組織のネットワーク内におけるUSBメモリの利用の制限は、いかなる団体でも何らかの形で実施していると思います。運用でカバーしたり、資産管理システム等のツールで行っていたりと様々だと思います。本記事では費用をかけずにUSBメモリのアクセス制限をグループポリシーで行う方法を説明します。
グループポリシー(GPO)の作成と適用手順
USBメモリ接続のリスク
USBメモリを組織内のネットワークに接続するリスクをおさらいしておきましょう。以下2点
1.組織内ネットワー上の情報の流出
USBメモリが利用可能な場合
USBメモリにデータを保存して外部に持ち出しが可能となってしまいます。
2.外部からのウイルス感染
自宅で利用しているUSBメモリを会社で利用した場合
自宅で感染したウイルスに組織内ネットワークが汚染されてしまいます。
グループポリシーでUSBの利用制限を行う
それでは、実際にグループポリシーだけでUSBの利用制限を行う方法です。
ポリシーの場所
グループポリシー管理エディターの
コンピュータの構成 ⇒ ポリシー ⇒ 管理テンプレート ⇒ システム ⇒ リムーバブル記憶域へのアクセス
を開きます。深い場所にありますが、、、
ポリシーの設定
今回はUSBメモリの利用制限を行うので下記3つのポリシーを全て有効にします。リムーバルディスクとは、SDカード、外付HDD、USBメモリ等の外部記憶媒体のことです。
リムーバブル ディスク:実行アクセス権の拒否
⇒プログラムの実行の拒否のポリシーです。下記の読み取りを拒否すれば有効にしなくても良いのですが、気持ちが悪いので有効にします。
リムーバブル ディスク:読み取りアクセス権の拒否
⇒有効にすれば読み取りができなくなります。
リムーバブル ディスク:書き込みアクセス権の拒否
⇒有効にすれば書き込みができなくなります。
ポリシーを適用すればUSBメモリの利用ができなくなります。
実行アクセス権の拒否
「リムーバブル ディスク:実行アクセス権の拒否」を有効にします。
このポリシー設定を行うと、リムーバブル ディスクへの実行アクセス権が拒否されます。
このポリシー設定を有効にした場合、このリムーバブル記憶域クラスへの実行アクセス権が拒否されます。
このポリシー設定を無効にした場合、または構成しなかった場合は、このリムーバブル記憶域クラスへの実行アクセス権が許可されます。
ポリシーの説明
リムーバブル ディスク:読み取りアクセス権の拒否
「リムーバブル ディスク:読み取りアクセス権の拒否」を有効にします。
このポリシー設定を行うと、リムーバブル ディスクへの読み取りアクセス権が拒否されます。
このポリシー設定を有効にした場合、このリムーバブル記憶域クラスへの読み取りアクセス権が拒否されます。
このポリシー設定を無効にした場合、または構成しなかった場合は、このリムーバブル記憶域クラスへの読み取りアクセス権が許可されます。
ポリシーの説明
リムーバブル ディスク:書き込みアクセス権の拒否
「リムーバブル ディスク:書き込みアクセス権の拒否」を有効にします。
このポリシー設定を行うと、リムーバブル ディスクへの書き込みアクセス権が拒否されます。
このポリシー設定を有効にした場合、このリムーバブル記憶域クラスへの書き込みアクセス権が拒否されます。
このポリシー設定を無効にした場合、または構成しなかった場合は、このリムーバブル記憶域クラスへの書き込みアクセス権が許可されます。
注: ユーザーが、BitLocker で保護されている記憶域にデータを書き込む必要がある場合は、”コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブ” の [BitLocker で保護されていないドライブへの書き込みアクセスを拒否する] ポリシー設定を有効にします。
ポリシーの説明
まとめ
資産管理システムであれば分かり易いUIで操作できたりするので利用していましたが、グループポリシーでもやり方を理解してしまえば実運用できそうです。逆に場合によってはグループポリシーの方がシンプルで良いかもしれませんね。
コメント