Seguindo a sugestão do @ Ramhound, consegui que funcionasse usando a política de grupo.
A direção geral está documentada aqui: link
Em particular, a regra "Impedir a instalação de dispositivos removíveis" é o que eu preciso.
Então aqui está um resumo do que acabei fazendo:
- No Gerenciador de dispositivos, desinstale todos os dispositivos USB que eu não quero, incluindo os que não estão conectados no momento - há uma variável de ambiente chamada
DEVMGR_SHOW_NONPRESENT_DEVICES
que permite a exibição de dispositivos instalados, mas atualmente desconectados; basta pesquisar na web por "DEVMGR_SHOW_NONPRESENT_DEVICES"; - Instale o dispositivo USB que eu quero; neste caso, um dispositivo de armazenamento em massa USB;
- Ative a regra "Impedir a instalação de dispositivos removíveis" na Política de Grupo.
Emptor de advertência:
- A política de grupo provavelmente não pode bloquear com eficiência alguns dispositivos que não exponham um ID serial exclusivo. Por exemplo, se um determinado modelo de fornecedor de dispositivo de armazenamento em massa USB não expor uma ID serial exclusiva e você tiver instalado uma, a política de grupo poderá permitir que outras instâncias do mesmo modelo de fornecedor sejam montadas. Eu não tenho esse modelo de dispositivo de armazenamento em massa USB comigo, por isso não posso realmente verificar.
- Até onde eu sei, os IDs dos dispositivos USB não são assinados e, portanto, não podem ser verificados - por exemplo, se um dispositivo USB for um determinado dispositivo, com um ID serial específico, não há como o computador saber se verdade. Um bandido pode construir um dispositivo USB com ID de dispositivo USB forjado e ID serial forjado, para que seja aceito pelo seu computador, mesmo assim.
Com tudo isso dito, essa solução funciona se você pressupõe que todos os seus dispositivos exponham identificações seriais exclusivas e que ninguém tente forjar um dispositivo USB para que seja aceito pelo seu computador.