このブログでパソコンの事も書いているブログ主は、知人から情報の漏洩に関して相談を受けることがあり、
「USBメモリの利用を禁止できないか?」
「でもUSBメモリ利用を全面禁止では、厳しすぎる。特定のUSBメモリだけを利用できるように制限できないか?」
という話を(今頃)よくされます。
簡単ではないけれど、Windowsに備わっている機能を有効にして設定するだけ。なので自分でやれば無料なのに、意外と知られていないみたい。
ということで、その設定方法と欠点、さらにその解消方法(案)をご紹介。
特定のUSBメモリだけを利用可能にする方法
必要なのは、
- 使用を許可するUSBメモリ(パスワードロック付きがオススメ)
- USBメモリのハードウェアID
の2点です。
USBメモリは、下記のようなパスワードロックのUSBメモリと組み合わせて設定すると、紛失しても中身を見られる可能性が低くなりさらに情報の安全性が高まります。
このようなUSBメモリだけしか使えないようにする方法の1つです。
利用許可したいUSBメモリのハードウェアIDの確認方法
- 登録したいUSBメモリをPCに挿入後、
コンピュータ
→リムーバブルディスクを右クリックのプロパティー - 開いた画面のハードウェアのタブをクリック。
該当のUSBメモリをダブルクリック。 - さらに開いた画面の詳細をクリック。
プロパティー欄からハードウェアIDを選択。
値(V)の欄の最上段にある文字列を右クリックでコピー。
コピーしたデバイスIDは、メモ帳などにペーストしておくのもアリです。
続いてデバイスIDを設定する
- スタートボタンをクリック。
プログラムとファイルの検索の窓に、
gpedit.msc
を入力し、出てきたアイコンをダブルクリック、もしくはエンターキーを押す。
- ローカルグループポリシーエディター画面が開くので、画面左側の
コンピュータの構成
→ 管理用テンプレート
→ システム
→ デバイスのインストール
→ デバイスのインストールの制限
と辿って、”これらのデバイスIDと一致するデバイスのインストールを許可する”をダブルクリック。 - 開いた画面の左上、”有効”にクリック。その後に下部にある”表示”をクリック。
- ”表示するコンテンツ”の画面の上段に、先ほどコピーしたハードウェアIDを貼り付けるか入力する。
そしてOKをクリック。
- 画面を戻り、続きの設定。
”他のポリシー設定で記述されていないデバイスのインストールを禁止する”
をダブルクリック。 - 開いた画面の左上の”有効”にクリックして、適用をクリック、OKをクリック。
そしてパソコンを再起動。 - 設定に成功すると、下記画面のように許可していないUSBメモリを入れても使えなくなります。
めでたしめでたし(^_^)
となると良いのですが、この方法には欠点があります。
【欠点】この設定前に利用されてしまったUSBメモリには効果なし
この方法の欠点は、設定前に使用された(インストールされてしまった)USBメモリには効果なしという点。
今回の方法は、デバイスドライバーのインストールを禁止することで実現する制限方法なので、この設定前に使われてしまった(デバイスドライバーをインストールされてしまった)USBメモリには効果がないんです。
なので使われてしまったUSBメモリのハードウェアIDを削除してやる必要があります。
使われてしまったUSBメモリのハードウェアID削除方法
ハードウェアIDを削除できれば、これらの設定が効くようになります。
ということで、使用されてしまった(インストールされてしまった)USBメモリのハードウェアIDの削除方法もご紹介。
- ハードウェアIDを削除したいUSBメモリをPCに挿入します。
- コンピュータを右クリックでプロパティをクリック。出てきた画面左上の”デバイスマネージャー”をクリック。
- 出てきたデバイスマネージャー画面の”ディスクドライブ”をクリックして、削除したいUSBメモりを右クリックで削除をクリック。
この削除で、これ以降にPCに挿されてしまっても、拒否されるようになります。
新しいPCか再インストール後のキレイなPCで設定するのが効果的
デバイスIDを削除する必要があるので、挿入したことのあるUSBメモリがわからない(もしくは内緒にされた)場合には削除できない事になります。
その場合は、OSを再インストールするか、新しいPCを購入したタイミングで設定する他はないでしょうけど、利用できなくする方法としては効果的じゃないでしょうか。
ActiveDirectory(以下AD)を組んでいる環境なら、サーバでグループポリシーを設定すれば、クライアントPC全台に適用できるので簡単なのですが、ADを組んでる会社さんって意外と少ないんですよね、台数が少なければそんなにも高額じゃなんですけどね。
ま、ADは置いといて、このポリシーエディターは、USBメモリそのものを使えなくしたり情報を持ち出されないようにUSBメモリへの書き込みだけ拒否したり、読み込みだけ許可したりと色々いじれますのでオススメです。
無料でできますしね(^_^)