すべてに利点と欠点があります、ビスタシステムと言えば、非常にインテリジェントなシステムであり、ユーザーの次の操作のためにユーザーの情報を記録します。経験を積んだ盗聴者は、特に公共のコンピュータで、ユーザーの個人情報を盗むことができます。 Windows Vistaのグループポリシーを使用してUSBデバイスを保護する方法
最も誤解されているグループポリシーはその名前です - グループポリシーはグループにポリシーを適用する方法ではありません!対照的に、グループポリシーは合格です。グループポリシーをActive Directoryコンテナ(通常は組織単位ですが、ドメインとサイトも含む)オブジェクトにリンクすることは、個々の、または個々のユーザーアカウントとコンピュータアカウントで実行されます。ここでのグループポリシーオブジェクトは、ポリシー設定の集まりです。
グループポリシーを使用してリムーバブルデバイスを制限することは、あまり良いネットワークセキュリティソリューションではありませんが、ストレージデバイス(USB対応デバイスなど)をインストールしたユーザーは引き続きそれを使用できるためです。ただし、IDによって特定のリムーバブルストレージデバイスを制限できるように、微妙な設定を行うことができます。
どのセキュリティの脅威がネットワークデータに最も影響を与えるかを言うのは困難です。いくつかの理由で、私はリムーバブルストレージデバイス、特にUSBドライブデバイスがリストの一番上にあるべきだと思う傾向があります。原因1:USB記憶装置は無視しやすいです。 2つ目の理由:USBドライブに大量のデータ(最大4GBまでのデータなど)を保存できるという単純な事実があります。つまり、ユーザーは同じ大規模なアプリケーションを企業に持ち込むことができます。中です。これはまた、ユーザーが企業から最大4GBのデータを取得できることを意味します。ユーザーがアクセスできるデータはすべてこれらのドライブに簡単にコピーできます。さらに、USBデバイス自体はサイズが小さいため、ユーザーがUSBデバイスを企業内外に持ち込むことが容易になります。
著者は、USBストレージデバイスのセキュリティリスクについてネットワーク管理者と話をしました。ただし、これらのネットワーク管理者にとって最も一般的な方法は、ワークステーションのUSBポートを無効にすることです。 BIOSを介してUSBポートを無効にできる新しいマシンがいくつかありますが、ほとんどの古いマシンはこの機能を提供していません。この場合、USBポートをテープでブロックして使用されないようにする、最も一般的に使用されている別の方法があります。
これらのメソッドは一定の役割を果たすことができますが、いくつかの欠点があります。オペレータにとって、これらの方法は「労働集約的」であり、それは実施するのが非常に難しいことを意味する。別の問題は、USBポートを無効にしても、ユーザーがリムーバブルメディアにアクセスするという問題を完全に解決できないことです。ユーザーは、代わりにFireWireハードドライブとリムーバブルDVDドライブを簡単に使用できます。
これらの方法すべての最大の欠点は、USBポートを永続的に無効にすると、ユーザーがUSBデバイスを使用できなくなり、サポートされているユーザーがこれらのポートにアクセスできなくなることです。さらに、USBポートを使用できるようにする必要があるのは、時々正当な理由があります。たとえば、仕事によっては、ユーザが自分のPCにUSBスキャナを接続する必要があります。
幸い、MicrosoftのWindows Vista(および有名なWindows Server 2008(Longhorn))の重要な目標は、管理者がワークステーションでハードウェアを使用する方法をより適切に制御できるようにすることです。これで、グループポリシーを使用してリムーバブルデバイスへのアクセスを制御できます。
USBストレージデバイスへのアクセスに関するグループポリシー設定の制限は、現在Windows Vistaでのみ利用できます。現在、これはローカルコンピュータレベルでのみグループポリシーを設定できることを意味します。 Windows Server 2008のリリース後は、これらのグループポリシーをドメイン内、サイト上、またはOUレベルで設定できます(もちろん、Windows Server 2008のドメインコントローラがある場合)。
必要なグループポリシー設定にアクセスするには、[グループポリシーオブジェクトエディタ]を開く必要があります。そのため、[すべてのプログラムを起動] /[すべてのプログラム]の[添付ファイル]をクリックしてください(英語のオペレーティングシステムは[スタート]、[すべてのプログラム]、[アクセサリ]の順にクリックします)。次に、MMCコマンドを入力します。これにより、Windowsは空のMicrosoft管理コンソールを開きます。コンソールが開いたら、[ファイル]メニューから[スナップインの追加と削除]を選択します。スナップインの一覧から[グループポリシーオブジェクト]オプションを選択して、[追加]ボタンをクリックします。デフォルトでは、このスナップインはローカルコンピュータポリシーに接続するため、[OK]をクリックしてから[完了]をクリックします。
ローカルコンピュータポリシーがコンソールに読み込まれます。次に、[コンピュータの構成]、[管理用テンプレート]、[システム]、[デバイスのインストール]、[デバイスのインストールの制限]の順に移動します(システム設定の管理用テンプレートシステムデバイスのインストールデバイスのインストールの制限) 。その際、詳細ペインには、次の図に示すように、ハードウェアデバイスのインストールに関連するいくつかの制限が表示されます。
デバイスのインストールの制限に関連する設定は多数あります。これらの設定は、必ずしもモバイルデバイスに関連付けられているわけではありませんが、通常はハードウェアデバイスに関連付けられています。ここでの基本的な考え方は、ユーザーにデバイスのインストールを制限すると、特に有効にしていないデバイスはすべてブロックされるということです。
リムーバブルデバイスの問題に関しては、次の2つのポリシー設定に特に注意を払うことができます。最初の設定は、実装する場合、[管理者によるデバイスのインストール制限の上書きを許可する]です。任意のデバイス制限設定、そしてあなたはこの設定を有効にする必要があります。そうでなければ、管理者でさえもワークステーションに新しいハードウェアをインストールすることはできません。
2番目に重要な設定は、「リムーバブルデバイスのインストールを防止する」です。この設定を有効にすると、ユーザーはリムーバブルデバイスをインストールできなくなります。ユーザーがすでにシステムでリムーバブルデバイスを使用している場合は、このリムーバブルデバイス用のドライバーがあるため、ユーザーは引き続きそれを使用します。ただし、ユーザーがデバイスのドライバを更新することはできません。
実際には、Windows Vistaを介して設定できるセキュリティ対策はまだ多数あります。 Xiaobianでは、より多くのユーザーがこのWebサイトにアクセスして全員と話し合い、すぐにGoogleのチームに参加することを期待しています。