PCにUSBメモリを挿してファイルをコピーというのは便利ではあるけど、迂闊にやると、または利用者を放任するのは危険でもある。それが自分自身の行動でということなら「私ってバカ」で後は粛々と対応すれば良いが、従業員や家族が利用するPCで勝手にとか自分のPCでもちょっと目を離した隙きに他人に勝手に挿されたらそれはとても怖い。
キーボード・マウスがPS/2コネクタで、プリンタがセントロニクスのケーブルでPCと繋がる時代ならUSBのポートを物理的に使えなくするとかUSBポートを無効にしてしまうでも良かったのだろうが、今はUSB自体は生かしてUSBストレージだけ利用禁止にするのが良さげ。もちろん、カメラの画像を転送したいとかUSBストレージを使う用事がないわけではないだろうから、そういう用途専用機を1台くらいは用意する。それ以外のWindows端末は全台USBストレージは禁止というのが今回やりたいこと。
ある程度大きな会社・組織ではおそらくユーザーのPCを集中管理するだろうからActive Directoryでグループポリシー管理をやって貰うとして、この記事の対象外。
Windowsをスタンドアロンで管理するような個人・家族・SOHOレベルでは1台ずつ設定する。Windows 10のProエディションでは似たようなグループポリシーエディタで設定。Homeエディションにはグループポリシーエディタが無いのでレジストリエディタ(レジストリファイル)で変更する。
Windows 10 Proエディション
こちらはグループポリシーエディタを使う方法。
画面1 :
[Win] + [R]で「ファイル名を指定して実行」の小窓が開くので、「gpedit.msc」と入力して[OK]を押す。
画面2 :
ローカルグループポリシーエディタが開く。
左列のツリーで一番上から「コンピューターの構成」 「 管理者用テンプレート」「システム」を開く。
右列で「リムーバブル記憶域へのアクセス」をクリック。(左列のツリーの「システム」の下方にもある)
画面3 :
「リムーバブル記憶域へのアクセス」の中の項目から「リムーバブル ディスク: 読み取りアクセス権の拒否」をクリック。
画面4 :
左のラジオボタンを「未構成」から「有効」に変える。「拒否を有効にする」の意味なので「無効」ではない。
右下の[適用]を押す。[OK]を押すと前の画面に戻ってしまうので押さない。
上部の[次の設定]を押す。これで「リムーバブル ディスク: 書き込みアクセス権の拒否」の設定画面に移る。
画面5 :
「リムーバブル ディスク: 書き込みアクセス権の拒否」の設定画面であることを確認する。
左のラジオボタンを「未構成」から「有効」に変える。「拒否を有効にする」の意味なので「無効」ではない。
右下の[適用]を押す。(この画面では要らない気もするけど一応)
[OK]を押す。
画面6 :
「リムーバブル ディスク: 読み取りアクセス権の拒否」が「有効」であること、
「リムーバブル ディスク: 書き込みアクセス権の拒否」が「有効」であること。
2箇所を確認したらローカルグループポリシーエディターは閉じる。
画面7 :
このやり方の場合はUSBメモリを挿すと、リムーバブルディスクとして認識はされる。
画面8 :
ただし、その認識されたリムーバブルディスクを操作しようとしても「アクセスが拒否されました」になる。「取り外し」も同じくアクセスが拒否されるので挿したUSBメモリなどは基本的にはそっと抜き取るだけ。
Windows 10 Homeエディション
以下は、上のProエディションでやったことと全く同じ結果になるわけではありません。また、Homeエディション専用ということではなく、Proエディションでも使えます。
画面9 :
[Win]+[R]で「ファイル名を指定して実行」の小窓が開くので regedit と入力して[Enter]
画面10 :
左列のツリーの上から「コンピューター」「HKEY_LOCAL_MACHINE」「STSTEM」「CurrentControlSet」「Services」をクリックして開く(辿る)。
次に続く。
画面11 :
「Services」の中(項目多い)の「USBSTOR」をクリック。
右列の「Start」をクリックする。
画面12 :
「値のデータ」を「3」から「4」に書き換える。
[OK]を押す。
画面13 :
この方法の場合は、USBメモリなどのリムーバブルディスクをPCに挿しても認識されない(筈)。
元に戻す(リムーバブルディスクを有効化する)場合、画面12で「値のデータ」を「4」から「3」に書き換える。
または、レジストリエディタを操作して設定変更するのがイヤな場合は下のレジストリファイルをダウンロードしてファイルをダブルクリックするという方法もアリ。ファイルの内容は以下のようなテキストファイルだが、一応ダウンロードした後にメモ帳などで開いて内容を確認してから実行して欲しい。
usb_storage_disable.regリムーバブルディスクの無効化
1 2 3 4 | Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR]
"Start"=dword:00000004
|
リムーバブルディスクの有効化 (戻し用)
1 2 3 4 | Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR]
"Start"=dword:00000003
|
家族・従業員などによる勝手なUSBメモリの読み書きとそれによる情報漏えいはこれで防ぐことが可能になった。(リムーバブルメディアだけだが)
次回はウイルス入りUSBメモリによる感染を防ぐための「自動実行を防ぐ」の予定。
- Ryzen 5 5500U搭載で3万円台半ばの格安ミニPC TRIGKEY Speed S5
- CapsLockを左Shiftキーにする 備忘録 (Linux / Windows)
- Tiny 11をMicrosoftと通信させない名前解決変更
- マイクロソフト PCマネージャというアプリを触ってみた
- Windows 11のシステム要件を満たさないPCでWindows11の大型アップデートを適用
- Windows 11でWindows Updateの自動更新を停止する
- Windows 11でWindows Updateによる更新を手動で停める (後編)
- Windows 11でWindows Updateによる更新を手動で停める (前編)
- Windows 11のシステム要件を満たさないPCでWindows10からWindows11にアップグレード
- WindowsでもUnbound (Remote controlの準備)
- Windows 11リリース (例のごとくシステム要件を満たさないPCにインストール)
- Androidスマホ画面をWindowsで表示 (ワイヤレスディスプレイ プロジェクション)
- Windows 11上で「このPCは現在、Windows 11システム要件を満たしていません」
- MS公式誰でもDLできるWindows 11 インサイダー版を古いPCにインストールと休止無効化設定
- Windows IMEで半角/全角キーの割り当てをIMEオフだけに変更(Linuxも)
- Windows 11システム要件に満たないPCにISOファイル無改造でインストール
- Windows 11上で「このPCではWindows 11を実行できません」
- Windows 11を9年前の超非力なノートPCにインストールしてみた
- 情報セキュリティ Windows 10でUSBメモリの自動実行を不可にする
- 情報セキュリティ Windows 10でUSBメモリの読み書きを不可にする
- Windows 10を旧型ノートPCにクリーンインストールしてみた
- DVDFab 11がリリースされた
- WinlogbeatでWindowsイベントログを可視化 後編
- WinlogbeatでWindowsイベントログを可視化 中編
- WinlogbeatでWindowsイベントログを可視化 前編
- Windows 10のメールでZ-Push (Exchange)を利用する
- Chrome OS (Chromium OS)を触ってみた
- Windows 10の時刻同期設定
- Windowsで写真現像 darktable 2.4
- 音楽プレーヤー Plexamp