グループポリシーを使用してドメイン2016/2012でUSBストレージデバイスをブロックする方法。

その他Dec 19, 2021

このガイドには、ADドメイン2016または2012でグループポリシーを使用して、ドメイン全体または特定のドメインユーザーでUSBストレージデバイスをブロックする方法の詳細な手順が含まれています。 具体的には、このガイドの手順を読んだ後、USBストレージデバイス(フラッシュドライブ、外部)へのアクセスを防ぐ方法を学習します ドメイン内の任意のコンピューターに接続できる、または特定のドメインユーザーのみへのUSBストレージアクセスを拒否できるハードドライブ、スマートフォン、タブレットなど)。

今日、私たちの多くはUSBストレージデバイスを使用してデータを転送しています。 ただし、組織の場合、従業員が外部ストレージデバイスを使用できるようになると、マルウェアの拡散や機密データの傍受などのセキュリティリスクが含まれる可能性があります。 これらのリスクを回避するには、次の手順を読んで、グループポリシーを使用して、ドメイン内のすべてのユーザーとコンピューター、または特定のドメインユーザーのみへのUSBストレージデバイスへのアクセスをブロックします。. *

* ノート:
1.この投稿では、グループポリシーを使用してUSBドライブをブロックするには、 Active Directory 2016ドメインコントローラーを使用して新しいグループポリシーを作成し、Windows 10ProおよびWindows7Proワークステーションを使用してそれを適用しました。
2. 「USBアクセスのブロック」ポリシーは、ドメイン管理者や、USBキーボード、マウス、プリンターなど、接続されているその他のUSBデバイスには影響しません。
3.グループポリシーを適用すると、ユーザーはどのタイプのUSBストレージデバイスにもアクセスできなくなります。 USBストレージデバイスにアクセスしようとすると、次のいずれかのエラーメッセージが表示されます。 PC。

画像画像

グループポリシーを使用してUSBストレージデバイスへのアクセスを防止する方法(サーバー2012 / 2012R2 / 2016)

  • パート1。 すべてのドメインユーザーのUSB読み取り/書き込みアクセスをブロックします。
  • パート2。 特定のドメインユーザーのUSB読み取り/書き込みアクセスをブロックします。

パート1。 ドメイン全体でUSBストレージデバイスへのアクセスをブロックする方法2016。

ドメイン上の任意のコンピューター(ユーザー)に接続されているUSBストレージデバイスへのアクセスを無効にするには:

1. Server 2016 ADドメインコントローラーで、 サーバーマネージャー そしてから ツール メニューを開き、 グループポリシー管理。 *

*さらに、に移動します コントロールパネル -> 管理ツール -> グループポリシー管理。

グループポリシー管理-サーバー2016

2.ドメイン、ドメインを選択してから 右クリックデフォルトのドメインポリシー と選択します 編集.

デフォルトのドメインポリシーを編集する

3. [グループポリシー管理エディター]で、次の場所に移動します。

  • ユーザー設定>ポリシー>管理用テンプレート>システム> リムーバブルストレージアクセス

4. 右側のペインで、次をダブルクリックします。 リムーバブルディスク:読み取りアクセスを拒否します。 *

* ノート:
1. この時点での多くのチュートリアルは、 有効 'すべてのリムーバブルストレージクラス:すべてのアクセスを拒否する ' ポリシーですが、テスト中に、このポリシーがスマートフォンやタブレットには適用されない(機能しない)ことがわかりました。
2. USB書き込みアクセスをブロックする場合は、 リムーバブルディスク:書き込みアクセスを拒否します。

グループポリシーを使用してドメイン上のUSBストレージデバイスをブロックする方法

5. チェック 有効 をクリックします わかった。

Windows Server2016でグループポリシーを使用してUSBをブロックする方法

6. 選ぶ グループポリシーエディター。
7. 再起動 サーバーとクライアントマシン、またはを実行します gpupdate / force 新しいグループポリシー設定を(再起動せずに)サーバーとクライアントの両方に適用するコマンド。

パート2。 特定のドメインユーザーのUSBストレージデバイスへのアクセスを防ぐ方法。

グループポリシーのみを使用して特定のユーザーへのUSBストレージデバイスへのアクセスを無効にするには、 USBストレージデバイスにアクセスしたくないユーザーとグループ化し、新しいポリシーをこれに適用します グループ。 それを行うには:

ステップ1。 無効になっているUSBユーザーでグループを作成します。 *

* ノート: USBユーザーが無効になっているグループをすでに作成している場合は、次の手順を実行します。 ステップ2.

1. 開ける ActiveDirectoryユーザーとコンピューター。
2.ユーザー"左側のペインのオブジェクトを選択し、 新しい > グループ

ActiveDirectory-グループの作成

3. 新しいグループの名前(「USB無効ユーザー」など)を入力し、[ わかった. *

* ノート: [グローバル]および[セキュリティ]オプションをオンのままにします。

画像

4. 新しく作成したグループを開き、 メンバー タブをクリックしてクリックします 追加

画像

5. 次に、USBストレージデバイスをブロックするドメインユーザーを選択し、[ わかった。

画像

6. クリック わかった グループのプロパティを閉じます。

画像

ステップ2。 新しいグループポリシーオブジェクトを作成して、USBストレージデバイスを無効にします。

1. を開きます グループポリシー管理。
2. [ドメイン]オブジェクトの下で、ドメインを右クリックして[ このドメインにGPOを作成し、ここにリンクします。

画像

3. 新しいGPOの名前(「USBDisabled」など)を入力して、[ わかった。

画像

4. 新しいGPOを右クリックして、 編集。

グループポリシーを使用して特定のユーザーのUSBアクセスを無効にする

5. [グループポリシー管理エディター]で、次の場所に移動します。

  • ユーザー設定>ポリシー>管理用テンプレート>システム> リムーバブルストレージアクセス

4. 右側のペインで、次をダブルクリックします。 リムーバブルディスク:読み取りアクセスを拒否します。 *

* ノート:
1. この時点での多くのチュートリアルは、 有効 'すべてのリムーバブルストレージクラス:すべてのアクセスを拒否する ' ポリシーですが、テスト中に、このポリシーがスマートフォンやタブレットには適用されない(機能しない)ことがわかりました。
2. USB書き込みアクセスをブロックする場合は、 リムーバブルディスク:書き込みアクセスを拒否します。

特定のユーザーのUSBストレージアクセスをブロックする

5. チェック 有効 をクリックします わかった。

リムーバブルディスク-アクセスを拒否

6. 選ぶ the グループポリシー管理エディター 窓。

7. [グループポリシーの管理]に戻り、[USB無効] GPOを選択し、[スコープ]タブで[ 追加 ボタン([セキュリティフィルタリング]設定の下)。

AD Server2016で特定のユーザーへのUSBをブロックする

8. 「USB無効ユーザー」グループの名前(例:この投稿の「USB無効ユーザー」)を入力し、をクリックします わかった.

画像

9. 完了したら、を選択します 委任 タブ。

画像

10. [委任]タブで、 選択する the 認証されたユーザー をクリックします 高度。

画像

11. セキュリティオプションでは、 選択する the 認証されたユーザーチェックを外します the グループポリシーを適用する チェックボックス。 完了したら、をクリックします わかった。

画像

6. 選ぶ グループポリシーエディター。
7. 再起動 サーバーとクライアントマシン、または「gpupdate / force"コマンド(管理者として)、サーバーとクライアントの両方に(再起動せずに)新しいグループポリシー設定を適用します。

それでおしまい! このガイドがあなたの経験についてコメントを残すことによってあなたを助けたかどうか私に知らせてください。 他の人を助けるために、このガイドを気に入って共有してください。