Hatena::ブログ(Diary)

ITなどいろいろメモ

2015-03-29

USBメモリを使えなくする

■データの持出しを制限したい


社員がデータの持出して、情報漏えい事故が起きてしまう可能性はいつもあります。


会社に不満を持っている社員が持ち出さないとは限らない。

円満退職ならまだしも、そうでない場合、退職間際に個人情報や重要情報を持出されるのではないかと心配する管理職の方はけっこういるようです。



そんな中でたまに受ける相談が、「USBメモリを使えないようにできないか?」です。


これはローカルセキュリティポリシーから可能です。(Active Directoryを導入していない場合)



USBメモリに使用制限をかける

画面左下のスタートボタンをクリックし、プログラムとファイルの検索の欄に「gpedit.msc」と入力しENTERキーを押します。(windows7の場合)

f:id:iroiro-memo:20150409194439p:image


ローカルグループポリシーエディターが出てきますので、コンピュータの構成から 管理用テンプレート/システムを選択します。

f:id:iroiro-memo:20150409194440p:image



リムーバブル記憶領域へのアクセス」を選択。

f:id:iroiro-memo:20150409194441p:image



目的に沿って、リムーバブル記憶領域への制御のいづれかを有効にします。

f:id:iroiro-memo:20150409201001p:image


今回は特に何もUSBを利用しないPCだったので、「すべてのリムーバブル記憶域クラス:すべてアクセス拒否」をダブルクリックし「有効」にチェックを入れました。

持込みも持出しもさせません。


テストでUSBメモリを挿しこんだところ、USBメモリアクセスランプは点くのだけれど、パソコン側は一切反応なし。

改めて上記の項目を「無効」に変更したところ、USBメモリが認識されました。


「読み取りアクセス権の拒否」と「書き込みアクセス権の拒否」の組合せでも同様の制御が可能です。



漏えい防止というだけなら「書き出し拒否」を有効にするでもいいと思います。

当然、上記設定の解除方法もあるわけですが、USBが使えないとわかった時点で、


「しっかりと対策を取っているかも」→「操作ログも証拠として記録されているかも」


と、感じて思いとどまってくれれば、抑止力にはなると思います。

投稿したコメントは管理者が承認するまで公開されません。

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト


画像認証

トラックバック - http://d.hatena.ne.jp/iroiro-memo/20150329/1429108452