、
このガイドには、ADドメイン2016または2012年のグループポリシーを使用して、ドメイン全体または特定のドメインユーザーのUSBストレージデバイスをブロックする方法に関する段階的な指示が含まれています。より具体的には、このガイドの指示を読んだ後、USBストレージデバイス(フラッシュドライブ、外部ハードドライブ、スマートフォン、テーブルなど)へのアクセスを防ぐ方法を学びます。ドメイン内の任意のコンピューターに接続したり、特定のドメインユーザーにのみUSBストレージアクセスを拒否したりできます。
今日、私たちの多くはUSBストレージデバイスを使用してデータを転送しています。ただし、組織の場合、従業員が外部ストレージデバイスを使用する能力には、マルウェアの拡散や感受性データの傍受など、セキュリティリスクが含まれる場合があります。これらのリスクを回避するために、グループポリシーを使用して、ドメイン内のすべてのユーザーと特定のドメインユーザーのみへのUSBストレージデバイスへのアクセスをブロックするための次の指示を読むことができます。*
*メモ:
1。 この投稿では、グループポリシーを介してUSBドライブをブロックするには、Active Directory 2016ドメインコントローラーを使用して、新しいグループポリシーとWindows 10 Pro&Windows 7 Proワークステーションを作成して適用しました。
2。「ブロックUSBアクセス」ポリシーは、USBキーボード、マウス、プリンターなど、ドメイン管理者またはその他の接続されたUSBデバイスに影響しません。
3。 グループポリシーを適用した後、ユーザーはどのタイプのUSBストレージデバイスにアクセスできず、PCのUSBストレージデバイスにアクセスしようとすると、次のエラーメッセージのいずれかを受信します。
USBストレージデバイスへのアクセスを防ぐためにグループポリシーを使用する方法(サーバー2012/2012R2/2016)
パート1。ドメイン2016全体でUSBストレージデバイスへのアクセスをブロックする方法。
ドメイン上の任意のコンピューター(ユーザー)への接続されているUSBストレージデバイスへのアクセスを無効にするには:
1。サーバー2016 ADドメインコントローラーでは、開きますサーバーマネージャーそしてからツールメニュー、開きますグループポリシー管理。*
*さらに、に移動しますコントロールパネル- >管理ツール- >グループポリシー管理。
2。下ドメイン、ドメインを選択してから選択します右クリックでデフォルトのドメインポリシー選択します編集。
3。「グループポリシー管理エディター」で、次のように移動します。
- ユーザー構成>ポリシー>管理テンプレート>システム>取り外し可能なストレージアクセス
4。右ペインで、次のダブルクリックします。取り外し可能なディスク:読み取りアクセスを拒否します。 *
*メモ:
1。この時点での多くのチュートリアルが示唆しています有効にする'すべての取り外し可能なストレージクラス:すべてのアクセスを拒否します」ポリシーですが、テスト中に、このポリシーがスマートフォンやタブレットに適用されないこと(作業)が発見されました。
2。USB書き込みアクセスをブロックする場合は、取り外し可能なディスク:書き込みアクセスを拒否します。
5。チェック有効になっていますクリックしますわかりました。
6。閉じますグループポリシーエディター。
7。再起動サーバーとクライアントマシン、または実行しますgpupdate /forceサーバーとクライアントの両方に新しいグループポリシー設定(再起動なし)を適用するコマンド。
パート2。特定のドメインユーザーのUSBストレージデバイスへのアクセスを防ぐ方法。
グループポリシーを使用することによってのみ、特定のユーザーへのUSBストレージデバイスへのアクセスを無効にするには、USBストレージデバイスにアクセスしたくないユーザーとグループを作成し、新しいポリシーをこのグループに適用する必要があります。それをするために:
ステップ1。無効なUSBユーザーを含むグループを作成します。 *
* 注記:既に無効なUSBユーザーがいるグループを作成している場合は、ステップ2。
1。開けるActive Directoryユーザーとコンピューター。
2。「」を右クリックしますユーザー「左ペインのオブジェクト、選択します新しい>グループ
3。新しいグループ(「USB無効ユーザー」など)の名前を入力してクリックしますわかりました。 *
* 注記:「グローバル」および「セキュリティ」オプションをチェックしておきます。
4。新しく作成されたグループを開き、選択しますメンバータブとクリックします追加
5。次に、USBストレージデバイスをブロックしてクリックするドメインユーザーを選択しますわかりました。
6。クリックわかりましたグループプロパティを閉じる。
ステップ2。USBストレージデバイスを無効にするために、新しいグループポリシーオブジェクトを作成します。
1。開きますグループポリシー管理。
2。「ドメイン」オブジェクトの下で、ドメインを右クリックして選択しますこのドメインでGPOを作成し、ここにリンクします。
3。新しいGPO(「USB Disabled」など)の名前を入力してクリックしますわかりました。
4。新しいGPOで右クリックしてクリックします編集。
5。「グループポリシー管理エディター」で、次のように移動します。
- ユーザー構成>ポリシー>管理テンプレート>システム>取り外し可能なストレージアクセス
4。右ペインで、次のダブルクリックします。取り外し可能なディスク:読み取りアクセスを拒否します。*
* 注記:
1。この時点での多くのチュートリアルが示唆しています有効にする'すべての取り外し可能なストレージクラス:すべてのアクセスを拒否します」ポリシーですが、テスト中に、このポリシーがスマートフォンやタブレットに適用されないこと(作業)が発見されました。
2。USB書き込みアクセスをブロックする場合は、取り外し可能なディスク:書き込みアクセスを拒否します。
5。チェック有効になっていますクリックしますわかりました。
6。閉じますグループポリシー管理エディターウィンドウ。
7。「グループポリシー管理」に戻り、「USB無効」GPOを選択し、「スコープ」タブで[追加ボタン(「セキュリティフィルタリング」設定の下)。
8。「USB無効ユーザー」グループ(この投稿の「USB無効ユーザー」など)の名前を入力し、クリックしますわかりました。
9。完了したら、を選択します代表団タブ。
10。「代表団」タブで、選択します認証されたユーザークリックします高度な。
11。セキュリティオプションで、選択します認証されたユーザーそしてチェックを解除しますグループポリシーを適用しますチェックボックス。完了したら、クリックしますわかりました。
6。閉じますグループポリシーエディター。
7。再起動サーバーとクライアントマシン、または実行する」gpupdate /force「管理者として)、サーバーとクライアントの両方に新しいグループポリシー設定(再起動なし)を適用します。
それでおしまい!このガイドがあなたの経験についてあなたのコメントを残してあなたを助けたかどうかを教えてください。他の人を助けるためにこのガイドを気に入って共有してください。
この記事があなたに役立つ場合は、寄付をすることで私たちをサポートすることを検討してください。1ドルでさえ私たちにとって大きな違いをもたらすことができますこのサイトを自由に保ちながら他の人を助け続けるための努力において:
