一、系统级限制

组策略编辑器（Windows专业版）

通过`gpedit.msc`进入组策略，依次配置：

- 可移动存储访问：

拒绝写入权限，阻止U盘文件复制；

- 策略测试：复制文件到U盘时系统应拦截操作。

注册表修改（高级用户）

- 打开`regedit`，导航至`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies`，新建`WriteProtect`项并设置为`1`，可重启后恢复。

二、软件加密与权限管理

专业加密软件

使用如 域智盾软件（透明加密、权限分级、操作审计）或 洞察眼MIT系统（高强度加密、实时监控），实现文件自动加密和访问权限控制。

文件夹加密工具

工具如 Folder Lock支持加密单个文件或文件夹，设置密码后防止未授权复制。

三、物理与网络防护

禁用USB接口

- 硬件开关：

部分U盘自带写保护开关，直接禁止写入；

- 软件限制：通过设备管理器或安全软件禁用USB设备访问。

网络行为监控

利用防拷贝软件（如 域之盾）监控网络传输，拦截文件外发行为。

四、用户权限与审计

创建受限用户账户

在权限设置中创建“受限”用户，仅允许基础操作，禁止文件复制。

操作日志与审计

记录文件访问和复制行为，生成审计报告，便于追踪异常操作。

五、其他实用方法

文件格式转换：

将敏感文件转换为PDF、EXF等不易编辑格式；

定期备份与加密存储：使用加密U盘或云服务备份重要数据。

注意事项：

系统级和注册表修改需谨慎操作，建议先备份相关文件；

部分软件（如防拷贝工具）可能影响系统兼容性，需测试环境部署；

物理防护（如写保护开关）需配合软件策略才能形成有效屏障。