USBメモリ等の自動実行停止設定 Windows 7編「実行アクセス権も拒否」

★管理者もエンドユーザーもハッピーになれる制御ポリシーの活用方法 企業が必要とするセキュリティ機能 その2 （Computerworld.jp）
Windows 7であればUSBやCDを入れた所で標準であれば何をするのか聞いてくるのでXPよりはUSBメモリ経由のウイルス感染には強いと思いますが念のため、Windows 7 Professional以上で使える（たぶん、Homeにはないよね？）グループポリシーの設定で更に対策しておく事にしました。
Windows 7では従来のリムーバブル・メディアに対する読み取り拒否/書き込み拒否に加えて実行アクセス権の拒否設定が出来るようになっています。なのでUSBメモリに関してはプログラムの実行権限を奪い実行出来なくしました。UNIX系OSであればrwxのxを取った感じ？

今のところUSBメモリから起動するブラウザとかメーラーとかアプリは基本的に使わないし。

とりあえずどっからグループポリシーの編集へいけばいいのかよくわからんのでスタートの「プログラムとファイルの検索」にグループポリシーと打ち込むと「グループポリシーの編集」というのが出てくるのでそちらで。あとは「コンピューターの構成」→「管理用テンプレート」→「システム」→「リムーバブル記憶域へのアクセス」の中に「リムーバブルディスク:実行アクセス権の拒否」という項目がありますのでそれを開いて「有効」にすればOKです。

という事でテストでリムーバブル領域にFirefoxPortableをインストールして実行してみました。

「指定されたデバイス、パス、またはファイルにアクセスできません。アクセス許可がない可能性があります。」と表示されて実行が出来ません。
という事で設定はうまくいきました。

そういやMac OS Xの場合、10.6とか今の奴なら明示的にUSBメモリアクセス禁止の設定はクライアントOSあるのかね？
★LonghornでUSBメモリなどの利用に制限（2004年09月13日 (月曜日)）
Mac OS X Serverと組み合わせればそういう制限ありますけど。クライアントのみでの設定は
★macOSX10.5でUSBメモリの使用を制限・禁止するには？ご教示く（OKWave）
"System/Library/Extensions/IOUSBMassStorageClass.kext"
を削除する事で対応は可能なようだけどスマートじゃありませんわね。全ユーザーが使えなくなってしまうようですので。

関連
★USBメモリ等の自動実行停止設定 Windows XP編（2009年09月17日 (木曜日)）

Posted by 封神龍（酒） at 2010年04月07日 20:42 | トらックバック | 【所属カテゴリ： PC・IT全般1】【コメントについて】【トラッくバックについて】【RSS登録について】

http://www.yuumediatown.com/diary/mt001/archives/011796.htmlUSBメモリ等の自動実行停止設定 Windows 7編「実行アクセス権も拒否」