Active Directory環境下でGPOを利用してリムーバブル書き込み制限
このご時世は情報漏洩に敏感である
[良くあるシステムあるある(ないない)]
上司「あいつ、今日で退職のはずだけど、何のデータをUSBに書き込んでるんだ?」
ぼく「彼、仕事中にポエムを書き溜めてたみたいでそれを書き込んでるんじゃないんですかね?」
上司「(そりゃクビになるわな。。てか、ぼく君も注意しろよ。。)」
・・・3日後・・・ (/ω\)
上司とぼく君はお弁当を仲良く食べながら「ひ○おび」を視聴中
キャスター「○○株式会社の個人情報のリストが闇サイトで売買され、特にクレジットの情報は高く取引されているとのことです。」
ぼく「ハハハ、間抜けですね、この○○株式会社って!」
上司「声が出ない。。(これ、うちの会社やんけ!あいつ、ファイルサーバの「個人情報.xlsx」を書き込んでたんかい!)」
と
色々とツッコミどころはあるのですが冒頭のUSB書き込みはGPOで防止することが可能です。
サーバ側での設定とクライアント側での検証
サーバ側での設定
「グループ ポリシーの管理」画面に行き新しいGPOを作成します。
作成後に早速編集します。
[コンピューターの構成]➡[ポリシー]➡[管理用テンプレート]➡[システム]➡[リムーバブル記憶域へのアクセス]で辿ると見つかります。
幾つかの制御対象がありますが、ここはUSBメモリを想定して「リムーバブル ディスク」への書き込みを拒否するようにします。
完了した後に今回はデスクトップ機が対象という事で対象のOUにリンクを忘れずにしましょう!
クライアント側での検証
USBメモリを挿してみます。認識はしているようです。想定通りの挙動。
しかし、何かを書き込もうとすると下記画面が表示されます。試しに他のUSBメモリも挿してみましたが同じ挙動でした。
おまけで所有の Galaxy S6 Edge を接続してMTPモード接続後に書き込んだところ成功してしまいました。これは前述の制御対象で「WPD デバイス」も同対応を実施する必要があります。
企業向けに発売されている資産管理ツール等でこの手の機能は包括されていることが多いですが、実はGPOでも実現が可能です。(ログ取得は除く)
まずはお手軽に始める、という意味では非常にオススメです。