none
USBメモリの読み取りアクセスの拒否について RRS feed

  • 質問

  • Windows Server 2008で構築したAD環境において、

    グループポリシーを利用し、Windows Vista端末上での

    USB利用制限として、以下のことを実施したいと思っています。

     

    ・USBメモリからの読み取りはNG
    ・USBメモリへの書き出しだけは可能

     

    良くある情報漏えい対策では上記とは逆のパターン(読み取りOKで書き出しはNG)

    なのですが、システム要件となっています。

     

    元々の想定では、

     

    ユーザーの構成(またはコンピュータの構成)」→「管理用テンプレート」→
    「システム」→「リムーバブル記憶域へのアクセス」

     

    のポリシーを使用し「読み取りアクセスの拒否」のみを

    有効にすれば良いと思っていたのですが、
    なんと「書き込み」も出来なくなってしまいました。

     

    たぶんUSBメモリのフォルダ構成などを読み込めないので、
    結果書き込めなくなってしまったのではないかと勝手に想像しているのですが、
    読み取りのみをNGとする方法はないでしょうか?

    皆様のお知恵を拝借いたしたく

    よろしくお願いいたします。

     

    2008年12月16日 22:20

回答

  •  ユーザーの構成(またはコンピュータの構成)」「管理用テンプレート」「システム」「リムーバブル記憶域へのアクセス」「リムーバブルディスク: 読み取りアクセス権の拒否」 のポリシーを有効にすれば「読み取り」、「書き込み」とも出来なくなるのは仕方ないと思います。(たとえばしたに資料があります。)

    http://www.atmarkit.co.jp/fwin2k/operation/usbmemory/usbmemory_03.html

    http://www.windows-world.jp/special/-/87809-2.html

     

    以下、したに書いていることは当方のWindows Server 2003 Active Directoryドメインでの運用方法ですので参考にならないかもしれませんが。(Windows Server 2008 Active Directoryドメイン環境がないので検証はしていません。)

     

    現実は、OUをしたのように複数に分け、それぞれのポリシーを作成しリンクする。

    ・外部記憶媒体の使用を全面禁止のOU

    ・USBバスのみ使用を許可するOU

    ・フロッピーディスクのみ使用を許可するOU

    ・CD-R/RWのみ使用を許可するOU

    ・IEEE1394バスのみ使用を許可するOU
    ・SD記憶域カードのみ使用を許可するOU

     

    USBメモリー等の使用の許可をもらった場合には、「外部記憶媒体の使用を全面禁止のOU」から「USBバスのみ使用を許可するOU」へ移動させる。使用が終わったら、「外部記憶媒体の使用を全面禁止のOU」へ戻すといった運用が必要と思います。

     

    グループポリシーとは無関係なのですが、USBメモリー等の外部記憶媒体に会社情報を保存するときは、部長等上司の許可を得た場合に限り「指紋認証付きUSBメモリ」に限りその使用を、認めてもらうようにしないと「会社情報漏えい対策」の意味がありません。

    また、正当な理由により部長等上司の許可を得てUSBメモリー等に会社情報を保存するときは、アタッシュケースなどのフリーソフト位は、その使用許可を得てパスワード付きで自分以外には読み取れないよう保存しましよう。

    「アタッシュケース」はVistaでも使えます。(したよりダウンロードできます。)

    http://www.vector.co.jp/soft/win95/util/se280871.html

     

    少々、難しいのですが

    「暗号化ファイルシステム」の勉強をしてみられるとよいと思います。(したのページがあります。)

    http://www.microsoft.com/japan/technet/windowsserver/2008/library/f843023b-bedd-40dd-9e5b-f1619eebf782.mspx?mfr=true


     

    2008年12月22日 15:37
  • 暗号化ファイルシステム(EFS)が使用できるのは、ドライブがNTFS形式でフォーマットされている場合のみです。USBメモリはFAT、FAT32形式で使用されているケースが殆どなので、実際は「暗号化フリーソフト」を使うか有料の「秘文ソフト」を導入する必要があるでしょう。Windows Server 2008、Vistaに対応した「秘文ソフト」もWEB検索して捜せば安価なものも見つかるでしょう。

     

    たとえばしたにVista対応のものがありました。

    http://hitachisoft.jp/products/hibun/index.html 

     

    2009年1月8日 12:13

すべての返信

  • まきた さん、

     

    こんにちは!
    フォーラム オペレーターの服部 清次です。
    私の手元には Windows Server 2008 の Active Directory 環境がないため、代わりにWindows Vista のローカル セキュリティ ポリシーで確認してみましたところ、たしかに、[リムーバブル ディスク: 読み取りアクセス権の拒否] を有効すると、[アクセスが拒否されました] というメッセージが表示され、書き込みはできませんでした。。。

     

    これは私の推測なのですが、おそらく NTFS の仕組み上、読み込めないメディアには書き込みができないのではないかと思いました。
    [リムーバブル ディスク: 読み取りアクセス権の拒否] は、リムーバブル ディスクの中にあるファイルやフォルダのみを対象としているだけではなく、リムーバブル ディスク自体へのアクセスを拒否してしまうため、この現象が起きてしまう気がします。
    ただ、残念ながら、この辺りを裏付ける情報は見つかりませんでした。。。

     

    もし、この辺りに詳しい方がいらっしゃいましたら、ぜひ追加情報をください!
    よろしくお願いします。
    それでは、また!

     


    ___________________________________________
    マイクロソフト株式会社 フォーラム オペレータ 服部 清次

    2008年12月18日 0:38
  •  ユーザーの構成(またはコンピュータの構成)」「管理用テンプレート」「システム」「リムーバブル記憶域へのアクセス」「リムーバブルディスク: 読み取りアクセス権の拒否」 のポリシーを有効にすれば「読み取り」、「書き込み」とも出来なくなるのは仕方ないと思います。(たとえばしたに資料があります。)

    http://www.atmarkit.co.jp/fwin2k/operation/usbmemory/usbmemory_03.html

    http://www.windows-world.jp/special/-/87809-2.html

     

    以下、したに書いていることは当方のWindows Server 2003 Active Directoryドメインでの運用方法ですので参考にならないかもしれませんが。(Windows Server 2008 Active Directoryドメイン環境がないので検証はしていません。)

     

    現実は、OUをしたのように複数に分け、それぞれのポリシーを作成しリンクする。

    ・外部記憶媒体の使用を全面禁止のOU

    ・USBバスのみ使用を許可するOU

    ・フロッピーディスクのみ使用を許可するOU

    ・CD-R/RWのみ使用を許可するOU

    ・IEEE1394バスのみ使用を許可するOU
    ・SD記憶域カードのみ使用を許可するOU

     

    USBメモリー等の使用の許可をもらった場合には、「外部記憶媒体の使用を全面禁止のOU」から「USBバスのみ使用を許可するOU」へ移動させる。使用が終わったら、「外部記憶媒体の使用を全面禁止のOU」へ戻すといった運用が必要と思います。

     

    グループポリシーとは無関係なのですが、USBメモリー等の外部記憶媒体に会社情報を保存するときは、部長等上司の許可を得た場合に限り「指紋認証付きUSBメモリ」に限りその使用を、認めてもらうようにしないと「会社情報漏えい対策」の意味がありません。

    また、正当な理由により部長等上司の許可を得てUSBメモリー等に会社情報を保存するときは、アタッシュケースなどのフリーソフト位は、その使用許可を得てパスワード付きで自分以外には読み取れないよう保存しましよう。

    「アタッシュケース」はVistaでも使えます。(したよりダウンロードできます。)

    http://www.vector.co.jp/soft/win95/util/se280871.html

     

    少々、難しいのですが

    「暗号化ファイルシステム」の勉強をしてみられるとよいと思います。(したのページがあります。)

    http://www.microsoft.com/japan/technet/windowsserver/2008/library/f843023b-bedd-40dd-9e5b-f1619eebf782.mspx?mfr=true


     

    2008年12月22日 15:37
  • まきたさん、こんにちは。

     

    こういうチャレンジ、個人的に好きです。

     

    #ちょっとシチュエーションが見えないので、はずしている可能性がありますのでご了承ください

     

    で、根本的な解決ではなく、条件付きではあるのですが、「ドライブ文字を隠す」とうのはいかがでしょう。

     

    [基本設定]-[ドライブマップ] で設定できます。

     

    ただ、ご想像通り、ただ隠すだけですし、ドライブが無くなるということはエクスプローラからの書き込みさえもできなくなります。

    また、「ファイル名を指定して実行」から直接アクセスすれば参照することができてしまいます。

     

    特定の業務アプリケーションが「バックグラウンドで書き込む」というシチュエーションであれば使えるかなと思います。

    2009年1月7日 7:15
  • 暗号化ファイルシステム(EFS)が使用できるのは、ドライブがNTFS形式でフォーマットされている場合のみです。USBメモリはFAT、FAT32形式で使用されているケースが殆どなので、実際は「暗号化フリーソフト」を使うか有料の「秘文ソフト」を導入する必要があるでしょう。Windows Server 2008、Vistaに対応した「秘文ソフト」もWEB検索して捜せば安価なものも見つかるでしょう。

     

    たとえばしたにVista対応のものがありました。

    http://hitachisoft.jp/products/hibun/index.html 

     

    2009年1月8日 12:13
  • まきた さん、こんにちは。フォーラムオペレーターの鈴木裕子です

     

    その後いかがでしたか?試験問題作成委員会 さんのご投稿や、弊社 安納の投稿は参考となりましたでしょうか?

    まきた さんのその後が気になるところですが、同様の運用を検討される方もいらっしゃるのではと思い、ぜひこちらの情報を参考としていただければと、勝手ながら私の方で回答チェックをつけさせていただきました。

    もし不適切と思われる場合は、遠慮なくチェックを解除してくださいね。

     

    よろしければ、まきた さんの方のその後の経過をご投稿いただけると大変うれしいです

    試験問題作成委員会 さん、弊社 安納も気になっていると思いますので)

     

    これからも、IT技術者の皆様の情報交換の場としてForumをご活用くださいね!

    2009年1月15日 1:33
    モデレータ