端末でのUSBメモリの使用を禁止するには

社内ネットワークの管理を任されることになってしまい、社内の情報漏洩を防止する為、各端末(Windows2000Pro)でのUSBメモリの使用を禁止にしたいと思っています。
社内は、Windows2000ServerのActiveDirectoryに各端末からユーザがログインするドメイン方式になっており、ログインで使用するユーザは一般ユーザ(Users)となっております。
セキュリティポリシーもしくはなにかの設定によりUSBメモリを使用不可にする設定などありましたら教えてください。お願いします。

No.2 ベストアンサー 回答者： unos1201 回答日時： 2004/04/27 20:54

言葉が足りなかったのと、詳しい設定を省略したので追加です。

すでにUSBメモリーを認識して、ドライバーが有効になっているときには、管理者でディスクドライブのUSB大容量記憶装置のプロパティーを無効にして下さい。これが難問で、利用している会社ごとにすべて無効にする必要があります。

I-Oデーターとバッファローであれば、起動後認識している状態でそのプロパティーを開け、下のこのデバイスを無効にするを選択し、適用します。すると、そのUSBメモリーに関してはUSERで制限ユーザーに指定されているところから起動しても、システムのハードウエアーの部分からも有効には出来ません。

問題があるのが、無名のUSBメモリーで、大容量ドライブでなく、リムーバブルディスクとして認識されるケースです。これを無効にするのが下の回答です。この他にSCSI経由でのMO等も無効になる可能性があり、その点で、下の回答では無理が生じます。

しかし、USBのフラッシュメモリーは製品ごとにドライバーが微妙に違ったりするので、何種類か認識させては無効にしないと、動いてしまう可能性があります。USBの使用を無効にすると、簡単なのですが、するとキーボードやマウス、その他のあらゆるものも利用できないので、下のような補助手段を利用するのです。

素人に近い状態なので、これ以上の管理方法は記載できないのですが、リムーバブルディスクの使用禁止と、個々のUSBフラッシュメモリー（大容量ディスク扱い、HDDと同じ扱いなのです。）の無効の設定ということをするとある程度は対応ができるのです。

とにかく、違う認識のデバイスでプラグアンドプレイ対応を有効にしていると、フラッシュメモリー以外でもデーターは流出しそうです。ここがセキュリティーでは問題と思いますが、とりあえずできる対策だけはした方がいいでしょう。

デバイスを無効後はUSERではそのデバイスをつけても有効にできませんので、これは試して見てください。でも違う会社のデバイスや新製品は場合によって動きます。これ以上書くとセキュリティーの盲点を露出しそうなので、この程度で許してください。アドバイスはその意味です。

この回答へのお礼

ＵＳＢメモリのドライバごとにすべて無効にするのは、新しい製品が出てくること等を考えると難しそうですね。
幸いにキーボード、マウスともＵＳＢ接続でないので、ＵＳＢの使用禁止にするのが一番よさそうですね。
詳しい説明、どうもありがとうございました。

お礼日時：2004/04/28 09:53

No.1 回答者： unos1201 回答日時： 2004/04/27 14:25

administratorで、コンピューターの管理の記憶域のリムーバブル記憶域の非認識のリムーバブルメディアのプロパティーを開きます。

USERのセキュリティーの部分で、使用を拒否、変更を拒否、制御を拒否に設定しなおすと、USERでは利用できなくなります。

不便も出るし、管理者以外がコントロールパネルを開けないようにするのは当然ですが、端末すべてに設定するとある程度は有効です。

他にも記憶媒体にアクセスできないように、ファイル管理そのものをアクセス記録を残し、誰がいつアクセスしたか記録していることを公表すると、アクセスそのものを慎重にするようになるかも知れません。LANを通じて社外に出ないようにするには専門家に任せた方がいいと思います。

この回答への補足

早速のご回答ありがとうございます。

上記の設定後、一般ユーザでログインしUSBメモリを接続したところ使用できる状態のままなのですが、上記設定以外でなにか設定しなければならいことがあるのでしょうか？

補足日時：2004/04/27 15:21