グループポリシー(GPO)で全ユーザーの端末のUSBを制御する手順|USB利用禁止

組織のネットワーク内におけるUSBメモリの利用の制限は、いかなる団体でも何らかの形で実施していると思います。運用でカバーしたり、資産管理システム等のツールで行っていたりと様々だと思います。本記事では費用をかけずにUSBメモリのアクセス制限をグループポリシーで行う方法を説明します。

目次

グループポリシー(GPO)の作成と適用手順

「グループポリシーて何?」という方は以下の記事で細かい説明をしていますのでご参照ください。実例を用いて説明をしていますので、全くの初心者でもグルーポプリシーが自由に扱えるようになります。

USBメモリ接続のリスク

USBメモリを組織内のネットワークに接続するリスクをおさらいしておきましょう。以下2点

1.組織内ネットワー上の情報の流出

USBメモリが利用可能な場合

USBメモリにデータを保存して外部に持ち出しが可能となってしまいます。

2.外部からのウイルス感染

自宅で利用しているUSBメモリを会社で利用した場合

自宅で感染したウイルスに組織内ネットワークが汚染されてしまいます。

グループポリシーでUSBの利用制限を行う

それでは、実際にグループポリシーだけでUSBの利用制限を行う方法です。

ポリシーの場所

グループポリシー管理エディターの
コンピュータの構成 ⇒ ポリシー ⇒ 管理テンプレート ⇒ システム ⇒ リムーバブル記憶域へのアクセス

を開きます。深い場所にありますが、、、

ポリシーの設定

今回はUSBメモリの利用制限を行うので下記3つのポリシーを全て有効にします。リムーバルディスクとは、SDカード、外付HDD、USBメモリ等の外部記憶媒体のことです。

リムーバブル ディスク:実行アクセス権の拒否
⇒プログラムの実行の拒否のポリシーです。下記の読み取りを拒否すれば有効にしなくても良いのですが、気持ちが悪いので有効にします。
リムーバブル ディスク:読み取りアクセス権の拒否
⇒有効にすれば読み取りができなくなります。
リムーバブル ディスク:書き込みアクセス権の拒否
⇒有効にすれば書き込みができなくなります。

ポリシーを適用すればUSBメモリの利用ができなくなります。

実行アクセス権の拒否

「リムーバブル ディスク:実行アクセス権の拒否」を有効にします。

このポリシー設定を行うと、リムーバブル ディスクへの実行アクセス権が拒否されます。

このポリシー設定を有効にした場合、このリムーバブル記憶域クラスへの実行アクセス権が拒否されます。

このポリシー設定を無効にした場合、または構成しなかった場合は、このリムーバブル記憶域クラスへの実行アクセス権が許可されます。

ポリシーの説明

リムーバブル ディスク:読み取りアクセス権の拒否

「リムーバブル ディスク:読み取りアクセス権の拒否」を有効にします。

このポリシー設定を行うと、リムーバブル ディスクへの読み取りアクセス権が拒否されます。

このポリシー設定を有効にした場合、このリムーバブル記憶域クラスへの読み取りアクセス権が拒否されます。

このポリシー設定を無効にした場合、または構成しなかった場合は、このリムーバブル記憶域クラスへの読み取りアクセス権が許可されます。

ポリシーの説明

リムーバブル ディスク:書き込みアクセス権の拒否

「リムーバブル ディスク:書き込みアクセス権の拒否」を有効にします。

このポリシー設定を行うと、リムーバブル ディスクへの書き込みアクセス権が拒否されます。

このポリシー設定を有効にした場合、このリムーバブル記憶域クラスへの書き込みアクセス権が拒否されます。

このポリシー設定を無効にした場合、または構成しなかった場合は、このリムーバブル記憶域クラスへの書き込みアクセス権が許可されます。

注: ユーザーが、BitLocker で保護されている記憶域にデータを書き込む必要がある場合は、”コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブ” の [BitLocker で保護されていないドライブへの書き込みアクセスを拒否する] ポリシー設定を有効にします。

ポリシーの説明

まとめ

資産管理システムであれば分かり易いUIで操作できたりするので利用していましたが、グループポリシーでもやり方を理解してしまえば実運用できそうです。逆に場合によってはグループポリシーの方がシンプルで良いかもしれませんね。

コメント

コメント一覧 (1件)

目次