USBアクセスをブロックしますが、特定のアクセスのみを許可します(特に、1つのUSB大容量記憶装置)
Windows 10 Proでは、すべてのUSBデバイスをブロックする方法はありますが、特定のデバイスを許可しますか?
特に、一意のシリアル番号を持つ1つの特定のUSB大容量記憶装置(つまり、1つの特定のベンダーモデル)のみを許可したいと思います。
この記事はそれが可能であると主張しています: https://community.spiceworks.com/how_to/1488-lockdown-usb-to-specific-removable-usb-drives 。しかし、それは2010年に書かれており、手順はWindows 10では機能しないようです。usbstor.infファイルのアクセス許可を変更できず、マシンは以前に表示されていないUSBスティックのモデルをマウントします。
@Ramhoundの提案に従い、グループポリシーを使用して機能させました。
一般的な方向性は次のとおりです: https://technet.Microsoft.com/en-us/library/2007.06.grouppolicy.aspx
特に、「リムーバブルデバイスのインストールを禁止する」というルールが必要です。
だからここに私がやったことの要約があります:
- Device Mangerで、現在接続されていないものも含め、不要なすべてのUSBデバイスをアンインストールします。インストールされているが現在切断されているデバイスの表示を有効にする
DEVMGR_SHOW_NONPRESENT_DEVICESという環境変数があります。 Webで「DEVMGR_SHOW_NONPRESENT_DEVICES」を検索するだけです。 - 必要なUSBデバイスをインストールします。この場合、USB大容量記憶装置。
- グループポリシーで[リムーバブルデバイスのインストールを防止する]ルールを有効にします。
買い手責任負担:
- グループポリシーでは、一意のシリアルIDを公開しない一部のデバイスを効果的にブロックできない可能性があります。たとえば、USBマスストレージデバイスの特定のベンダーモデルが一意のシリアルIDを公開しておらず、それをインストールした場合、グループポリシーmightはすべてを許可しますマウントする同じベンダーモデルの他のインスタンス。私はそのようなモデルのUSB大容量記憶装置を持っていないので、実際には確認できません。
- 私の知る限り、USBデバイスIDは署名されていないため、検証できません。つまり、USBデバイスが特定のシリアルIDを持つ特定のデバイスであると主張している場合、コンピューターがそれが正しいかどうかを判断する方法はありません。たとえ悪意のある人でも、偽造されたUSBデバイスIDと偽造されたシリアルIDを使用してUSBデバイスを作成し、それがコンピュータに受け入れられるようにすることができます。
以上のことから、このソリューションは、すべてのデバイスが一意のシリアルIDを公開し、誰もUSBデバイスを偽造してコンピューターに受け入れようとしない場合に機能します。