web-dev-qa-db-ja.com

セキュリティを回避するUSB​​ドライブをユーザーが使用できないようにするにはどうすればよいですか

システム管理者でない限り、ユーザーがUSBドライブとの間で何かをコピーできないようにする方法が必要です。セキュリティの目的でこのアクセスを削除するために何ができるか。

5
Jeremy E

マイクロソフトには、この問題に関するナレッジベースの記事(KB555324)があります。カスタムグループポリシーADMを作成する必要があります。 O'Reillyは、次の場所で簡単に記事を書くことができます。

グループポリシーを使用したUSBストレージの無効化| WindowsDevCenter

お役に立てれば。

14
Shazburg

別のオプションは、 SBSecure を使用することです。これは、ファイル共有からUSBデバイスのホワイトリストを読み取る小さなデプロイ可能なスクリプトです。そのため、一部のユーザーにUSBストレージデバイスを明示的に許可したり、ベンダー固有のデバイス(logitechのすべてのUSBキーボードやマウスなど)を許可したりできます。ああ、それはフリーウェアです。

2
Dieda

Windows Vista以降を使用している場合は、許可するUSB​​デバイスと許可しないUSBデバイスをきめ細かく制御できるグループポリシーオプションがあります。 (WinXPをサポートする必要がある場合は、ここにリストされている他の回答を参照してください。)

Windows Vista以降では、グループポリシーエディターに移動し、[コンピューターの構成]\[管理用テンプレート]\[システム]\[デバイスのインストール]\[デバイスのインストールの制限]にドリルダウンします。

そこには、特定のデバイスIDまたはデバイスのクラスのいずれかによるブラックリストデバイスのホワイトリストへのオプションがあります。下部には、他のポリシーでカバーされていないすべてのものをブロックできる非常に重要なポリシーもあります。

知っておく必要があるのは、デバイスのハードウェアIDまたはデバイスクラスGUIDのいずれかです。デバイスをマシンに接続すると、これらの両方がデバイスマネージャに表示されます。

そこにあるポリシーを使用すると、たとえば、すべてのマウスとキーボードを許可し、USBスキャナーの特定のモデルを許可し、その他すべてをブロックすることができます。

2
epotter

私はより良い解決策はDeviseLockソフトウェアだと思います: http://www.devicelock.com/ それは本当に便利で、巨大な機能を持っています。

Windowsでは、レジストリキーを設定することで SBストレージドライバーを無効にする できます。これは、GPOで構成し、限られたマシンのセットに適用できます。サブセットを許可する場合USBストレージデバイスの場合、おそらく何らかのエージェントを実行するサードパーティ製品に頼る必要があります。

1
Matt Everson

エポキシはうまく機能します

1
Aaron Weiker

迅速で汚い修正は、USBデバイスへのアクセスを無効にするグループポリシーを使用することです。 次の記事 を見てください。よりきめ細かいセキュリティで同じことを達成できる市販の製品もあります。

1
katriel

GPOはドライバーを無効にします:

http://support.Microsoft.com/default.aspx/kb/555324

1
MathewC

すべてのソリューションは素晴らしいですが、USBからデータをロードできるようにするプロセスについても考慮する必要があります。

私は現在銀行にいますが、デフォルトではすべてのUSBポートがGPOで、ディスクをロードしません。

問題は、外部コンサルタントがデータをロードするときにプロセスがないことです。USBキーを接続できないと、ネットワーク上のラップトップも接続できないため、ISOファイルやドキュメントを転送するのは非常に困難です。

すべてのUSBをロックする場合でも、USBからデータをロードする方法が必要になることを忘れないでください。また、Web /メール全体で5GBのデータが常に答えになるとは限りません。

セキュリティには常に代償が伴います。

1
Fleole

AC ElementCompanyのMyUSBonlyとEverStrikeのStopUSBも機能します。

新しい未知のUSBデバイスをマウントする場合は、どちらもパスワードを要求します。

正直なところ、どちらもより適切に設計できますが、少なくともそれらは機能します。

0
Contango