軟（ruǎn）盤已經（jīng）成為（wéi）塵封的曆史，現如沒使用過 U 盤的計算機用戶（hù）恐（kǒng）怕（pà）真的（de）鳳毛麟（lín）角了。U 盤以其（qí）日漸小巧的體積（jī），快速擴（kuò）張的容量，越來越便宜的價（jià）格成功的替代了（le）軟盤，成為主流（liú）的移動存（cún）儲介質。

　　方便的同時帶來的是巨大的安全（quán）隱患。U 盤已經成為（wéi）除（chú）了網絡之（zhī）外傳播數（shù）量最大的（de）病毒和（hé）惡意程序傳播途徑（jìng）。在（zài）不經（jīng）意的一插之間，病毒或者惡意（yì）程（chéng）序就已經感染了您的計算機。

　　難道永遠都隻能（néng）被動的借（jiè）助殺（shā）毒軟件來防禦嗎?就（jiù）像汽車（chē）安全技術一樣，Windows 7 除了被動防禦，還（hái）提供了主動（dòng）防禦的技術——限製移動（dòng）存儲上的程序運行。

　　要啟（qǐ）動此功能也非（fēi）常方（fāng）便（biàn），直接運行 gpedit.msc，打開“本地組策（cè）略編（biān）輯器”，找到（dào）“計算機（jī）配置”，然後展開找（zhǎo）到“管理模板（bǎn）”，然（rán）後點開（kāi）“係統”，找到並點擊“可（kě）移動（dòng）存儲（chǔ）訪問”。在右（yòu）邊（biān）會顯示所有可設置的可移（yí）動存儲訪問相關的策略。

　　U 盤屬（shǔ）於可移動磁盤（pán），因此（cǐ）我（wǒ）們就看看怎樣設置可移（yí）動（dòng）磁（cí）盤的訪問策（cè）略。

　　自 Windows Vista 開始，係統就已經可（kě）以限製可（kě）移動磁盤的讀寫（xiě），大家（jiā）對（duì）這個應該已經不陌（mò）生了。而且，僅（jǐn）僅限製 U 盤的（de）讀（dú）寫，並不（bú）能滿足（zú）我們的（de）需求（qiú）。不能讀自然不會（huì）感染（rǎn）病（bìng）毒，可也失去了 U 盤（pán）的意義。不能寫可以防止（zhǐ）信息外流，卻無（wú）法防止（zhǐ）病毒入侵。

　　我們需要（yào）的，是（shì）從 Windows 7 開始提供的（de）新功能，拒絕（jué）執行（háng）權限。

　　點（diǎn）擊該策略，選擇（zé）“已啟用”，即可打開該策略。啟用（yòng）此策略設（shè）置，將拒絕對可移動存儲類的執行權（quán）限。如果（guǒ）禁用（yòng）或未（wèi）配置此策略設置，將允許（xǔ）對此可移（yí）動存儲類的執行權限。

　　設置完該策略，我們（men）來運行一下（xià） U 盤上的程序（xù）看（kàn）看。係統直接給出不允許（xǔ）運行的提示（shì）：

　　別看這個提示跟（gēn） UAC 有點像（xiàng），但卻無法通（tōng）過改（gǎi）變運行帳號（hào）來執行。除非策略被更改為（wéi）允（yǔn）許執行權限。

　　如果設置的是拒絕讀取權限的（de）策略，那麽將無法（fǎ）訪問 U 盤上的信息。

　　如果設置的是拒絕寫入（rù）權限的策略（luè），那麽無法將信息（xī）寫入 U 盤。

　　展開來討論一下。對（duì）於 CD/DVD 介質，同（tóng）樣可以如 U 盤一（yī）樣做出限製。防止光（guāng）盤自動運（yùn）行傳播病毒。

　　那（nà）麽讀（dú）卡器，MP3/MP4，數碼相（xiàng）機甚至移動電話呢?這（zhè）些都可以通過 USB 接口（kǒu）連接讀寫啊。在係統（tǒng）裏，這些設備歸（guī）入 WPD 類，可以限（xiàn）製其讀取或者寫入。

　　總會非標準的（de）設備存在（zài）的吧?對（duì）於這種情況，係統同樣也（yě）提（tí）供了“自定義類”的設置，隻要寫入（rù）設備（bèi）的 GUID，就能限製其讀取和寫入。

　　如果（guǒ）你是企業的（de）管理員，完全沒必要跑到每台機器上去設置，可以通過（guò）組策略（luè）快速的實現策略的實施。

　　好了（le），這下再也不怕借給同事的 U 盤帶著病毒回來了。