JP1/NETM/DM 導入・設計ガイド(Windows(R)用)
クライアントでのデバイスの操作を抑止して,機密情報の流出や外部のシステムからの情報の侵入を防止できます。この機能は,クライアントのバージョンが09-12以降の場合に使用できます。
操作の抑止対象となるデバイスを次に示します。
- USBストレージデバイス
- 内蔵CD/DVDドライブ
- 内蔵FDドライブ
- IEEE1394接続デバイス
- 内蔵SDカード
- Bluetoothデバイス
- イメージングデバイス
各種デバイスに対して,デバイスの使用(書き込みと読み出し)を抑止したり,特定のデバイスを抑止対象から除外したりできます。また,デバイスへの書き込みだけを抑止することもできます。デバイスごとに抑止できる操作を次の表に示します。
表2-25 デバイスごとに抑止できる操作
デバイス種別 |
デバイスの使用を抑止 |
特定のデバイスを抑止対象から除外 |
デバイスへの書き込みだけを抑止※1※6 |
USBストレージデバイス |
○ |
○ |
○※2 |
内蔵CD/DVDドライブ |
○ |
× |
○※3 |
内蔵FDドライブ |
○ |
× |
○※4 |
IEEE1394接続デバイス |
○ |
× |
○※4 |
内蔵SDカード※5 |
○ |
× |
○※4 |
Bluetoothデバイス |
○ |
○ |
× |
イメージングデバイス |
○ |
○ |
× |
- (凡例)
- ○:サポート対象
- ×:サポート対象外
- 注※1
- デバイス種別ごとに書き込みだけを抑止することはできません。
- また,書き込みだけを抑止できるデバイスは,使用が抑止されていないデバイス,または抑止対象から除外されているデバイスです。
- 注※2
- クライアントのOSがWindows XP Service Pack 2,Windows XP Service Pack 3,Windows Vista,Windows Server 2008,Windows 7,Windows Server 2012およびWindows 8の場合だけ抑止できます。
- 注※3
- クライアントのOSがWindows XP,Windows Server 2003,Windows Vista,Windows Server 2008,Windows 7,Windows Server 2012およびWindows 8の場合だけ抑止できます。
- 注※4
- クライアントのOSがWindows Vista,Windows Server 2008,Windows 7,Windows Server 2012およびWindows 8の場合だけ抑止できます。
- 注※5
- SDカードを接続した状態で,Windowsの[デバイス マネージャ]から,各SDカードのプロパティのダイアログボックスを表示して,[詳細]タブの「列挙子」に,「SD」または「RIMMPTSK」と表示されるものがサポート対象です。PCに内蔵されているSDカードスロットとPC本体との接続方法によって,「列挙子」に「SD」または「RIMMPTSK」以外が表示されることがあります。このように,「列挙子」に「SD」または「RIMMPTSK」以外が表示されるSDカードはサポート対象外です。
- 注※6
- OSがWindows 8エディションなしの場合は,動作しません。
どのデバイスの操作を抑止するかは,業務で使用する頻度や情報漏えいの危険度などを基に選択してください。
デバイス操作抑止の概要を次の図に示します。
図2-25 デバイス操作抑止の概要
- <この項の構成>
- (1) クライアントのOSの前提条件
- (2) デバイス操作を抑止する場合の注意事項
(1) クライアントのOSの前提条件
デバイス操作を抑止できる,クライアントのOSを次に示します。
- Windows 2000
- Windows Server 2003
- Windows XP
- Windows Vista
- Windows Server 2008
- Windows 7
- Windows Server 2012
- Windows 8
クライアントのOSがWindows NT 4.0,Windows 98およびWindows Meの場合は,サポート対象外です。
(2) デバイス操作を抑止する場合の注意事項
- クライアントPCの起動直後など,稼働監視が開始される前に接続されたデバイスについては,操作を抑止できないことがあります。
- JP1/NETM/DM以外の,デバイスに対して使用を制限する製品(Windowsのグループポリシー,Active Directoryのポリシー適用など)とは,同時に使用できません。同じクライアントに対して他製品と同時に使用を制限した場合,JP1/NETM/DMのデバイス操作抑止の設定内容が,他製品によって変更されるおそれがあります。また,他製品の設定内容も,JP1/NETM/DMによって変更されることがあります。
- 稼働監視ポリシーを適用する前から接続されているデバイスに対しては,操作の抑止が有効になりません。デバイス操作の抑止を有効にするには,クライアントPCを再起動してください。
- 稼働監視ポリシーを次のとおり変更した場合,クライアントPCを再起動してください。
- 操作を抑止している設定から操作可能な設定に変更した場合
- すでに接続されているデバイスに対して,操作を抑止する設定に変更した場合
- 書き込みだけを抑止する設定を有効または無効にした場合
- クライアントPCのOSがWindows 2000の場合,ユーザがログインする前に接続されたUSB接続のハードディスクドライブおよびUSB接続のフロッピーディスクドライブは操作を抑止できません。
- 自動再生機能が有効に設定されているデバイスを抑止した場合,自動再生が失敗を示すエラーメッセージが表示されることがあります。
- デバイスの操作中に,そのデバイスの操作を抑止する稼働監視ポリシーが適用された場合,OSのエラーメッセージが表示されることがあります。
- 抑止対象のデバイスをクライアントPCに初めて接続する場合,デバイスドライバーのインストール失敗を示すOSのエラーメッセージが表示されることがあります。
- USBスキャナなどはUSB接続の場合でも,イメージングデバイスと認識される場合があります。
- USB接続の場合でも,USBストレージデバイス,Bluetoothデバイス,またはイメージングデバイスとして認識されないデバイスは,抑止できません。また,抑止対象から除外することもできません。
- Bluetoothデバイスの抑止を設定すると,Bluetoothで接続しているマウスやキーボードなどの使用も抑止されます。
- BluetoothデバイスをPCに接続すると,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\(BluetoothデバイスのハードウェアID)のレジストリが作成されます。
デバイス制御機能では,このレジストリのClassの値が「Bluetooth」「BTW」「BTM」の場合をBluetoothデバイスとして扱います。ハードウェアIDはOSのデバイスマネージャから確認できます。
次のBluetoothデバイスは,抑止できることを確認しています。
メーカー |
型番 |
PLANEX COMMUNICATIONS |
BT-Micro3E1X |
BT-MicroEDR2X |
Logitec |
LBT-UAN03C2BK |
LBT-UAN01C1 |
corega |
CG-BT2USB01CB |
CG-BT2USB02CB |
サンワサプライ |
MM-BTUD26 |
MM-BTUD23 |
BUFFALO |
BSHSBD04BK |
BSHSBD02BK |
I-O DATA |
USB-BT21 |
- DVD RAMに対して,書き込みだけを抑止することはできません。
- 暗号機能付きのUSBストレージデバイスに対して,書き込みだけを抑止する場合,読み込みもできなくなることがあります。
- クライアントPCのOSがWindows Vista以降で書き込みだけを抑止する場合は,[コントロールパネル]の[管理ツール]−[サービス]で「Portable Device Enumerator service」を開始する必要があります。
- 複数のデバイスインスタンスIDを持つデバイスが接続された場合,一つのデバイスに対して抑止状態を示すダイアログが複数回表示されることがあります。
- クライアントPCに抑止対象のデバイスを初めて接続したときに,ドライバのインストールが実施されると,デバイスの接続が抑止されたことを示すダイアログボックスが複数回表示されることがあります。
- USB接続のCD/DVDドライブを抑止した際に,抑止されたCD/DVDドライブのトレーが開く場合があります。
- 抑止対象のデバイスをクライアントに初めて接続する場合,デバイスドライバのインストールができないことがあります。
この場合,デバイスの接続,切断,および接続抑止の履歴が取得されません。また,デバイスの接続が抑止されたことを示す警告ダイアログボックスも表示されません。
- 次に示す条件をすべて満たす場合,USB接続のHDドライブまたはUSB接続のFDドライブへのファイルコピーを実行しているときは,ファイルのコピーが完了するまでUSBストレージデバイスの操作を抑止できません。
- クライアントPCのOSがWindows 7,Windows Server 2008 R2,Windows 8,またはWindows Server 2012の場合
- ファイルコピーの実行中に,USBストレージデバイスの操作を抑止する稼働監視ポリシーが適用された場合
- 特定のUSBストレージデバイスを抑止対象から「接続名」で除外する設定の稼働監視ポリシーを適用した場合,「接続名」で除外したUSBストレージデバイスをクライアントPCに初めて接続したときに,「接続名」が取得できないでデバイスが抑止されることがあります。この場合,再度USBストレージデバイスを接続してください。
- デバイス操作を抑止すると,抑止対象のデバイスはドライブとして認識されなくなるため,そのデバイスのシステム情報が取得できなくなります。
- Windowsの設定で自動再生機能が有効の場合,USB接続のHDドライブおよびUSB接続のFDドライブの操作を抑止できません。これらの操作を抑止するには,自動再生機能を無効にしてください。
- 内蔵SDカードを抑止する場合,次に示すデバイスの操作も抑止されます。
- [コントロールパネル]の[管理ツール]−[コンピュータの管理]の[デバイス マネージャ]からデバイスのプロパティのダイアログボックスを表示して,[詳細]タブの「列挙子」に「RIMMPTSK」が表示されるデバイス
- すでに接続されているデバイスに対して操作を抑止する稼働監視ポリシーを設定した場合,それとは別のデバイスをクライアントPCに接続するときに,抑止対象のデバイスに対する抑止ダイアログが表示されることがあります。
- 操作を抑止する稼働監視ポリシーを有効にするために,クライアントPCを再起動する必要がある場合でも,稼働監視ポリシーを設定した時点で抑止ダイアログが表示されます。
- クライアントPCのOSがWindows Vista以降の場合,一つ以上のデバイスを抑止する稼働監視ポリシーを適用したとき,エラーレベルのイベントログが出力されることがあります。
内蔵CD/DVDを抑止した場合に出力されるイベントログの例を,次に示します。
ソース:Service Control Manager Eventlog Provider
イベントID:7026
次のブート開始ドライバまたはシステム開始ドライバを読み込めませんでした:cdrom
|
なお,Windows 7およびWindows Server 2008 R2の場合,ソースは「Service Control Manager」となります。
- OSがWindows 8またはWindows Server 2012の場合,デバイスの抑止ダイアログは常にデスクトップに表示されます。
- OSがWindows 8またはWindows Server 2012の場合,記憶域プールに割り当てられているUSBストレージ デバイスを抑止することはできません。
オフラインマシンに対してデバイス操作を抑止する場合の注意事項
稼働監視ポリシーを適用する場合や,稼働情報を取得する場合に使用するデバイスに対して,操作を抑止しないでください。該当のデバイスの操作を抑止すると稼働監視ポリシーの適用および稼働情報の取得ができなくなります。
仮想化環境の場合の注意事項
- 仮想化環境にデバイスの操作を抑止する稼働監視ポリシーを適用している場合,デバイスの接続が抑止されたことを示す警告ダイアログボックスは,コンソールセッションに接続しているユーザだけに表示されます。コンソールセッションに接続しているユーザがいない場合,警告ダイアログは表示されません。
- 次に示す条件をすべて満たす場合,ターミナルサーバにデバイスを抑止するセキュリティポリシーを適用していても,リダイレクトされたドライブの操作を抑止できません。
- ターミナルサーバにリモートで接続しているPCに,デバイスの操作を抑止するセキュリティポリシーが適用されていない。
- 1.のPCに接続されたドライブを,ターミナルサーバで使用する設定にしている。
このようなドライブを抑止するには,ターミナルサーバ側でリダイレクトを無効にしてください。ただし,この設定をするとすべてのドライブでリダイレクトが無効になります。Windows Server 2008およびWindows Server 2012でターミナルサーバでリダイレクトを無効にする手順を次に示します。
- Windowsの[ターミナルサービス構成]で,「RDP-Tcp」のプロパティを開く。
- [クライアント設定]タブの「リダイレクト」の[ドライブ]をチェックする。
- Windows Server 2008 R2の場合
- Windowsの[RDセッション ホストの構成]で,「RDP-Tcp」のプロパティを開く。
- [クライアント設定]タブの「リダイレクト」の[ドライブ]をチェックする。
- 「ローカルグループポリシーエディタ」で「コンピュータの構成→管理用テンプレート→Windowsコンポーネント→リモートデスクトップサービス→リモートデスクトップセッションホスト→デバイスとリソースのリダイレクト」を開く。
- 「ドライブのリダイレクトを許可しない」を有効にする。
バージョンが08-50から09-10までのJP1/NETM/DMをバージョン09-12以降にアップグレードする場合の注意事項
バージョンが09-12以降のクライアントに対しては,外部メディアの操作を抑止する稼働監視ポリシーは適用されません。デバイス操作を抑止する稼働監視ポリシーを設定してください。
ただし,次に示す二つの条件に該当する場合,外部メディアの操作を抑止する稼働監視ポリシーが適用されます。
- アップグレード後に編集した稼働監視ポリシーが一度も適用されていない場合
- アップグレード前の外部メディアの操作を抑止する稼働監視ポリシーを編集しないで適用した場合
All Rights Reserved. Copyright (C) 2009, 2013, Hitachi, Ltd.
Copyright, patent, trademark, and other intellectual property rights related to the "TMEng.dll" file are owned exclusively by Trend Micro Incorporated.