前回と同じくだけど、USBメモリなどを迂闊にPCに挿すのは怖い。そう意識していれば自分自身は出処不明のUSBメモリやUSBドングル或いはUSBの周辺機器っぽいものをPCに挿すことは警戒しているかもしれない。でも、家族や従業員はそうじゃないかもしれないし、外出先では予想外に他人にUSBポートに「何か」を挿されるかもしれない。そんなことは殆どないとは思うけど。
前回はリムーバブルなストレージを使えなくするというのはやった。でも、単なるリムーバブルストレージであれば勝手にPCに挿されてもファイル操作をされなければ怖くはない。でも、USBポートに「何か」を挿されたときに何かを「自動実行」されるととても危険(かもしれない)。普通に、家族用・従業員用のPCのUSB(など)は「自動実行」は要らんでしょ。そこで、「自動実行」を無効化する。
Windows 7あたりから自動実行の初期値は無効にはなったとは聞いているが、ユーザーが何かを触っていたら自動実行の設定値が変わっているかもしれないので設定の確認と変更は行うべき。
ある程度大きな会社・組織ではおそらくユーザーのPCを集中管理するだろうからActive Directoryでグループポリシー管理をやって貰うとして、この記事の対象外。
Windowsをスタンドアロンで管理するような個人・家族・SOHOレベルでは1台ずつ設定する。今回は、Windowsの基本的なUIによる設定方法、Windows 10 Proエディションのグループポリシーエディタ、Windows 10 コントロールパネルによる設定方法、Windows 10 Homeエディションのレジストリエディタ(レジストリファイル)の4種類。
WIndowsの設定で変更
画面1 :
(スタートボタン)から (設定)アイコンをクリック。
画面2 :
「デバイス」をクリック。
画面3 :
左列の「自動再生」をクリック。
画面4 :
右列の「リムーバブルディスク」の項目を「なにもしない」「毎回動作を確認する」などに変更する。
右列の「メモリ カード」の項目を「毎回動作を確認する」などに変更する。
画面5 :
「すべてのメディアとデバイスで自動再生を使う」のスイッチをオフにする。
簡単ではあるが、家族・従業員に全権を与えていると勝手に設定を変更するかもしれないのでユーザーアカウント権限の選択を適切に行う。
Windows 10 Pro グループポリシーエディタで変更
こちらはグループポリシーエディタを使う方法。Windows 10 Homeエディションにはグループポリシーエディタが無いのでこの方法はできません。
画面6 :
[Win] + [R]で「ファイル名を指定して実行」の小窓が開くので、「gpedit.msc」と入力して[OK]を押す。
画面7 :
ローカルグループポリシーエディタが開く。
左列のツリーで一番上から「コンピューターの構成」 「 管理者用テンプレート」「Windows コンポーネント」を開く。
右列で「自動再生のポリシー」をクリック。(左列のツリーの「Windowsコンポーネント」の下層にもある)
画面8 :
「自動再生のポリシー」の中の項目から「自動再生機能をオフにする」をクリック。
画面9 :
「自動再生機能をオフにする」の設定画面であることを確認する。
左のラジオボタンを「未構成」から「有効」に変える。「オフにするのを有効にする」の意味なので「無効」ではない。
右下の[適用]を押す。(この画面では要らない気もするけど一応)
[OK]を押す
上の画面8の他の項目も変更したいものがあれば変更する。(意図しない動作になったら、その項目の「画面9」相当の画面の①で「未構成」を選択して「適用」すれば初期値に戻る。
Windows 10 コントロールパネルで変更
Windows 10の1809からはコントロールパネルでも設定できる。
画面10 :
[Win]+[R]で「ファイル名を指定して実行」の小窓が開くので control と入力して[Enter]
画面11 :
コントロールパネルが開く。
「ハードウエアとサウンド」をクリックする。
画面12 :
「自動再生」をクリックする。
画面13 :
「すべてのメディアとデバイスで自動再生を使う」にチェックが入っていたら外す。
リムーバブルドライブやメモリカードのドロップダウンメニューで項目で「なにもしない」や「毎回動作を確認する」にする。初期値は「ストレージ設定の構成(設定)」
下の方にスクロールして他のドライブなども必要に応じて変更する。
右下の「保存」ボタンをクリックする。
Windows 10 レジストリエディタで変更
画面14 :
[Win]+[R]で「ファイル名を指定して実行」の小窓が開くので regedit と入力して[Enter]
画面15 :
左列のツリーの上から「コンピューター」「HKEY_LOCAL_MACHINE」「SOFTWARE」「Microsoft」「Windows」「CurrentVersion」「Policies」「Explorer」をクリックして開く(辿る)。
コンピューター HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Policies Explorer になるのを確認する。
を辿る。黄字の部分はHKEY_LOCAL_MACHINEなので注意。(ネットの情報で間違っているのがチラホラ)
おそらく、右列にはNoDriveTypeAutoRunという項目は存在無い筈。
画面16 :
右下の方の空白部分で右クリックする。
「新規」をクリックする。
「DWORD(32ビット)値」をクリックする。
画面17 :
「新しい値#1」という項目が名前未確定の状態で作成される。
「新しい値#1」を「NoDriveTypeAutoRun」に変える。途中で間違って確定してしまった場合は右クリックで表示されるメニューに「名前の変更」があるのでそれで名前を未確定状態にして「NoDriveTypeAutoRun」にする。
ちょっとした操作ですぐに名前が確定してしまうのでちょっと難しい。
画面18 :
「NoDriveTypeAutoRun」を(左)ダブルクリックする。
画面19 :
「表記」を「16進数」にする。
値を変更する。(この下)
[OK]ボタンを押す。
値 内容
1 不明な種類のドライブの自動実行を無効
4 リムーバブル ドライブの自動実行を無効
8 固定ドライブの自動実行を無効
10 ネットワーク ドライブの自動実行を無効
20 CD-ROM ドライブの自動実行を無効
40 RAM ディスクの自動実行を無効
80 不明な種類のドライブの自動実行を無効 (1と同じ)
FF すべての種類のドライブの自動実行を無効
⬆すべて16進数
上の複数の項目を組み合わせるならその数値を足す。
画面20 :
「NoDriveTypeAutoRun」行の「種類」列は「REG_DWORD」であること。「データ」列に指定した値が入っていることを確認する。入力した値込みで0x+8桁で表示される。括弧の中はその値を10進数にしたもの。
上の画像は「ff」を入力したので0x000000ffと表示されている。16進数のffは10進数では255。
一応、システムを再起動する。
または、レジストリエディタを操作して設定変更するのがイヤな場合は下のレジストリファイルをダウンロードしてファイルをダブルクリックするという方法もアリ。ファイルの内容は以下のようなテキストファイルだが、一応ダウンロードした後にメモ帳などで開いて内容を確認してから実行して欲しい。
autorun_all_disable.regすべての自動実行の無効化 (ff を指定したもの)
1 2 3 4 | Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000ff
|
動実行の無効化のNoDriveTypeAutoRunを削除 (戻し用)
1 2 3 4 | Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoDriveTypeAutoRun"=-
|
上の方法ではあくまでも「一応」レベルで自動実行を停めることはできるが、過信は禁物。怪しいUSBデバイスは挿さないのはもちろん、USBポート自体に物理的に挿せないように対策することも考えるのもアリ。
関連記事:- Tiny 11をMicrosoftと通信させない名前解決変更
- マイクロソフト PCマネージャというアプリを触ってみた
- Windows 11のシステム要件を満たさないPCでWindows11の大型アップデートを適用
- Windows 11でWindows Updateの自動更新を停止する
- Windows 11でWindows Updateによる更新を手動で停める (後編)
- Windows 11でWindows Updateによる更新を手動で停める (前編)
- Windows 11のシステム要件を満たさないPCでWindows10からWindows11にアップグレード
- WindowsでもUnbound (Remote controlの準備)
- Windows 11リリース (例のごとくシステム要件を満たさないPCにインストール)
- Androidスマホ画面をWindowsで表示 (ワイヤレスディスプレイ プロジェクション)
- Windows 11上で「このPCは現在、Windows 11システム要件を満たしていません」
- MS公式誰でもDLできるWindows 11 インサイダー版を古いPCにインストールと休止無効化設定
- Windows IMEで半角/全角キーの割り当てをIMEオフだけに変更(Linuxも)
- Windows 11システム要件に満たないPCにISOファイル無改造でインストール
- Windows 11上で「このPCではWindows 11を実行できません」
- Windows 11を9年前の超非力なノートPCにインストールしてみた
- 情報セキュリティ Windows 10でUSBメモリの自動実行を不可にする
- 情報セキュリティ Windows 10でUSBメモリの読み書きを不可にする
- Windows 10を旧型ノートPCにクリーンインストールしてみた
- DVDFab 11がリリースされた
- WinlogbeatでWindowsイベントログを可視化 後編
- WinlogbeatでWindowsイベントログを可視化 中編
- WinlogbeatでWindowsイベントログを可視化 前編
- Windows 10のメールでZ-Push (Exchange)を利用する
- Chrome OS (Chromium OS)を触ってみた
- Windows 10の時刻同期設定
- Windowsで写真現像 darktable 2.4
- 音楽プレーヤー Plexamp
- どうしてもWindowsの共有フォルダが見えない対処
- Windows 10 Fall Creators Update