前のセクションでは、システムをより安全にするためのWindows XPのグループポリシーについて説明しました。今日はこの問題についてお話します。
最も誤解されているグループポリシーはその名前です。グループポリシーはグループに戦略を適用する方法ではありません。対照的に、グループポリシーは、グループポリシーをActive Directoryコンテナ(通常は組織単位だけでなく、ドメインとサイトも)オブジェクトにリンクすることによって、個々または個々のユーザーアカウントとコンピュータアカウントを強制します。ここでのグループポリシーオブジェクトは、ポリシー設定の集まりです。
グループポリシーを使用してリムーバブルデバイスを制限することは、それほど良いネットワークセキュリティソリューションではありませんが、ストレージデバイス(USB電源デバイスなど)を既に所有しているユーザーは引き続き使用できます。ただし、IDによって特定のリムーバブルストレージデバイスを制限できるように、微妙な設定を行うことができます。
どのセキュリティの脅威がネットワークデータに最も影響を与えるかを言うのは困難です。いくつかの理由で、私はリムーバブルストレージデバイス、特にUSBドライブデバイスがリストの一番上にあるべきだと思う傾向があります。原因1:USB記憶装置は無視しやすいです。 2つ目の理由:USBドライブに大量のデータ(最大4GBまでのデータなど)を保存できるという単純な事実があります。つまり、ユーザーは同じ大規模なアプリケーションを企業に持ち込むことができます。中です。これはまた、ユーザーが企業から最大4GBのデータを取得できることを意味します。ユーザーがアクセスできるデータはすべてこれらのドライブに簡単にコピーできます。さらに、USBデバイス自体はサイズが小さいため、ユーザーがUSBデバイスを企業内外に持ち込むことが容易になります。
著者は、USBストレージデバイスのセキュリティリスクについてネットワーク管理者と話をしました。ただし、これらのネットワーク管理者にとって最も一般的な方法は、ワークステーションのUSBポートを無効にすることです。 BiOS経由でUSBポートを無効にできる新しいマシンもありますが、ほとんどの古いマシンはこの機能を提供していません。この場合、USBポートをテープでブロックして使用されないようにする、最も一般的に使用されている別の方法があります。
これらのメソッドは一定の役割を果たすことができますが、いくつかの欠点があります。オペレータにとって、これらの方法は「労働集約的」であり、それは実施するのが非常に難しいことを意味する。別の問題は、USBポートを無効にしても、ユーザーがリムーバブルメディアにアクセスするという問題を完全に解決できないことです。ユーザーは、代わりにFireWireハードドライブとリムーバブルDVDドライブを簡単に使用できます。
これらの方法すべての最大の欠点は、USBポートを永続的に無効にすると、ユーザーがUSBデバイスを使用できなくなり、サポートされているユーザーがこれらのポートにアクセスできなくなることです。さらに、USBポートを使用できるようにする必要があるのは、時々正当な理由があります。たとえば、仕事によっては、ユーザが自分のPCにUSBスキャナを接続する必要があります。
幸い、MicrosoftのWindows Vista(および有名なWindows Server 2008(Longhorn))の重要な目標は、管理者がワークステーションでハードウェアを使用する方法をより適切に制御できるようにすることです。これで、グループポリシーを使用してリムーバブルデバイスへのアクセスを制御できます。
USBストレージデバイスへのアクセスに関するグループポリシー設定の制限は、現在Windows Vistaでのみ利用できます。現在、これはローカルコンピュータレベルでのみグループポリシーを設定できることを意味します。 Windows Server 2008のリリース後は、これらのグループポリシーをドメイン内、サイト上、またはOUレベルで設定できます(もちろん、Windows Server 2008のドメインコントローラがある場合)。
必要なグループポリシー設定にアクセスするには、グループポリシーオブジェクトエディタを開く必要があります。したがって、[スタート]、[すべてのプログラム]、[アクセサリ]の順にクリックしてください(英語のオペレーティングシステムは[スタート]メニューの[すべてのプログラム]、[AccessorIE]、英語のシステムを使用します)。次に、MMCコマンドを入力します。これにより、Windowsは空のMicrosoft管理コンソールを開きます。コンソールが開いたら、[ファイル]メニューから[スナップインの追加と削除]を選択します。スナップインの一覧から[グループポリシーオブジェクト]オプションを選択し、[追加]ボタンをクリックします。既定では、このスナップインはローカルコンピュータポリシーに接続するため、[OK](OK)をクリックしてから[完了]をクリックします。
ローカルコンピュータポリシーがコンソールに読み込まれます。今すぐコンピュータの構成管理用テンプレートシステムデバイスのインストールデバイスのインストールの制限に移動します。その際、詳細ペインには、次の図に示すように、ハードウェアデバイスのインストールに関連するいくつかの制限が表示されます。
デバイスインストールの制限に関連する設定は多数あります。これらの設定は、必ずしもモバイルデバイスに関連付けられているわけではありませんが、通常はハードウェアデバイスに関連付けられています。ここでの基本的な考え方は、ユーザーにデバイスのインストールを制限すると、特に有効にしていないデバイスはすべてブロックされるということです。
リムーバブルデバイスの問題については、2つのポリシー設定に特に注意を払うことができます。最初の設定は、管理者がデバイスのインストール制限を上書きできないようにすることです。デバイス制限を設定したら、この設定を有効にする必要があります。そうでなければ、管理者でさえもワークステーションに新しいハードウェアをインストールすることはできません。
2番目に重要な設定は、「リムーバブルデバイスのインストールを防止する」です。この設定を有効にすると、ユーザーはリムーバブルデバイスをインストールできなくなります。ユーザーがすでにシステムでリムーバブルデバイスを使用している場合は、このリムーバブルデバイス用のドライバーがあるため、ユーザーは引き続きそれを使用します。ただし、ユーザーがデバイスのドライバを更新することはできません。
実際には、Windows Vistaを介して設定できるセキュリティ対策はまだ多数あります。