web-dev-qa-db-ja.com

特定のユーザーでActiveDirectoryを使用してWindowsでUSBデバイスを有効/無効にする

情報開示の理由で、WindowsマシンのUSBデバイスへのアクセスを無効にするように求められました。

これはActive Directoryでも実行できますが、問題は、このソリューションでは特定のユーザーが許可された期間だけアクセスできるようにする必要があることです。

これはActiveDirectoryでどのように実行できますか(可能な場合)?

そうでない場合、どのソフトウェアを使用してそれを行うことができますか?

windowssecurityactive-directoryusb
2
chmeee

あなたは、ユーザーではなくコンピューターに適用される設定について話しています。コンピューターに適用してもかまわない場合は、セキュリティグループを作成して、「制限」されていないコンピューターをそのグループに配置できます。これらの制限を適用するグループポリシーオブジェクトのアクセス許可を変更して、作成したコンピューターグループの[グループポリシーの適用を拒否する]を含めると、設定はそれらのコンピューターに適用されなくなります。必要に応じてコンピューターをグループに出し入れすることができますが、制限を変更するためにコンピューターを再起動するのに行き詰まってしまうのではないかと思います。

4
Evan Anderson

私が聞いたところによると、エポキシはこの問題に対する非常に人気のある解決策です。

セキュリティを回避するUSB​​ドライブをユーザーが使用できないようにするにはどうすればよいですか

イーサネット、USB、電話などの物理ポートロック?

しかし、実際には、GPは最良の答えのように見えます。

http://windowsdevcenter.com/pub/a/windows/2005/11/15/disabling-usb-storage-with-group-policy.html

0
Matt Simmons

私は最後の会社でADMをセットアップし、GPを特定のグループに設定しました。大容量記憶装置を有効にし、大容量記憶装置を無効にします。グループが変更された場合は、再起動する必要がありました。 USBマスストレージドライバーを基本的に無効にするレジストリの変更。

これが私が使ったADMです。何年も前にGoogleから取得しました。

CLASS MACHINE
CATEGORY !!category
 CATEGORY !!categoryname
  POLICY !!policynameusb
   KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
   EXPLAIN !!explaintextusb
     PART !!labeltextusb DROPDOWNLIST REQUIRED

       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynamecd
   KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
   EXPLAIN !!explaintextcd
     PART !!labeltextcd DROPDOWNLIST REQUIRED

       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 1 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynameflpy
   KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
   EXPLAIN !!explaintextflpy
     PART !!labeltextflpy DROPDOWNLIST REQUIRED

       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynamels120
   KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
   EXPLAIN !!explaintextls120
     PART !!labeltextls120 DROPDOWNLIST REQUIRED

       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
 END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB Removable Drives"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the USB Removable Drives capability by disabling the usbstor.sys driver. \n\nSelect the ENABLED radiobox, then select STOPPED for the usbstore.sys driver status in the drop-down list.  \n\nNote that this will only prevent usage of newly plugged-in USB Removable Drives or Flash Drives, devices that were plugged-in while this option was not configured will continue to function normally. Also, devices that use the same device or hardware ID (for example - 2 identical Flash Disks made by the same manufacturer) will still function if one of them was plugged-in prior to the configuration of this setting. In order to successfully block them you will need to make sure no USB Removable Drive is plugged-in while you set this option. \n\nIn order to re-enable the usage of USB Removable Drives select STARTED for the usbstore.sys driver status in the drop-down list."
explaintextcd="Disables the CD-ROM Drive by disabling the cdrom.sys driver. \n\nSelect the ENABLED radiobox, then select STOPPED for the cdrom.sys driver status in the drop-down list. \n\nIn order to re-enable the usage of USB Removable Drives select STARTED for the cdrom.sys driver status in the drop-down list."
explaintextflpy="Disables the Floppy Drive by disabling the flpydisk.sys driver. \n\nSelect the ENABLED radiobox, then select STOPPED for the flpydisk.sys driver status in the drop-down list. \n\nIn order to re-enable the usage of USB Removable Drives select STARTED for the flpydisk.sys driver status in the drop-down list."
explaintextls120="Disables the High Capacity Floppy Drive by disabling the sfloppy.sys driver. \n\nSelect the ENABLED radiobox, then select STOPPED for the sfloppy.sys driver status in the drop-down list. \n\nIn order to re-enable the usage of USB Removable Drives select STARTED for the sfloppy.sys driver status in the drop-down list."
labeltextusb="usbstore.sys driver status"
labeltextcd="cdrom.sys driver status"
labeltextflpy="flpydisk.sys driver status"
labeltextls120="sfloppy.sys driver status"
Enabled="Stopped"
Disabled="Started"
0
xeon

Windows7でgp​​editを使用してUSB大容量記憶装置を無効にした場合

  1. Gpedit構成をリセットしますすべてのリムーバブルストレージクラスを設定します:未構成へのすべてのアクセスを拒否します
  2. 次にGpupdate
  3. ドライバーのインストール
    デバイスマネージャー->ドライバーの更新->参照:c-> windows-> inf-> usbsstore.disabled(usbstore.disabledの名前をusbstore.infに変更してから、usbstore.infを選択)->次の完了
  4. マシンを再起動します
0
anjali