USB设备插入到计算机系统后，Windows系统分配给它的分区符号往往是固定的，如果能让特定的磁盘分区隐藏起来，那么普通用户就不能随意访问到对应设备中的数据内容了。要做到这一点，可以进行如下设置操作：

　　首先执行“gpedit.msc”命令，打开系统组策略编辑界面，找到该界面中的“本地计算机策略”|“用户配置”|“管理模板”|“Windows组件”|“Windows资源管理器”节点，用鼠标双击目标节点下的“防止从我的电脑访问驱动器”选项，展开组策略属性对话框。

　　其次选中“已启用”选项，点击“选择下列组合中的一个”位置处的下拉按钮，从下拉列表中选择特定磁盘分区，那么保存设置操作后，Windows系统虽然可以正确识别并安装USB设备驱动，但是在计算机窗口或我的电脑窗口却不能访问它们的内容。如果希望隐藏USB设备分区时，还要在“本地计算机策略”|“用户配置”|“管理模板”|“Windows组件”|“Windows资源管理器”节点下，启用并设置好“隐藏我的电脑中的这些指定的驱动器”组策略，这样用户就不能看到它们的“身影”了。