none
USBが使えないようにしたい。 RRS feed

  • 質問

  • すいません、どなたかよろしくお願いします。

    Windows Server 2003 R2 のドメイン環境にいるクライアントPC(XPや7)のUSBを強制的に使えなくしたいです。

    できますでしょか?スクリンセーバーなどは簡単に強制的稼働させることができますね。

    以上、よろしくお願いします。


    • 編集済み 星 睦美 2012年10月23日 4:32 完了->環境にしました
    2012年10月23日 4:19

回答

  • グループポリシーを利用すれば可能ですね。

    過去に似たようなスレッドがありましたので、以下に示します。

    リムーバブルディスクの使用制限について

    • 回答としてマーク slash117 2012年11月1日 2:55
    2012年10月23日 6:29
  • なぜ、ログインするときにサーバーからグループポリシーを読み込まないか不思議です。

    ユーザーの構成に関するポリシーについては、ログオフ/ログオンすることで読み込まれると思いますが、
    コンピューターの構成に関するポリシーについては、ユーザー単位でポリシーを適用している訳ではないですから、
    ログオフ/ログオンだけでは適用されないこともありますね。以下の記事が参考になるかもしれません。

    グループ ポリシー エディタで変更がすぐに適用されない

    結局は、>gpupdate /force だけで解決できる問題でした。また実際には再起動をいちいちしなくてもこのコマンドだけでいいのではないでしょうか?

    多くのポリシーは確かに gpupdate /force だけで適用できます。( ユーザーの構成、コンピューターの構成 関わらず )
    ですが、再起動をしないと適用されないポリシーも一部あります。( コンピューターを対象にした、ソフトウェアのインストール など )
    そのために、gpupdate には /Boot のオプションも用意してあったりします。
    ですので、「再起動した方がどのポリシーについても確実ですよね」という話ですね。

    • 回答としてマーク slash117 2012年11月1日 2:56
    2012年10月29日 7:16
  • ソフトウェアの制限のポリシーは、インストールされたとしても実行を制限する (or 許可する ) ためのものですね。

    一番簡単な例として「パスの規則」を利用する場合、ライティングソフトの実行ファイル名が「DVDWriter.exe」だったとすると、
    規則のパスとして「*\DVDWriter.exe」などと指定し、セキュリティレベルを「許可しない」にすることで、
    あらゆるパスにある DVDWriter.exe の実行のみを制限することが可能です。(e.g. C:\foo\DVDWriter.exe、D:\bar\foobar\DVDWriter.exe)

    規則には 「*」のようなワイルドカードが指定できるため、ある程度柔軟に対応できると思います。
    ただ、パスの規則ではユーザーによってファイル名が変更された場合には対応することが難しいため、
    要件や状況に応じて、「ハッシュの規則」など別の規則を利用 or 併用するなどしても良いと思います。

    あと、後出しになりますが、Windows 7 の特定のエディションに限って言えば AppLocker の機能もあります。
    この辺りも要件や状況に応じて検討対象にしてみてもいいかもしれません。
    Windows 7のAppLockerで特定のプログラムを実行禁止にする

    個々のユーザーに管理者権限を与えるべきかどうかは、さまざまな要件があると思われるので一概には言えないと思います。
    インストールを許すことで労力を減らせても、余計なことをされてしまうことについて対策するための労力が増えるかもしれません。
    もちろん逆の場合もありますので、バランスをどう取るかは人や企業それぞれでしょうね。

    • 回答としてマーク slash117 2012年11月1日 2:59
    2012年10月30日 2:29

すべての返信

  • グループポリシーを利用すれば可能ですね。

    過去に似たようなスレッドがありましたので、以下に示します。

    リムーバブルディスクの使用制限について

    • 回答としてマーク slash117 2012年11月1日 2:55
    2012年10月23日 6:29
  • ご連絡ありがとうございました。試したところ、簡単にUSBは使えなくなりました。

    しかし、ノートPC にDVDRWがつついており、PC付属のソフトではDVDに書き込むことができました。
    どうすればいいでしょうか?

    以上、よろしくお願いします。

    2012年10月29日 5:20
  • 今回USBの制御の感想を記述します。

    クライアントがグループポリシーを読み込むタイミングで迷いかなり設定確認に時間がかかりました。

    結局は、>gpupdate /force だけで解決できる問題でした。なぜ、ログインするときにサーバーからグループポリシーを
    読み込まないか不思議です。また実際には再起動をいちいちしなくてもこのコマンドだけでいいのではないでしょうか?

    以上

    2012年10月29日 6:22
  • 度々すいません、ところでこのグループポリシーを元に戻すのはどうするのでしょうか?

    単純にもう一度、「リムーバブル記憶装置の使用制限」というポリシーをつくり、それを無効にして
    該当するOUにリンクすればいいのでしょうか?

    もっと正しいやり方があればだれか教えて下さい。

    以上、よろしくお願いします。

    2012年10月29日 7:01
  • なぜ、ログインするときにサーバーからグループポリシーを読み込まないか不思議です。

    ユーザーの構成に関するポリシーについては、ログオフ/ログオンすることで読み込まれると思いますが、
    コンピューターの構成に関するポリシーについては、ユーザー単位でポリシーを適用している訳ではないですから、
    ログオフ/ログオンだけでは適用されないこともありますね。以下の記事が参考になるかもしれません。

    グループ ポリシー エディタで変更がすぐに適用されない

    結局は、>gpupdate /force だけで解決できる問題でした。また実際には再起動をいちいちしなくてもこのコマンドだけでいいのではないでしょうか?

    多くのポリシーは確かに gpupdate /force だけで適用できます。( ユーザーの構成、コンピューターの構成 関わらず )
    ですが、再起動をしないと適用されないポリシーも一部あります。( コンピューターを対象にした、ソフトウェアのインストール など )
    そのために、gpupdate には /Boot のオプションも用意してあったりします。
    ですので、「再起動した方がどのポリシーについても確実ですよね」という話ですね。

    • 回答としてマーク slash117 2012年11月1日 2:56
    2012年10月29日 7:16
  • リンク先の情報漏洩対策ガイドにも注意書きとして書かれていますが、その adm ファイルで実装されている CD (DVD) 書き込み禁止については、
    OS 標準の機能として付いている CD 書き込み機能を禁止するもので、サードパーティのツールからは書き込みが可能です。

    例えば、その書き込みを行うためのサードパーティのツールに対して、ソフトウェアの制限のポリシーあたりを利用してみるのも一つの手ですね。

    ソフトウェアの制限のポリシー

    2012年10月29日 15:24
  • yottun8 様

    ご回答どうもありがとうございます。

    大変わかり易い説明で納得できました。

    ソフトウエア等の制限は、ライティングソフトだけに適用可能でしょうか?
    全てのソフトをインストールできないようにするポリシーでしょうか?
    通常、企業では、ソフトのインストールを制御すると管理に労力かけるので
    アドミニ権限を与えてるのでしょうか?すいません何度も質問して。

    2012年10月30日 0:15
  • ソフトウェアの制限のポリシーは、インストールされたとしても実行を制限する (or 許可する ) ためのものですね。

    一番簡単な例として「パスの規則」を利用する場合、ライティングソフトの実行ファイル名が「DVDWriter.exe」だったとすると、
    規則のパスとして「*\DVDWriter.exe」などと指定し、セキュリティレベルを「許可しない」にすることで、
    あらゆるパスにある DVDWriter.exe の実行のみを制限することが可能です。(e.g. C:\foo\DVDWriter.exe、D:\bar\foobar\DVDWriter.exe)

    規則には 「*」のようなワイルドカードが指定できるため、ある程度柔軟に対応できると思います。
    ただ、パスの規則ではユーザーによってファイル名が変更された場合には対応することが難しいため、
    要件や状況に応じて、「ハッシュの規則」など別の規則を利用 or 併用するなどしても良いと思います。

    あと、後出しになりますが、Windows 7 の特定のエディションに限って言えば AppLocker の機能もあります。
    この辺りも要件や状況に応じて検討対象にしてみてもいいかもしれません。
    Windows 7のAppLockerで特定のプログラムを実行禁止にする

    個々のユーザーに管理者権限を与えるべきかどうかは、さまざまな要件があると思われるので一概には言えないと思います。
    インストールを許すことで労力を減らせても、余計なことをされてしまうことについて対策するための労力が増えるかもしれません。
    もちろん逆の場合もありますので、バランスをどう取るかは人や企業それぞれでしょうね。

    • 回答としてマーク slash117 2012年11月1日 2:59
    2012年10月30日 2:29