グループポリシーを使用してWindowsでUSBドライブをブロックする方法は?
新しいUSBデバイスをコンピューターに接続すると、Windowsはデバイスを自動的に検出し、適切なドライバーをインストールします。その結果、ユーザーは接続されたUSBドライブまたはデバイスをほぼ即座に使用できます。一部の組織では、機密データの漏洩やコンピューターへの感染を防ぐために、セキュリティ上の理由からUSBストレージデバイス(フラッシュドライブ、USB HDD、SDカードなど)の使用がブロックされています。この記事では、グループポリシー(GPO)を使用して外部のリムーバブルUSBドライブを無効にする方法について説明します。
Windows 7以降のすべてのバージョンのWindowsでは、グループポリシー(BIOS設定を介してUSBポートを無効にする根本的な方法を検討していません)を使用して、外部ドライブ(USB、CD / DVD、フロッピー、テープなど)へのアクセスを柔軟に管理できます。 )。マウス、キーボード、プリンターなどのUSBデバイス(リムーバブルディスクとして認識されない)に影響を与えることなく、USBドライブのみの使用をプログラムでブロックすることができます。
USBデバイスのブロックポリシーは、ADドメインのインフラストラクチャが次の要件を満たしている場合に機能します。
- Active Directoryスキーマバージョン— WindowsServer2008以降;注 。グループポリシーのセットを使用すると、ADバージョン44でのみ表示されるWindowsでのリムーバブルメディアのインストールと使用を制御できます。
- デスクトップOS–Windows7以降。
特定のADコンテナ(OU)内のすべてのコンピューターでのUSBドライブの使用を制限します。 USBブロックポリシーをドメイン全体に適用できますが、これはサーバーやその他の技術デバイスに影響します。 ワークステーションという名前のOUにポリシーを適用するとします。 。これを行うには、GPO管理コンソール( gpmc.msc )を開きます。 )、OUワークステーションを右クリックして新しいポリシーを作成します(このドメインにGPOを作成し、ここにリンクします。 )
ヒント 。スタンドアロンコンピューターの場合、USBデバイス制限ポリシーは、ローカルのグループポリシーエディター– gpedit.mscを使用して編集できます。 。ローカルグループポリシーエディターはWindowsHomeエディションでは使用できませんが、次のようにインストールできます:Windows10Homeでgpedit.mscを有効にする方法。
GPO名を「USBアクセスを無効にする」に設定します 。
GPO設定を変更します(編集 。
外部ストレージデバイスをブロックするための設定は、GPOの[ユーザー]セクションと[コンピューター]セクションの両方で利用できます。
- ユーザー設定->ポリシー->管理用テンプレート->システム->リムーバブルストレージアクセス。
- コンピューターの構成->ポリシー->管理用テンプレート->システム->リムーバブルストレージアクセス。
リムーバブルストレージアクセス セクションでは、さまざまなタイプのストレージクラス(CD / DVD、FDD、USBデバイス、テープなど)の使用を無効にできるポリシーがいくつかあります。
- CDおよびDVD:実行アクセスを拒否します。
- CDおよびDVD:読み取りアクセスを拒否します。
- CDおよびDVD:書き込みアクセスを拒否します。
- カスタムクラス:読み取りアクセスを拒否します。
- カスタムクラス:書き込みアクセスを拒否します。
- フロッピードライブ:実行アクセスを拒否します。
- フロッピードライブ:読み取りアクセスを拒否します。
- フロッピードライブ:書き込みアクセスを拒否します。
- リムーバブルディスク:実行アクセスを拒否します。
- リムーバブルディスク:読み取りアクセスを拒否します。
- リムーバブルディスク:書き込みアクセスを拒否します。
- すべてのリムーバブルストレージクラス:すべてのアクセスを拒否します。
- すべてのリムーバブルストレージ:リモートセッションでの直接アクセスを許可します。
- テープドライブ:実行アクセスを拒否します。
- テープドライブ:読み取りアクセスを拒否します。
- テープドライブ:書き込みアクセスを拒否します。
- Windowsポータブルデバイス–このクラスには、スマートフォン、タブレット、プレーヤーなどが含まれます。
- WPDデバイス:書き込みアクセスを拒否します。
ご覧のとおり、各デバイスクラスの実行可能ファイルの起動を拒否し(コンピューターをウイルスから保護し)、データの読み取りと外部メディアへのファイルの書き込み/編集を禁止できます。
「最強の」制限ポリシー— すべてのリムーバブルストレージクラス:すべてのアクセスを拒否 –すべてのタイプの外部ストレージデバイスへのアクセスを完全に無効にすることができます。ポリシーをオンにするには、ポリシーを開いて[有効にする]をオンにします 。
クライアントコンピューターでポリシーを有効にして更新した後( gpupdate / force )、OSは接続された外部デバイス(USBデバイスだけでなく、外部ドライブも)を検出しますが、それらを開こうとすると、エラーが表示されます:
Location is not available Drive is not accessible. Access is denied.
同じポリシーセクションで、外付けUSBドライブの使用に関するより柔軟な制限を構成できます。
たとえば、USBフラッシュドライブやその他の種類のUSBドライブへのデータの書き込みを防ぐには、ポリシーリムーバブルディスク:書き込みアクセスを拒否するを有効にする必要があります。 。
この場合、ユーザーはUSBフラッシュドライブからデータを読み取ることができますが、USBフラッシュドライブに情報を書き込もうとすると、アクセス拒否エラーが発生します。
Destination Folder Access Denied You need permission to perform this action
リムーバブルディスク:実行アクセスの拒否を使用して、実行可能ファイルとスクリプトファイルがUSBドライブから実行されないようにすることができます。 ポリシー。
多くの場合、管理者を除くドメイン内のすべてのユーザーのUSBドライブをブロックする必要があります。
これを行う最も簡単な方法は、セキュリティフィルタリングを使用することです。 GPOで。たとえば、USBブロックポリシーがDomainAdminsグループに適用されないようにするには:
- USBアクセスを無効にするを選択します グループポリシー管理コンソールのポリシー;
- セキュリティフィルタリング セクションに、ドメイン管理者を追加します グループ;
- 委任に移動します タブをクリックし、詳細をクリックします 。セキュリティ設定エディタで、ドメイン管理者グループがこのGPOを適用できないように指定します(グループポリシーの適用–拒否 。
別のタスクがあるかもしれません-特定のユーザーグループを除くすべてのユーザーに外部USBドライブの使用を許可する必要があります。セキュリティグループ「DenyUSB」を作成し、GPOのセキュリティ設定にこのグループを追加します。このグループでは、GPOを読み取って適用する権限を設定し、認証されたユーザーにのみ読み取り権限を残します またはドメインコンピュータ グループ(グループポリシーの適用のチェックを外します チェックボックス)。
グループポリシー設定(GPP)を介して上記のポリシーによって設定されたレジストリ設定を構成することにより、外部デバイスへのアクセスをより柔軟に制御できます。上記のすべてのポリシーは、 HKLMの特定のレジストリキーに対応しています。 (または HKCU ) \ SOFTWARE \ Policies \ Microsoft \ Windows \ RemovableStorageDevices キー(デフォルトでは、このレジストリキーはありません)。
これらのポリシーのいずれかを有効にするには、アクセスをブロックするデバイスクラスの名前(列2)と制約タイプ( Deny_Read )のREG_DWORDパラメーターを使用して、指定したキーに新しいサブキーを作成する必要があります。 、 Deny_Write またはDeny_Execute )。このパラメータの値が1に等しい場合 、 0 の場合、USB制限はアクティブです –このデバイスクラスには制限はありません。
| {53f56311-b6bf-11d0-94f2-00a0c91efb8b} | |
| {53f56311-b6bf-11d0-94f2-00a0c91efb8b} | |
| CDおよびDVD: 読み取りアクセスを拒否する | {53f56308-b6bf-11d0-94f2-00a0c91efb8b} |
| CDおよびDVD: 書き込みアクセスを拒否する | {53f56308-b6bf-11d0-94f2-00a0c91efb8b} |
| {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} | |
| {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} | |
| {53f5630b-b6bf-11d0-94f2-00a0c91efb8b} | |
| {53f5630b-b6bf-11d0-94f2-00a0c91efb8b} | |
| WPDデバイス: 読み取りアクセスを拒否 | {6AC27878-A6FA-4155-BA85-F98F491D4F33} {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE} |
| WPDデバイス: 書き込みアクセスを拒否する | {6AC27878-A6FA-4155-BA85-F98F491D4F33} {F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE} |
指定したレジストリキーとパラメータを手動で作成できます。下のスクリーンショットでは、RemovableStorageDevicesを作成しました キー、および{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}という名前のサブキー。 REG_DWORDパラメータの助けを借りて、USBドライブから実行可能ファイルを書き込んで実行することを禁止しました。
これらのレジストリキーとGPPのアイテムレベルのターゲティングを使用して、外部USBストレージデバイスの使用を制限するポリシーを柔軟に適用できます。ポリシーは、特定のADセキュリティグループ、サイト、OSバージョン、OUに適用できます(WMIフィルターも使用できます)。たとえば、 Storage-Devices-Restrictを作成できます ドメイングループを作成し、USBドライブの使用を制限するコンピューターアカウントを追加します。このグループは、GPPポリシーのアイテムレベルのターゲティングで指定されています ->セキュリティグループ コンピュータのセクション グループオプションで。これにより、このADグループに追加されたコンピューターにUSBブロッキングポリシーが適用されます。
USBSTOR(USBマスストレージドライバー)を完全に無効にすることができます USBストレージデバイスを正しく検出してマウントするために必要なドライバ。
スタンドアロンコンピューターでは、開始の値を変更することで、このドライバーを無効にできます。 3から4までのレジストリパラメータ 。これは、PowerShellを介して実行できます:
Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\services\USBSTOR" -name Start -Value 4
コンピュータを再起動し、USBストレージデバイスを接続してみてください。これで、ファイルエクスプローラーまたはディスク管理コンソールに表示されなくなり、デバイスマネージャーにデバイスドライバーのインストールエラーが表示されます。
注 。これらのバージョンには外部USBデバイスへのアクセスを制限するための個別のグループポリシー設定がないため、これは古いWindows XP / WindowsServer2003でUSBドライブを無効にする唯一の方法です。グループポリシー設定を使用して、USBSTORドライバーがドメインコンピューターで実行されないようにすることができます。これを行うには、GPOを介してレジストリに変更を加える必要があります。
これらの設定は、すべてのドメインコンピューターに展開できます。新しいグループポリシーを作成し、それをコンピューターとOUにリンクし、[コンピューターの構成]->[設定]->[Windowsの設定]->[レジストリ] セクションで、値を使用して新しいパラメータを作成します:
- アクション :更新
- ハイブ :HKEY_LOCAK_MACHINE
- キーパス :SYSTEM \ CurrentControlSet \ Services \ USBSTOR
- 値の名前 :開始
- 値のタイプ :REG_DWORD
- 値データ :00000004
特定のレジストリ設定を使用して、特定の(承認された)USBストレージドライブをコンピューターに接続できるようにすることができます。これをどのように構成できるかを簡単に見てみましょう。
USBストレージデバイスをコンピューターに接続すると、 USBSTOR ドライバーはデバイスをインストールし、 HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USBSTORの下に別のレジストリキーを作成します 。このレジストリキーには、USBドライブに関する情報が含まれています(たとえば、Disk&Ven_Kingstom&Prod_DT_1010_G2&Rev_12.00)。
Get-ItemProperty –Path HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*| select FriendlyNameを選択します
必要なものを除いて、以前に接続したUSBフラッシュドライブのすべてのレジストリキーを削除できます。
次に、USBSTORレジストリキーのアクセス許可を変更して、すべてのユーザー(SYSTEMおよび管理者を含む)が読み取りアクセス許可のみを持つようにする必要があります。その結果、許可されているものを除いてUSBドライブを接続すると、Windowsはデバイスをインストールできなくなります。
-
Windows で USB ストレージ デバイスをブロックする方法
Windows で USB ストレージ デバイスへのアクセスをブロックする場合は、このチュートリアルを読み続けてください。ご存じのとおり、データをバックアップしたり、2 台の異なるコンピューター間でデータを転送したりする最も効率的な方法の 1 つは、USB ストレージ デバイスを使用することです。ただし、USB ストレージ デバイスを使用する機能には、許可なく第三者が機密データをコピーするリスクや、USB ストレージ デバイスが感染している場合にコンピューターが感染するリスクが伴います。 このガイドには、Windows 10、8、7 OS および Windows で USB ストレージ デバ
-
グループ ポリシーを使用してドメイン 2016/2012 で USB ストレージ デバイスをブロックする方法。
このガイドでは、AD ドメイン 2016 または 2012 でグループ ポリシーを使用して、ドメイン全体または特定のドメイン ユーザーの USB ストレージ デバイスをブロックする方法について、順を追って説明します。より具体的には、このガイドの手順を読むと、その方法を学習できます。ドメイン内の任意のコンピュータに接続できる USB ストレージ デバイス (フラッシュ ドライブ、外付けハード ドライブ、スマートフォン、タブレットなど) へのアクセスを防止するか、特定のドメイン ユーザーのみに USB ストレージ アクセスを拒否します。 今日、私たちの多くは USB ストレージ デバイスを使用し