グループポリシー(GPO)で全ユーザーの端末のUSBを制御する手順|USB利用禁止

2021年10月4日

組織のネットワーク内でのUSBメモリの利用の制限はいかなる団体でも何らかの形で実施していると思います。運用でカバーしたり、資産管理システム等のツールで行っていたりと様々だと思います。本記事では費用をかけずにUSBメモリのアクセス制限をグループポリシーで行う方法を説明します。

グルーポプリシーの作成方法

グループポリシーの作成をしたことがない初心者の方は「グループポリシーの作成と適用手順」Active Directoryをフル活用して端末を完全制御しちゃおう!!に作成手順をかみ砕いて解説いたしましたのでまずはご参照ください。実例を用いて説明をしていますので全くの初心者でもグルーポプリシーが扱えるようになります。

USBメモリ接続のリスク

USBメモリを組織内のネットワークに接続するリスクをおさらいしておきましょう。以下2点
1.組織内ネットワー上の情報の流出
USBメモリが利用可能だとUSBメモリにデータを保存して外部に持ち出しが可能となってしまいます。
2.外部からのウイルス感染
自宅で利用しているUSBメモリを会社で利用した場合、自宅で感染したウイルスに組織内ネットワークが汚染されてしまいます。

グループポリシーで制限をしてみましょう。

ポリシーの場所

グループポリシー管理エディターの
コンピュータの構成 ⇒ ポリシー ⇒ 管理テンプレート ⇒ システム ⇒ リムーバブル記憶域へのアクセス

を開きます。深い場所にありますが、、、

ポリシーの設定

今回はUSBメモリの利用制限を行うので下記3つのポリシーを全て有効にします。リムーバルディスクとは、SDカード、外付HDD、USBメモリ等の外部記憶媒体のことです。

リムーバブル ディスク:実行アクセス権の拒否
⇒プログラムの実行の拒否のポリシーです。下記の読み取りを拒否すれば有効にしなくても良いのですが、気持ちが悪いので有効にします。
リムーバブル ディスク:読み取りアクセス権の拒否
⇒有効にすれば読み取りができなくなります。
リムーバブル ディスク:書き込みアクセス権の拒否
⇒有効にすれば書き込みができなくなります。

ポリシーを適用すればUSBメモリの利用ができなくなります。

まとめ

資産管理システムであれば「このUSBメモリは許可する」とか簡単だなと思っていましたが、グループポリシーもやり方を理解してしまえば実運用で利用ができそうです。