如何停止从可移动媒体（如USB驱动器）运行.exe？

我从可移动存储（如记忆棒和SD卡）运行.exe的用户遇到问题。

我正在尝试阻止从所有可移动存储中运行exe，以解决此问题，但是在“用户配置> Windows设置>安全设置>软件限制策略>其他规则”下的组策略设置下，您可以创建“路径”变量。我想对所有可移动存储使用系统变量，但不知道是否有一个有效的变量。我是否必须仔细检查并为所有可能分配给可移动介质的潜在驱动器号（从E：\到大约L：\）创建一个阻止列表，或者是否有实际可行的方法？我发现%~dp0，显然，该方法仅适用于for循环，if语句和批处理参数。

如果还有其他，更好或更可靠的措施，请告诉我。

哦，我看过AppLocker，但是我们的DC正在运行Server 2008，我相信AppLocker是Windows 7和2008 R2的一部分。如下面对答案的评论中所述，我认为Server 2008没有“拒绝执行访问”设置，因此还有其他选择吗？

您可以通过GPO停止在可移动设备上执行软件。该设置位于“计算机”>“管理模板”>“系统”>“可移动存储访问”>“可移动磁盘：拒绝执行访问”下

编辑：

您可以访问Server 2008 R2系统吗？如果是这样，则可以创建策略设置，将其备份到磁盘上，然后将其传输到Server 2008 System中，然后再导入该策略。这不会使您能够修改策略，但是您应该能够看到设置，Extra Registry Settings并且在Windows 7客户端上应该能正常工作。

如果有帮助，我刚刚创建了此类策略的备份，并将其放在Dropbox上供您下载。通常的使用，后果自负，等等。

一些公司的防病毒产品（例如McAfee，Sophos，Symantec）包括此功能，可以在公司中启用。也许您的公司防病毒解决方案具有此功能。