質問
まずきっかけとしてのウイルスについて誤解されていますね。
読み込まれるだけで感染します。書き込み制限すれば他の
USBメモリへの感染が防げるだけです。
で、一番簡単なのはポートをホットボンドで埋めてしまうことです。
そもそも制限の目的は何なんでしょう?カテゴリーは情報漏洩ですが
実際はウイルス感染防止なんですか?
ウイルス感染防止ならソフトレベルでの制限で十分でしょうし
情報漏洩が心配ならポートを埋めなければ突き詰めれば
不十分です。CDやUSBでブートされたら何でもありですから。
うちではUSBコネクタにフタをして、物理的に挿せないようにしています。
使ってるのはSANWAのSL-46シリーズです。(宣伝ではありません。念為)
どうしても必要なときは理由を申し出ることで、開錠しています。
もちろんウィルスチェックを経た上で。
ActiveDirectory(AD)を使っているのならグループポリシーで禁止するのが簡単です(マイクロソフトのサイトで検索すれば出てきます)これならUSBメモリのたぐいだけ禁止できます。
(セキュリティソフトで「これを導入すればUSBメモリを禁止できます」と唄っているものがありますが結局はADのグループポリシーを使うだけのようです。)
でもADを使っていないなら物理的にふさぐしかないですね。でもマウス、KBもUSBで繋ぐ時代ですからそれは無理でしょう。(って社内に説明するのですが判ってくれないアホが居て困ってます)
直接的な解決ではありませんが、気になるコメントがありましたので書きます。
ただ、部署ごとに異なるグループポリシーを設定しており(そもそも、このやり方自体が非効率かも)、組織変更や人事異動があるたびに設定変更が必要になりそうですね。つねづねADの管理は面倒だと思っているので、これに加えてUSBの管理を追加するのは躊躇します・・・。
今回のような場合は、社内全体に共通のグループポリシーを作成して適用すれば解決すると思います。(でも、「Default Domain Policy」を編集するのは推奨されないようです。私はすでにかなり編集してしまっているので、今後の運用を考えないといけません)
そして、各部署のOUを階層構造で作成して、各部署独自のポリシーはそこに適用するようにするという運用にすれば良いと思います。この辺は「リンクの継承と優先度およびフィルタ機能 − @IT」を読んでいただければ、良くわかると思います。
なお、ユーザーもOUで管理するようにすれば、人事異動の際に別部署のOUへ移動すれば、別部署のグループポリシーが適用されるようになるはずです。
お試しになってみてください。
質問
こんばんわ。
毎日暑いですね〜。こう暑いと、ついつい冷たくて苦い飲み物に手を出してしまいます・・・(;
さて本題ですが、社内のPCにUSB接続の外部記憶装置(USBメモリ、iPod等)を接続するのを制限したいとき、どういった方法が考えられるでしょうか。
きっかけとして、USBメモリを媒介にして感染するウィルスが社内から発見されたことがあります。
(この場合、USBのReadは許可し、Writeだけを制限すれば良さそうです)
Googleで検索すると、いろいろな方法があるみたいですが、出来るだけ簡単に、運用のし易さをまず第一に考えるとして、何かお奨めのものがありましたら、ご教示ください。
よろしくお願いします。