私は会社の管理者で、最近、Windows Server 2012 R2 と Windows 7 コンピューターをクライアントとして Active Directory を作成しました。すべてのユーザーに対して、USB ストレージを無効にするグループ ポリシーを設定しました (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR)。これは、上司に頼まれたためです。オフィスの男性が、ファイルを転送できるように PC の USB ロックを解除するように頼んできましたが、上司に逆らうことはできないと言いました。彼は、USB ポートを有効にする方法を知っていると言いましたが、それが何であるかは教えてくれませんでした。また、クライアントが自分のドライブにアクセスできないようにする別の GPO を使用しているため、クライアントは自分のコンピューターにアクセスできません。私はそのことに激怒し、不安を感じています (その男性が USB ストレージを有効にできる場合)。クライアントが USB ストレージにアクセスしてファイルを転送できる他の方法はありますか?最近、古いファイルを新しい PC に転送しました。誰かが .exe などを転送できたかどうかはわかりません。アドバイスがあれば助かります。ありがとうございます
答え1
心配しないでください。IT が実装したものを回避できると考える「パワー ユーザー」は常に存在します。特に、上級スタッフの要求に応じてそうなります。
ですから、デューデリジェンスを行ってください。あなたがそのことを心配しているという事実は、あなたにとって有利になります。さて、彼が会社の方針に反しているという事実(もしあれば、通常は懲戒処分になります)を別にすれば、あなたの立場を確固たるものにするためにできることがいくつかあります。以下のいずれかの組み合わせです。
- 必要がない限り、ローカル管理者になることを許可しないでください。
- Regmon アプリケーションへのアクセスを許可しない - レジストリの変更を監視する
- Windows マシンで Regedit32 または Regedit を許可しないでください。これはドメイン管理者などによってのみ使用される必要があります。
- 特定のexeを無効にするには、sophosなどのツールを使用します。
- 何らかの方法で制限することを検討してください - BIOS設定でマシンのUSBを無効にします
- 特定の種類のハードウェアのみの接続を許可するには、Sophosまたは同等のものを使用してください。
これで物理的な面はある程度カバーされるはずですが、Dropbox や同等の脅威もあることを忘れないでください。したがって、政策立案者からいくつかのことを知るのが最善です。
- 制限の目的は何ですか?
- 誰かがそれに反した場合、どのような影響があるか(誰が責任を負うのか、誰が悪いのか)
彼が使用している可能性のある潜在的なエクスプロイトを試してテストするためのリンクを以下に示します。 https://blogs.technet.microsoft.com/markrussinovich/2005/04/30/circumventing-group-policy-settings/
お役に立てれば幸いです。