JP1/NETM/DM 導入・設計ガイド(Windows(R)用)
クライアントでの外部メディアの操作を抑止して,機密情報の流出や外部のシステムからの情報の侵入を防止できます。この機能は,クライアントのバージョンが08-50から09-10までの場合に使用できます。
外部メディア操作の抑止では,次に示す外部メディアを介した書き込みまたは読み出しを抑止します。
- USB接続メディア
- 内蔵CD/DVDドライブ
- 内蔵FDドライブ
- IEEE 1394接続メディア
- 内蔵SDカードスロット
どのメディアの操作を抑止するかは,業務で使用する頻度や情報漏えいの危険度などを基に選択してください。
なお,クライアントのバージョンが09-12以降の場合は,デバイス操作の抑止でこれらの外部メディア操作を抑止できます。デバイス操作の抑止については「2.5.6 デバイス操作の抑止」を参照してください。
外部メディア操作抑止の概要を次の図に示します。
図2-24 外部メディア操作抑止の概要
- <この項の構成>
- (1) クライアントのOSの前提条件
- (2) 外部メディア操作を抑止する場合の注意事項
(1) クライアントのOSの前提条件
外部メディア操作を抑止するには,クライアントのOSを前提条件に合わせてください。なお,クライアントのOSがWindows NT 4.0,Windows 98およびWindows Meの場合は,サポート対象外です。
機能 |
Windows |
2000 |
Server 2003 |
XP |
Vista |
Server 2008 |
7 |
USB接続メディア操作の抑止(書き込みと読み出しを禁止)※1,2 |
○ |
○ |
○ |
○ |
○※3 |
○ |
特定のUSB接続メディアを抑止対象から除外※4,5 |
○ |
○ |
○ |
○ |
○ |
○ |
USB接続メディア操作の抑止(書き込みだけを禁止)※1,2 |
× |
× |
○ |
× |
× |
× |
内蔵CD/DVDドライブへの書き込みの抑止 |
× |
○ |
○ |
○ |
× |
○ |
内蔵FDドライブ操作の抑止 |
○ |
○ |
○ |
○ |
× |
○ |
IEEE 1394接続メディア操作の抑止※1 |
○ |
○ |
○ |
○ |
× |
○ |
内蔵SDカードスロット操作の抑止※1 |
× |
× |
○ |
○ |
× |
○ |
- (凡例)
- ○:サポート対象
- ×:サポート対象外
- 注※1
- 抑止対象となるUSB接続メディア,IEEE 1394接続メディア,およびSDカードは,[ハードウェアの安全な取り外し]ダイアログボックスから,デバイスコンポーネントを表示したときに,次のように表示されるメディアです。
- 「USB大容量記憶装置デバイス」
- 「IEEE 1394 SBP2 Drive」
- 「Secure Digital Storage Device」
- 注※2
- [ハードウェアの安全な取り外し]ダイアログボックスで,「USB大容量記憶装置デバイス」と表示されないUSB接続メディアが抑止されることがあります。その場合は,クライアントPCを抑止対象外とするか,抑止されたUSB接続メディアを抑止対象から除外するように設定してください。なお,USB接続メディア操作の抑止(書き込みだけを禁止)は,特定のUSB接続メディアを抑止対象から除外することはできません。
- 注※3
- クライアントPCのOSがWindows Server 2008の場合,抑止対象はUSBストレージデバイスです。
- 注※4
- 「指定したメディアを抑止対象から除外する」チェックボックスがオンの場合,USB接続メディア操作の抑止(書き込みと読み出しを禁止)の対象は,USBストレージデバイスになります。
- 注※5
- バージョンが08-52以前のJP1/NETM/DM Clientに対しては,指定したメディアを抑止対象から除外することはできません。
クライアントPCのOSの種類による,抑止できる操作の違いを次に示します。
- 次に示す条件をすべて満たす場合,USB接続のHDドライブまたはUSB接続のFDドライブへのファイルコピーを実行しているときは,ファイルコピーが完了するまでUSB接続メディアの操作は抑止できません。
- クライアントのOSがWindows 7,またはWindows Server 2008 R2である
- ファイルコピーの実行中に,USB接続メディアの操作を抑止する稼働監視ポリシーが適用される
- 特定のUSB接続メディアを抑止対象から「接続名」で除外する設定の稼働監視ポリシーを適用した場合,「接続名」で除外したUSB接続メディアをクライアントPCに初めて接続したときは,抑止されます。この場合,再度USB接続メディアを接続してください。2回目以降は抑止されません。
- クライアントPCのOSがWindows 7またはWindows Vistaの場合,次に示す抑止は個別に設定できません。
- USB接続メディア操作の抑止(「指定したメディアを抑止対象から除外する」チェックボックスをオフのとき)
- IEEE 1394接続メディア操作の抑止
- 内蔵SDカードスロット操作の抑止
どれか一つ以上を設定すると,USB接続メディア,IEEE 1394接続メディア,内蔵SDカードおよびクライアント上のリムーバブルディスクに対して,書き込みと読み出しが抑止されます。
- クライアントPCのOSがWindows 7,Windows Server 2008,またはWindows Vistaで,JP1/NETM/DM Clientのバージョンが09-00以降の場合,USB接続メディア操作の抑止で,指定したメディアを抑止対象から除外するときは,IEEE 1394接続メディア操作の抑止および内蔵SDカードスロット操作の抑止は設定しないでください。各操作を抑止する設定をすると,「指定したメディアを抑止対象から除外する」チェックボックスの設定が無効になり,すべてのUSB接続メディアに対して,書き込みと読み出しが抑止されます。
- クライアントPCのOSがWindows 7またはWindows Vistaの場合,内蔵CD/DVDドライブへの書き込みを抑止すると,内蔵CD/DVDドライブだけでなく,USB接続のCD/DVDドライブへの書き込みも抑止されます。また,USB接続のCD/DVDドライブへの書き込みは,USB接続メディア操作の抑止対象外となります。
- クライアントPCのOSがWindows 7またはWindows Vistaの場合,内蔵FDドライブへの書き込みと読み出しを抑止すると,内蔵FDドライブだけでなく,USB接続のFDドライブへの書き込みと読み出しも抑止されます。また,USB接続のFDドライブへの書き込みは,USB接続メディア操作の抑止対象外となります。
- USB接続メディアの書き込みだけを禁止する設定は,クライアントPCのOSが次の場合は,有効になりません。そのため,USB接続メディアの操作の書き込みだけを禁止する設定を適用した場合,クライアントPCには,代わりに書き込みと読み出しを禁止する設定が適用されます。
Windows 7,Windows Server 2008,Windows Vista,Windows Server 2003,Windows XP(Service Packなし,またはService Pack 1)およびWindows 2000
- クライアントPCのOSがWindows XPの場合,USB接続メディア操作の書き込みだけを禁止する設定は,Service Pack 2以降のバージョンがサポート対象となります。
- クライアントPCのOSがWindows 2000の場合,「指定したメディアを抑止対象から除外する」チェックボックスをオンにしていると,システムにログインする前から接続されているUSB接続のFDドライブおよびUSB接続のHDドライブの操作が抑止できません。これらのUSB接続メディアの操作を抑止したい場合は,このチェックボックスをオフにしてください。
(2) 外部メディア操作を抑止する場合の注意事項
- Windowsの設定で,CD/DVDの自動再生機能が無効に設定されていると,USB接続メディアの書き込みだけを抑止する場合に,USB接続のCD/DVDドライブへの書き込みが抑止されないことがあります。
- 外部メディア操作の抑止をする前から接続されていた外部メディアに対しては,抑止が有効になりません。一度切断(取り外し)したあとから有効になります。
- 内蔵SDカードスロットを介した書き込みと読み出しの抑止は,クライアントPCが一度リブートしたあとから有効になります。
- 外部メディア操作の抑止は,稼働監視用のサービスを停止しても解除されません。外部メディア操作の抑止を解除するには,次のどちらかの作業を実行してください。
- 外部メディア操作を抑止しない設定の稼働監視ポリシーを作成して適用する。
- JP1/NETM/DM Clientをアンインストールする。
- Windows Server 2003,Windows XP,またはWindows 2000の場合,内蔵FDドライブの操作を抑止すると,内蔵FDドライブ自体が存在しない状態になります。そのため,内蔵FDドライブ操作を抑止しているクライアントからインベントリ情報を取得した場合は,内蔵FDドライブの情報は取得されません。
- JP1/NETM/DM以外の,外部メディアに対して使用を制限する製品(Windowsのグループポリシー,Active Directoryのポリシー適用など)とは,同時に使用できません。同じクライアントに対して他製品と同時に使用を制限した場合,JP1/NETM/DMの外部メディア操作抑止の設定内容が,他製品によって変更されるおそれがあります。また,他製品の設定内容も,JP1/NETM/DMによって変更されることがあります。
- 外部メディア操作の抑止設定は,Active Directoryやオペレータの操作によって,変更されてしまうおそれがあります。そのため,外部メディア操作の抑止設定は,稼働監視用のサービスの再起動時に,稼働監視ポリシーに従って再設定されます。ただし,一度も外部メディア操作を抑止する設定にしていない場合は,稼働監視用のサービスの再起動時に再設定されません。また,外部メディア操作を抑止しない設定の稼働監視ポリシー適用時も,外部メディア操作に関する設定はされません。
- クライアントPCのOSがWindows 7,Windows Server 2008またはWindows Vistaの場合,外部メディア操作の抑止設定は,OSをリブートしたあとから有効になります。なお,クライアントPCのOSの種類に関係なく,特定のUSB接続メディアを抑止対象から除外する設定をした場合,USB接続メディア操作の抑止設定および特定のUSB接続メディアを抑止対象から除外する設定は,OSを再起動したあとから有効になります。
- 外部メディア操作を抑止したあとで抑止を解除する場合は,再インストールなどによって,デバイスドライバが正常に動作する状態にしてください。
- USB接続リンクケーブルの使用を抑止する場合,OSに認識されるUSB機器に応じて,操作の抑止を設定してください。ただし,機器によってはUSB接続リンクケーブルの使用を抑止できない場合があります。
- クライアントPCで[ハードウェアの安全な取り外し]アイコンを実行した,または[コントロールパネル]の[管理ツール]−[コンピュータの管理]の[デバイス マネージャ]で各USB接続メディアを右クリックして「削除」を選択した場合,USB接続メディア操作の抑止が正常に動作しないおそれがあります。
- 抑止対象のUSB接続メディアをクライアントPCに接続した場合,USB接続メディアの自動再生機能が有効に設定されていても,自動再生が失敗しエラーメッセージが表示されることがあります。
- クライアントPCのOSがWindows 2000の場合,「指定したメディアを抑止対象から除外する」チェックボックスをオンにしていると,USB接続のFDドライブの操作が抑止できません。このUSB接続メディアの操作を抑止する場合は,このチェックボックスをオフにしてください。
- クライアントPCのOSがWindows 7,Windows Server 2008,またはWindows Vistaの場合,「指定したメディアを抑止対象から除外する」チェックボックスがオンで,かつWindowsの設定で自動再生機能を有効にしていると,USB接続のFDドライブおよびUSB接続のHDドライブの操作が抑止できません。これらのUSB接続メディアの操作を抑止する場合は,このチェックボックスをオフにするか,または自動再生機能を無効にしてください。
- 次の場合,OSのエラーメッセージが表示されることがあります。
- クライアントPCのOSがWindows 2000でデバイスドライバがインストールされていない状態で,抑止対象のUSB接続メディアが接続された場合
- USB接続メディアの操作中に,そのUSB接続メディアの操作を抑止する稼働監視ポリシーが適用された場合
- ソフトウェアの稼働状況の監視機能が起動する前に接続されたUSB接続メディアの操作は抑止できないことがあります。
- クライアントPCのOSがWindows Server 2003またはWindows XPの場合,CD/DVDドライブの「プロパティ」の[書き込み]タブにある「このドライブで CD 書き込みを有効にする」チェックボックスをオフにすると,内蔵CD/DVDへの書き込みは抑止できません。なお,DVD-RAMに書き込む場合は,「このドライブでCD書き込みを有効にする」チェックボックスをオフにする必要があるため,書き込みを抑止できません。
オフラインマシンに対して外部メディア操作を抑止する場合の注意事項
稼働監視ポリシーを適用する場合や,稼働情報を取得する場合に使用する外部メディアに対して,操作を抑止しないでください。該当の外部メディアの操作を抑止すると稼働監視ポリシーの適用および稼働情報の取得ができなくなります。
仮想化環境の場合の注意事項
仮想化環境に外部メディアの操作を抑止する稼働監視ポリシーを適用している場合の注意事項を,次に示します。
- USB接続メディアの接続が抑止されたことを示す警告ダイアログボックスは,コンソールセッションに接続しているユーザだけに表示されます。
- 次に示す条件をすべて満たす場合,ターミナルサーバに外部メディアを抑止するセキュリティポリシーを適用していても,リダイレクトされたドライブの操作を抑止できません。
- ターミナルサーバにリモートで接続しているPCに,外部メディア接続を抑止するセキュリティポリシーが適用されていない。
- 1.のPCに接続されたドライブを,ターミナルサーバで使用する設定にしている。
このようなドライブを抑止するには,ターミナルサーバ側でリダイレクトを無効にしてください。ただし,この設定をするとすべてのドライブでリダイレクトが無効になります。Windows Server 2008でターミナルサーバでリダイレクトを無効にする手順を次に示します。
- Windowsの[ターミナルサービス構成]で,「RDP-Tcp」のプロパティを開く。
- [クライアント設定]タブの「リダイレクト」の[ドライブ]をチェックする。
- Windows Server 2008 R2の場合
- Windowsの[RDセッション ホストの構成]で,「RDP-Tcp」のプロパティを開く。
- [クライアント設定]タブの「リダイレクト」の[ドライブ]をチェックする。
All Rights Reserved. Copyright (C) 2009, 2013, Hitachi, Ltd.
Copyright, patent, trademark, and other intellectual property rights related to the "TMEng.dll" file are owned exclusively by Trend Micro Incorporated.