目次
このガイドでは、ADドメイン2016または2012でグループポリシーを使用して、ドメイン全体または特定のドメインユーザーでUSBストレージデバイスをブロックする方法をステップバイステップで説明します。 具体的には、このガイドの手順を読んだ後、任意のUSBストレージデバイス(フラッシュドライブ、外付けハードドライブ、スマートフォン、タブレットなど)へのアクセスを防ぐ方法を学ぶことができます。コンピュータをドメイン内に置くか、または特定のドメインユーザーに対してのみUSBストレージへのアクセスを拒否します。
現在、多くの方がデータの転送にUSBストレージを使用しています。 しかし、組織にとって、従業員が外部ストレージを使用できることは、マルウェアの拡散や機密データの傍受などのセキュリティリスクを含んでいる場合があります。 これらのリスクを避けるために、以下の説明を読んで、ドメイン内のすべてのユーザーとコンピュータに対するUSBストレージへのアクセスをブロックするか、または特定のドメインユーザーのみ、グループポリシーを使用しています。
注意事項
1.この記事では、グループポリシーでUSBメモリをブロックするために、Active Directory 2016ドメインコントローラーを使用して新しいグループポリシーを作成し、Windows 10 Pro & Windows 7 Proワークステーションでそれを適用しました。
2.ドメイン管理者やUSBキーボード、マウス、プリンターなどの接続されたUSBデバイスには、「USBアクセスをブロック」ポリシーは影響しません。
3.グループポリシーの適用後、ユーザーはあらゆる種類のUSBストレージデバイスにアクセスできなくなり、PC上のUSBストレージデバイスにアクセスしようとすると、以下のいずれかのエラーメッセージが表示されます。
グループポリシーを使用して、USBストレージへのアクセスを防止する方法(Server 2012/2012R2/2016)
- 第1回 すべてのドメインユーザーでUSBの読み書きを禁止する 第2回 特定のドメインユーザーでUSBの読み書きを禁止する
第1回 ドメイン2016全体でUSBストレージへのアクセスをブロックする方法。
ドメイン上の任意のコンピューター(ユーザー)に対して、接続されたUSBストレージデバイスへのアクセスを無効にする。
1. Server 2016のADドメインコントローラーで、「」を開きます。 サーバー管理者 から、そして ツール メニューを開き グループポリシー管理。 *
さらに、次のページに移動します。 コントロールパネル -> 管理ツール -> グループポリシー管理。
2. アンダー ドメイン を選択し、ドメインを選択し ライトクリック で デフォルトドメインポリシー を選択し 編集 .
3. グループポリシー管理エディタ」で、次の場所に移動します。
- ユーザー設定 > ポリシー > 管理用テンプレート > システム>> の順に選択します。 リムーバブルストレージアクセス
4. 右ペインで、以下をダブルクリックします。 リムーバブルディスク: 読み取りアクセスを拒否する。
* 注意事項
1.この時点で多くのチュートリアルは、以下を提案しています。 イネーブル The ' すべてのリムーバブルストレージクラス:すべてのアクセスを拒否する」。 というポリシーがありますが、このポリシーはスマートフォンやタブレット端末では適用(動作)されないことがテスト中に判明しました。
2.USBのWriteアクセスをブロックしたい場合は、以下のように選択します。 リムーバブルディスク:書き込みアクセスを拒否する。
5. チェック 有効 をクリックします。 OKです。
6.閉じる をクリックすると、グループポリシーエディターが起動します。
7.再起動 を実行するか、サーバーとクライアントマシンで gpupdate /force コマンドを使用して、サーバーとクライアントの両方に新しいグループポリシー設定を適用します(再起動なし)。
第2回 特定のドメインユーザーでUSBストレージにアクセスできないようにする方法。
グループポリシーを使用して、特定のユーザーに対してのみUSBストレージデバイスへのアクセスを禁止するには、USBストレージデバイスにアクセスしたくないユーザーを含むグループを作成し、このグループに新しいポリシーを適用する必要があります。 そのためには、次のようにします。
ステップ1.無効化されたUSBユーザーでグループを作成する *。
注意:すでに無効化したUSBユーザーでグループを作成している場合は、手順-2に進んでください。
1. オープン Active Directory Users and Computersのこと。
2. のところで右クリックします。 ユーザー 「を選択し、左ペインの 新規 > グループ
3. 新しいグループの名前(例:"USB Disabled Users")を入力し、クリックする OK . *
注:「グローバル」「セキュリティ」オプションはチェックしたままにしてください。
4. 新しく作成したグループを開き メンバー紹介 タブをクリックし 追加
5. USBストレージをブロックするドメインユーザーを選択し、[OK]をクリックします。 OKです。
6. クリック OK をクリックして、グループプロパティを閉じます。
ステップ2.USBストレージを無効にするための新しいグループポリシーオブジェクトを作成する。
1. を開く グループポリシー管理。
2. ドメイン」オブジェクトで、自分のドメインを右クリックし このドメインにGPOを作成し、ここにリンクします。
3. 新しいGPOの名前(例:"USB Disabled")を入力し OKです。
4. 新しいGPOを右クリックし 編集する。
5. グループポリシー管理エディタ」で、次の場所に移動します。
- ユーザー設定 > ポリシー > 管理用テンプレート > システム>> の順に選択します。 リムーバブルストレージアクセス
4. 右ペインで、以下をダブルクリックします。 リムーバブルディスク:読み取りアクセスを拒否する。 *
* 注
1.この時点で多くのチュートリアルは、以下を提案しています。 イネーブル The ' すべてのリムーバブルストレージクラス:すべてのアクセスを拒否する」。 というポリシーがありますが、このポリシーはスマートフォンやタブレット端末では適用(動作)されないことがテスト中に判明しました。
2.USBのWriteアクセスをブロックしたい場合は、以下のように選択します。 リムーバブルディスク:書き込みアクセスを拒否する。
5. チェック 有効 をクリックします。 OKです。
6.閉じる その グループポリシー管理エディター ウィンドウに表示されます。
7. グループポリシー管理」に戻り、「USB無効」のGPOを選択し、「スコープ」タブで 追加 ボタンをクリックします(「セキュリティフィルタリング」設定の下)。
8.「USB使用不可ユーザー」グループの名前(例:この記事では「USB使用不可ユーザー」)を入力し、クリックする OK .
9. 完了したら、以下を選択します。 デレゲーション タブで表示します。
10. Delegation」タブで 選ぶ その 認証されたユーザー をクリックします。 アドバンストです。
11 .セキュリティオプションで。 選ぶ その 認証されたユーザー と アンチェック その グループポリシーの適用 をクリックします。 OKです。
6.閉じる をクリックすると、グループポリシーエディターが起動します。
7.再起動 を実行するか、サーバとクライアントマシンの間で gpupdate /force " コマンド(管理者として)を実行すると、新しいグループポリシー設定がサーバーとクライアントの両方に(再起動せずに)適用されます。
以上です!このガイドが役に立ったかどうか、あなたの経験についてコメントを残してください。 他の人のために、このガイドを「いいね!」と「シェア」してください。
アンディ・デイビス
Windows に関するシステム管理者のブログ
