グループポリシーでのデバイス制御

グループポリシーだけでは完全な外部記憶媒体のデバイス制御は難しい。

 

（質問）

グループポリシーでのデバイス制御について

 

お世話になります。初めて質問させて頂きます。

 

テスト環境にてグループポリシーの適用をテストしておりましたが設定がうまくいかず、

以下のスレッドを参照しましたが別の部分で不明な点がありましたのでご質問させてください。

 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/f68ce1ec-a0b3-4eae-b274-67e76f5ae1a1

http://social.technet.microsoft.com/forums/ja-JP/activedirectoryja/thread/28c234b4-9457-42f0-954a-6d9827471574/

 

当方のデバイス制御を行おうとしている環境は以下の様になっています。

 

サーバ：Windows2003R2 StandardEdition(機能レベル：Windows2000混在)※ドメイン環境

クライアント：WindowsXP/Vista/7

 

[質問]

１．クライアントがWindows2000/XPの場合「コンピュータの構成」で管理することができ、「ユーザーの構成」で管理できるのはWindowsVista/7以降とありますが、サーバーの機能レベル上げる、またはサーバを2008にするなどして、ユーザー単位でポリシー設定をすることは可能でしょうか。それとも、サーバーに関わらず、クライアントが2000/XPであれば、やはりユーザー単位ではできないのでしょうか。

 

２．グループポリシーがクライアントに適用された場合、ネットワークが切断した状態ではポリシーは適用されるのでしょうか。切断された状態でもデバイス制御が効いている。という環境にしたいです。

 

３．グループポリシーの適用タイミングについて、「コンピュータの構成」は起動時、「ユーザーの構成」はログオン時、以降は約90分間隔とありますが、ポリシーの内容が変わらなくてもこの間隔でクライアントのレジストリが書き換わるのでしょうか。クライアントの挙動に、レスポンスなど、なにか変化が起こりますでしょうか。

 

宜しくお願い致します。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 

（わかる範囲で調べた結果）

Windows XPのUSB制御のポリシーは以下レジストリ値をみる。コンピュータ単位のみ対象になる。

（１）USBメモリを禁止

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
値の名前 Start
型 REG_DWORD
値 3（使用を許可）／4（使用を禁止）

 

（２）USBメモリへの書き込みを禁止

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies

（StorageDevicePoliciesキーがない場合、キーを新規に作成する）
値の名前 WriteProtect
型 REG_DWORD
値 1

 

Vista以降は

・［コンピュータの構成］－［管理テンプレート］－［システム］－［リムーバブル記憶域へのアクセス］
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\

RemovableStorageDevices\{53f5630b-b6bf-11d0-94f2-00a0c91efb8b}! Deny_Write

コンピュータのみに設定

 

・［ユーザーの構成］－［管理テンプレート］－［システム］－［リムーバブル記憶域へのアクセス］

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\

RemovableStorageDevices\{53f5630b-b6bf-11d0-94f2-00a0c91efb8b}! Deny_Write

ユーザーのみに設定

 

（参考ページ）

http://news.livedoor.com/article/detail/3848807/

 

また、

情報漏えい対策ガイド（Windows Server 2003編）の

3.2 リムーバブル記憶装置がインストールされていない場合（Ｐ１８～
該当のリムーバブル記憶装置を禁止するポリシーにスタートアップで、スタートアップスクリプト「BlockRmStor.wsf /D:Everyone /Q」を追加すると（P20～P24参照）確かに、スタートアップでリムーバブル記憶装置をインストールきなくなる。しかし、このスタートアップスクリプトを追加し「ＳＤ記憶域カード」使用禁止のポリシーをリンクすると、クライアントのアプリケーションログに、「ＳＤ記憶域カード」に関するものと思われるエラーがでる。「ＳＤ記憶域カード」については使用禁止にはできない。

 この「ＳＤ記憶域カード」に関するアプリケーションログにエラーが出るとWindows XP にSP3　をインストールする際にエラーがでる。このXP SP3インストールエラー回避方法についてはしたの個人の方のブログで紹介されている

解決方法 Windows XP SP3 インストール時の失敗－ねこ鯖 nekoserver 鯖缶はたいへんだニャーの巻

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/7f455507-ed77-4889-a1b9-6c55fcc3bc52

 

特定のUSBデバイスの使用制限

会社情報漏えい対策の観点から、このような質問には回答する必要はない。

 

（質問）

試験問題作成委員会様、ご返信ありがとうございます。
私の質問の書き方が悪かったので再度質問させてください。

Active DirectoryのGPOを使って、特定機種のUSBメモリのみを利用許可したいと思っております。
１、USBメモリAは利用許可
２、USBメモリA以外のUSBメモリはすべて禁止
３、USBメモリ以外のUSBハードDISKといったUSBリムーバブルDISKはすべて利用許可
即ち、制限するのは”USBメモリA以外のすべての機種のUSBメモリ”であり、それ以外は利用許可としたいのです。

例えば
[コンピュータの構成]－[管理者テンプレート]－[システム]－[デバイスのインスト－ル]－[デバイスのインストールの制限]
のグループポリシーで
●他のポリシー設定で記述されていないデバイスのインストールを禁止する-->有効
●これらのデバイスIDと一致するデバイスのインストールを許可する-->でUSBメモリAのデバイスIDを入力
これでUSBメモリに関しては上記１，２、に関してはクリアされますが、３、をクリアするためにすべての機種のUSBハードディスクのデバイスIDを設定する必要があり、現実的ではありません。

そこで
●これらのデバイスセットアップクラスと一致するドライバーを使用したデバイスのインストールを許可する
を利用しようと考えたのですが、USBメモリとUSBハードディスクは同じセットアップクラスなのでUSBメモリA以外のUSBメモリも利用許可されてしまいます。

何か良い方法はないでしょうか。

 

－－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答）

こんにちは、フォーラムオペレーターの○○○○です。

まず、ご質問に対してのアドバイスではないのですが、最初の質問に対して返信が付いた場合には、出来れば最初の投稿内容はそのままにしていただき、"返信" で質問内容が変わった旨をお伝えいただければと思います。
（話しの流れがおかしくなってしまいますので）

ご質問の件については、試験問題作成委員会さんに案内いただいた情報や下記の情報などを参考にしていただければと思いますが、少し条件が複雑なように見受けられますので、弊社有償サポート へご相談された方が良いのではと思われます。
（現在の状況や、利用したいデバイス・クライアントの OS によって方法が異なる可能性もありますので、まずは要件やご利用の環境について把握する必要があります）

- 参考情報
Disable Adding USB Drive and Memory Sticks via Group Policy and Group Policy Preferences
http://blogs.technet.com/b/danstolts/archive/2009/01/21/disable-adding-usb-drive-and-memory-sticks-via-group-policy-and-group-policy-preferences.aspx

HOWTO: Use Group Policy to disable USB, CD-ROM, Floppy Disk and LS-120 drivers
http://support.microsoft.com/kb/555324/en-us

それでは、こちらの情報が少しでもお役にたてれば幸いです。

 

－－－－－－－－－－－－－－－－－－－－－－－－－－－
（試してみたこと）

 [コンピュータの構成］（または[ユーザーの構成]）－［管理テンプレート］－［システム］－［リムーバブル記憶域へのアクセス］－［リムーバブル・ディスク:書き込みアクセスの拒否］

のポリシーを有効にすると、USBメモリだけでなくUSBハードDISKも使用不可となった。（マイコンピュータをクリックして「リムーバブルディスク」、「ローカルディスク」と表示されるかに関係なく）

 

[コンピュータの構成] （または[ユーザーの構成]）－[管理者テンプレート]－[システム]－[デバイスのインスト－ル]－[デバイスのインストールの制限]

のポリシーは一度でも接続してプラグアンドプレイでデバイスが認識されると、Admin権限でログオンして、接続されたデバイスのデバイスドライバを削除したうえで適用しなければ効果はない。

 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/04b8bb57-a893-4f66-887e-03bb4e11e6ee/#e879d08a-86b2-452f-92a7-f13a92d0fb03