グループポリシー(GPO)で全ユーザーの端末のUSBを制御する手順|USB利用禁止

2022年1月27日

組織のネットワーク内におけるUSBメモリの利用の制限は、いかなる団体でも何らかの形で実施していると思います。運用でカバーしたり、資産管理システム等のツールで行っていたりと様々だと思います。本記事では費用をかけずにUSBメモリのアクセス制限をグループポリシーで行う方法を説明します。

グルーポプリシーの作成方法

グループポリシーの作成をしたことがない初心者の方は「グループポリシーの作成と適用手順」Active Directoryをフル活用して端末を完全制御しちゃおう!!に作成手順をかみ砕いて解説いたしましたのでまずはご参照ください。実例を用いて説明をしていますので全くの初心者でもグルーポプリシーが扱えるようになります。

USBメモリ接続のリスク

USBメモリを組織内のネットワークに接続するリスクをおさらいしておきましょう。以下2点

1.組織内ネットワー上の情報の流出

USBメモリが利用可能な場合

USBメモリにデータを保存して外部に持ち出しが可能となってしまいます。

2.外部からのウイルス感染

自宅で利用しているUSBメモリを会社で利用した場合

自宅で感染したウイルスに組織内ネットワークが汚染されてしまいます。

グループポリシーでUSBの利用制限を行う

それでは、実際にグループポリシーだけでUSBの利用制限を行う方法です。

ポリシーの場所

グループポリシー管理エディターの
コンピュータの構成 ⇒ ポリシー ⇒ 管理テンプレート ⇒ システム ⇒ リムーバブル記憶域へのアクセス

を開きます。深い場所にありますが、、、

ポリシーの設定

今回はUSBメモリの利用制限を行うので下記3つのポリシーを全て有効にします。リムーバルディスクとは、SDカード、外付HDD、USBメモリ等の外部記憶媒体のことです。

リムーバブル ディスク:実行アクセス権の拒否
⇒プログラムの実行の拒否のポリシーです。下記の読み取りを拒否すれば有効にしなくても良いのですが、気持ちが悪いので有効にします。
リムーバブル ディスク:読み取りアクセス権の拒否
⇒有効にすれば読み取りができなくなります。
リムーバブル ディスク:書き込みアクセス権の拒否
⇒有効にすれば書き込みができなくなります。

ポリシーを適用すればUSBメモリの利用ができなくなります。

実行アクセス権の拒否

「リムーバブル ディスク:実行アクセス権の拒否」を有効にします。

このポリシー設定を行うと、リムーバブル ディスクへの実行アクセス権が拒否されます。

このポリシー設定を有効にした場合、このリムーバブル記憶域クラスへの実行アクセス権が拒否されます。

このポリシー設定を無効にした場合、または構成しなかった場合は、このリムーバブル記憶域クラスへの実行アクセス権が許可されます。

ポリシーの説明

リムーバブル ディスク:読み取りアクセス権の拒否

「リムーバブル ディスク:読み取りアクセス権の拒否」を有効にします。

このポリシー設定を行うと、リムーバブル ディスクへの読み取りアクセス権が拒否されます。

このポリシー設定を有効にした場合、このリムーバブル記憶域クラスへの読み取りアクセス権が拒否されます。

このポリシー設定を無効にした場合、または構成しなかった場合は、このリムーバブル記憶域クラスへの読み取りアクセス権が許可されます。

ポリシーの説明

リムーバブル ディスク:書き込みアクセス権の拒否

「リムーバブル ディスク:書き込みアクセス権の拒否」を有効にします。

このポリシー設定を行うと、リムーバブル ディスクへの書き込みアクセス権が拒否されます。

このポリシー設定を有効にした場合、このリムーバブル記憶域クラスへの書き込みアクセス権が拒否されます。

このポリシー設定を無効にした場合、または構成しなかった場合は、このリムーバブル記憶域クラスへの書き込みアクセス権が許可されます。

注: ユーザーが、BitLocker で保護されている記憶域にデータを書き込む必要がある場合は、"コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブ" の [BitLocker で保護されていないドライブへの書き込みアクセスを拒否する] ポリシー設定を有効にします。

ポリシーの説明

まとめ

資産管理システムであれば分かり易いUIで操作できたりするので利用していましたが、グループポリシーでもやり方を理解してしまえば実運用できそうです。逆に場合によってはグループポリシーの方がシンプルで良いかもしれませんね。

1時間で1万円分のAmazonギフト券を確実にゲットする方法


現在、ITトレンドで普段お使いのWeb会議やチャットツール等の業務システムのレビューをするだけで1レビューにつき1,000円分のAmazonギフト券が必ず貰えるキャンペーンをやっています。

筆者も10個のレビューを書き1時間以内に1万円分のAmazonギフト券をゲットしました。

予算が無くなり次第終了となると思われるので早めにITトレンドレビュー投稿フォームにレビューを書いてAmazonギフト券1万円分をゲットしましょう。詳細は以下のリンクよりご確認ください。

ITトレンド公式サイト Amazonギフト券プレゼントキャンペーンの説明へ

会社のパソコンかつ業務時間中により回答できないという方は、以下QRコードでレビューの説明記事のリンクをスマホに飛ばしておきましょう。レビューの手順と確実にゲットするための注意事項等を纏めてあります。

ITトレンドにレビューを書いてAmazonギフト券1万円分を1時間で誰でも簡単にゲットする方法
ITトレンドにレビューを書いてAmazonギフト券1万円分を1時間で誰でも簡単にゲットする方法