デスクトップUSBポートのロック

Question

デスクトップPCのUSBポートをロックアウトして、デスクトップでのUSBドライブの使用を防ぐにはどうすればよいですか。

これらがWindows XPデスクトップであることを明確にする必要があります。

また、ほとんどの新しいデスクトップと同様に、多くのデスクトップがキーボードやマウスにUSBを使用していると想定する必要があります。

Lucas Jones · Accepted Answer

このためのグループポリシーオブジェクトが必要です。ActiveDirectoryを介してプッシュできます。 WinXPProのgpedit.mscを参照してください。

Kara Marfia · Answer

Windowsデスクトップの場合は、ローカルポリシー（またはActive Directoryの場合はグループポリシー）を使用できます。デフォルト設定はありませんが、MSが提供するテンプレートはMSKB 555324 にあります。

RateControl · Answer

コンピュータのBIOSからUSBポートを無効にできるはずです。また、ケーブルをマザーボードに接続することもできます。

Chris Upchurch · Answer

ポートを無効にしても、あなたが望んでいるように見えることは実際にはできないと思います。これらのコンピューターがPS2マウスとキーボードを使用しない限り、そうではありません。キーボードとマウスに使用できるUSBポートがある限り、誰かがハブを接続してUSBドライブを接続するだけです。本当にやりたいことは、コンピューターがUSB経由で接続されたUSBストレージデバイス（他のUSBデバイスではない）を認識しないようにすることです。

Marc Reside · Answer

ユーザーが自分のPCに対する管理者権限を持っている場合、これを防ぐためにユーザーが行うことをすべて上書きできます。ただし、Microsoftが推奨するソリューションへの以下のリンクをたどることができます。

http://support.Microsoft.com/kb/823732

すでに述べたように、BIOSでUSBスティックからの起動を防ぐこともできます。

http://support.Microsoft.com/kb/823732

すでに述べたように、BIOSでUSBスティックからの起動を防ぐこともできます。

CanyonR · Answer

ソフトウェアソリューションの使用が心配な場合は、ハードウェアロックを購入できます。

SBポートブロッカー

これは、マシンごとにこれらを取得するための予算があることを前提としています。 USBの場合は、キーボードとマウスのプラグを抜かないようにする必要がある場合もあります。

MikeyB · Answer

私が顧客サイトで見た2つの解決策：

（Linux）関連するUSBカーネルモジュール（usb_storage）を適切な/ etc/modprobe.conf-typeファイルにブラックリストに登録します
ホットグルーガン

Eddie · Answer

BIOSで、ハードディスクからのみ起動するように起動デバイスを設定し、BIOSをパスワードで保護します。 BIOSで、回避できるすべてのUSBデバイスを無効にします。 USBスティックがマウントされないようにするには、他の対策を講じる必要があります。キーボードとマウスのケーブルだけが出ている箱にコンピューターを入れることはできますか？それから彼らがいじるのに利用できるUSBポートはありません。

要するに、マシンに物理的にアクセスできる人を信頼しない限り、セキュリティを向上させることはできますが、絶対的なセキュリティを取得することはできません。

Steve Kalemkiewicz · Answer

これは、スタンドアロンマシンといくつかのドメインマシンで実行する必要がありました。 GPOの方が良い方法ですが、そのようにする余裕はありませんでした。明らかに、誰かがマシンの管理者権限と少しの知識を持っていれば、これを元に戻すことができます。

私がこれを使用していたとき、私たちはすべてのXPマシンを持っていました。管理者権限を持っているユーザーはいません。ユーザーは[想定]パワーユーザーではありません。ユーザーがUSB大容量記憶装置を使用しないようにするためです。、他の一部の管理者がUSBSTOR.SYSを削除しました。したがって、USB大容量記憶装置を再度有効にする必要がある場合は、ドライバーファイルも復元する必要がありました（したがって、以下のファイルと一緒に現在のコピーを手元に置いておきました）。「Enable.bat」には、必要に応じてファイルを復元するための行があります（ここでコメントアウトしました）。

Disable.bat：

（CACLSコマンドに「BUILTIN\Administrators」を追加する必要がある場合があります。私の環境では追加する必要はありませんでした）

@echo off REM ********************************************************************* REM Disabling USB Mass Storage Driver REM ********************************************************************* echo Disabling USB Mass Storage Driver CACLS %SYSTEMROOT%\system32\Drivers\USBSTOR.SYS /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users" CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users" REG.EXE IMPORT "Disable.reg"

Disable.reg：

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Start"=dword:00000004

Enable.bat

（「BUILTIN\Administrators」用に別のCACLSコマンドのセットを追加する必要がある場合があります。私の環境では追加する必要はありませんでした）

@echo off REM ********************************************************************* REM Enabling USB Mass Storage Driver REM ********************************************************************* echo Enabling USB Mass Storage Driver REM XCOPY /E /Y /I USBSTOR.SYS %SYSTEMROOT%\system32\Drivers CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Users":R CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "NT AUTHORITY\SYSTEM":R CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Power Users":R CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Users":R CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "NT AUTHORITY\SYSTEM":R CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Power Users":R REG.EXE IMPORT "Enable.reg"

Enable.reg：

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Start"=dword:00000003

同様のことがVistaでも機能する可能性がありますが、試したことはありません。

Jim C · Answer

私は、何が受け入れられ、何が受け入れられないかについてユーザーをトレーニングすることを好みます。これまでユーザーを信頼できない場合は、ユーザーのPCを取り出して、すべてのアプリを実行しているCitrixサーバーなどに接続するシンクライアントシステムをセットアップします。私が考えることができる他の唯一の解決策は、キーボード、マウス、およびモニターのケーブルだけが出ている状態で、実際のPCをロックされたキャビネットに配置することです。すべての場合において、私はあなたがあなた自身のためにより多くの仕事を生み出すことになると思います。

Michael Kohne · Answer

これらのポートをコンピューターから効果的に「削除」することを検討している場合（そしてUSBが必要な場合）、およびコンピューターを変更する場合は、2液型エポキシをお勧めしますか？コネクタをエポキシで覆い、誰もそこに何も差し込まないようにします。ホットメルト接着剤は少し永続的ではありませんが、それでもかなり効果的です。

キーボード/マウス用のUSBポートがまだ必要であると仮定すると、1つまたは2つのポートをカバーしないでおく必要があります。

brianegge · Answer

USBstorageを無効にするには、次の方法を使用します。

http://support.Microsoft.com/kb/823732

USBストレージを読み取り専用にすることもできます。これは、ユーザーがカメラからの写真のようにUSBデバイスからデータを読み取ることを許可しますが、企業データベースをメモリースティックにコピーすることを防ぐため、多くの場合、適切な妥協案です。

http://www.petri.co.il/configure_usb_disks_to_be_read_only_in_xp_sp2.htm

最近ではキーボードやマウスなどが一般的にUSBを必要とするため、USBを完全に無効にすることはおそらくお勧めできません。上記の両方は、レジストリエントリまたはポリシーファイルを介して設定できます。これらの設定の強度は、Windowsのポリシーおよびグループ設定と同じくらい強力になります。

tuxedo_sam · Answer

ドライブロック。また、必要に応じてUSBスティックからファイルをミラーリングし、デバイス、ファイルタイプ、およびユーザーのホワイトリストとブラックリストを作成できます。