手軽なデータ移動デバイスであるUSBメモリは、それゆえ簡単に機密情報を盗まれる心配も高い。Windows XP SP2からの新機能で、USBメモリへの書き込みを禁止することが可能になったが、OSが限られるうえに、読み取りは制限されない。必要なら、読み取りも含めて、USBメモリの使用を全面的に禁止することができる。
対象OS:Windows 2000/Windows XP/Windows Server 2003
大容量のデータを扱うことができるUSBメモリは、その利便性ゆえ、情報漏えいの片棒を担ぐ危険もある。これを防ぐため、ユーザーひとりひとりを管理するのは至難の業だった。
Windows XP SP2からは、新機能としてUSBメモリへの書き込みを禁止することができるようになった(詳細は関連記事参照)。しかしこの方法は、利用できるOSが限られるうえに、USBメモリへの書き込みは禁止できるが、読み取りは制限できない。
BIOSなどでUSBを無効にしたり、USBポートを物理的にふさいだりする方法も考えられるが、この方法では、マウスなどのUSBデバイスまで使えなくなってしまう。USBそのものの機能は生かしつつ、読み取りも含めてUSBメモリ(USBマスストレージクラス)だけを無効にする方法はないだろうか。
これには、ドライバ情報ファイルのアクセス権やレジストリの設定を変更して、USB大容量記憶装置ドライバがインストールされないようにし、さらに、すでにインストールされているドライバを無効にすればよい。
USBの機能はそのままに、USBメモリの使用を完全に禁止するには、ドライバ情報ファイルからUSB大容量記憶装置ドライバがインストールされないようにする。また、すでにドライバがインストールがされている場合は、レジストリを変更してドライバを削除する。このうち後者だけ行っても、環境によってはドライバが再インストールされて有効になってしまう。これら2つの方法を組み合わせることによって、確実に禁止できる。
これから新たに接続されるUSBメモリの読み書きを禁止するには、USB大容量記憶装置ドライバがインストールされないようにする。具体的には、ドライバ情報ファイルのUsbStor.infとUsbStor.pnfのアクセス権を設定して、USB大容量記憶装置ドライバのインストールを拒否するようにする。ただしこの設定を行うためには、システムのブート・パーティションがNTFSでフォーマットされている必要がある。
まず、隠しフォルダである%SystemRoot%\inf\を開いて、UsbStor.infを右クリックする。[プロパティ]−[セキュリティ]を開いて、[詳細設定](Windows 2000では[詳細])ボタンをクリックする。
以上の操作で、最初のダイアログ([セキュリティの詳細設定]ダイアログ)が表示されるので、もう一度上記を同じ手順で[追加]ボタンをクリックし、「SYSTEM」を選択して[拒否]のチェック・ボックスすべてにチェックして、[OK]ボタンを押す。
以上の操作で、UsbStor.infのアクセス許可エントリの設定は例えば、次のような画面になる。
続いて、同様の手順を、UsbStor.pnfファイルに対しても行えば、UsbStor.infとUsbStor.pnfへのアクセス権設定で、ドライバのインストールが禁止される。
レジストリに HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\USBSTORキーが存在する場合は、USB大容量記憶装置ドライバがすでにインストールされている。この場合は、前記のドライバ情報ファイルのアクセス権設定に加えて、現状のレジストリを書き換えてドライバを無効にする必要がある。
USB 記憶装置が接続されている場合は、あらかじめ、正規の手順で取り外しておく。
レジストリに不正な値を書き込んでしまうと、システムに重大な障害を及ぼし、最悪の場合、システムの再インストールを余儀なくされることもあります。レジストリ・エディタの操作は慎重に行うとともに、あくまで御自分のリスクで設定を行ってください。何らかの障害が発生した場合でも、本Windows Server Insider編集部では責任を負いかねます。ご了承ください。
レジストリ・エディタを起動し(regedit.exe)、HKEY_LOCAL_MACHINEのSYSTEM\CurrentControlSet\Services\USBSTORを表示する。ここで、次のDWORD型の値を次のように設定する。
値の名称 | データ型 | 値 |
---|---|---|
Start | DWORD | 4 |
設定後のレジストリ・エディタの表示は次のようになる。
これらの設定を行っておけば、USBそのものは有効にしつつも、メモリのサービスが完全に停止することができる。設定後にUSBメモリを挿入すると、次のようなエラーが表示されるようになる。
以上、2つの設定を行えば、USBメモリの使用を完全に防ぐことができる。しかし、アクセスが拒否されてない管理者などがログオンし、新しいUSBメモリを接続すると、再びレジストリのStart値が3へ戻ってしまう。このような場合、もう一度無効にするには、上記の手順で設定をやり直さなくてはならない。
また、アップグレードや、USB大容量記憶装置ドライバの更新をする場合は、一時的に元に戻しておかなければならない場合があるので、USB大容量記憶装置のドライバを無効化したことを忘れないよう、注意する必要がある。
Copyright© Digital Advantage Corp. All Rights Reserved.