2.9.5 禁止操作の抑止
セキュリティポリシーには、コンピュータでの操作を抑止する設定ができます。操作を抑止することで、外部への情報の持ち出しによる情報漏えいを防止できます。
- 印刷の抑止
- 印刷操作を抑止できます。持ち出し禁止の情報を、印刷して持ち出されることを防止できます。
- 印刷の許可パスワードを設定できるので、印刷を許可する利用者だけにパスワードを教えて、印刷の利用を限定することもできます。
注意- インターネット接続のプリンタは抑止できません。ローカルプリンタでFileポートまたはLAN Managerポートを使用する場合も抑止できません。また、Windowsのネットワーク共有プリンタは抑止できない場合があります。
- 印刷機能を利用したPDFファイルへの出力は、利用者のコンピュータに印刷抑止のメッセージが表示されても、PDFファイルが出力されることがあります。
- 機器の操作の抑止
- USBデバイスやCD/DVDドライブの利用を抑止できます。外部メディアを利用して情報が持ち出されることを防止できます。抑止できるのは、次の機器の操作です。
- USBデバイスの読み取りと書き込み
- 内蔵CD/DVDドライブの書き込み
- 内蔵FDドライブの読み取りと書き込み
- IEEE1394接続メディアの読み取りと書き込み
- 内蔵SDカードスロットの読み取りと書き込み
- リムーバブルディスクの読み取りと書き込み
- 抑止対象のUSBデバイスは、デバイスのプロパティの[ハードウェア]タブを表示したときに、[デバイスの機能]に「USB 大容量記憶装置」と表示されます。
- IEEE1394接続メディア、および内蔵SDカードスロットは、OSの[ハードウェアの安全な取り外し]ダイアログでデバイスコンポーネントを表示したときに、次のように表示されます。
- IEEE 1394 SBP2 Drive
- Secure Digital Storage Device
参考- 抑止対象のコンピュータのOSによって、抑止できる項目が異なります。
参考- 機器の操作の抑止は、セキュリティポリシーが割り当てられているコンピュータが再起動したあとで有効になります。コンピュータにセキュリティポリシーが適用されると、再起動を促すバルーンヒントが定期的に表示されます。
警告- JP1/IT Desktop Management以外の、外部メディアの使用を抑止する製品(WindowsのグループポリシーやActive Directoryのポリシー適用など)とは、同時に使用しないでください。同時に使用すると、JP1/IT Desktop Managementでの設定内容が他製品によって変更されたり、他製品での設定内容がJP1/IT Desktop Managementによって変更されたりするおそれがあります。
- ソフトウェアの起動抑止
- ファイル共有ソフトウェアやメッセンジャーソフトウェアなど、情報漏えいにつながるおそれのあるソフトウェアの起動を抑止できます。
- 起動を抑止できるのは、次の拡張子の実行ファイルで起動するソフトウェアです。
- なお、実行ファイル名とフォルダ名を合わせた文字列が260文字以上の場合は、起動を抑止できません。
注意- 起動後すぐに終了するソフトウェアは、起動を抑止する前にプログラムが終了するおそれがあるため、起動を抑止できないことがあります。
警告- OSやJP1/IT Desktop Managementの動作に関係する実行ファイルは、起動を抑止しないでください。起動を抑止すると、OSやJP1/IT Desktop Managementが正しく動作しなくなるおそれがあります。
- この項の構成
- (1) 抑止対象となる外部メディア
- (2) 使用を許可できるUSBデバイスの種類
- (3) 禁止操作の抑止時の注意事項
- (4) ソフトウェアの起動抑止の注意事項
- (5) 印刷の抑止の注意事項
- (6) 外部メディアの抑止の注意事項
(1) 抑止対象となる外部メディア
セキュリティポリシーの禁止操作の設定では、エージェント導入済みのコンピュータでのUSBデバイス、CD/DVD ドライブなどの利用を抑止できます。抑止項目、コンピュータのOSごとの抑止の可否、および抑止の対象を次の表に示します。
- Windows 7、Windows Server 2008、Windows Vista
抑止項目 | Windows 7 | Windows Server 2008 | Windows Vista | 抑止の対象※1 |
---|
USBデバイスの読み取りと書き込み※2 | ○ | ○ | ○ | 次の手順で対象のデバイスを確認してください。
- [スタート]メニューから[デバイスとプリンター]を選択します。
- 表示されるダイアログで、デバイスのアイコンを右クリックして[プロパティ]を選択します。
表示されるダイアログの[ハードウェア]タブの[デバイスの機能]に「USB 大容量記憶装置」と表示されるデバイスが対象となります。 |
CD/DVDドライブの書き込み | △ | △ ※4 | △ | [デバイス マネージャー]の[デバイス(種類別)]で、[DVD/CD-ROM ドライブ]の配下に表示されるドライブが対象となります。 また、内蔵とUSB接続の両方が対象になります。 |
FDドライブの読み取りと書き込み | △ | △ ※4 | △ | [デバイス マネージャー]の[デバイス(種類別)]で、[フロッピー ディスク ドライブ]の配下に表示されるドライブが対象となります。 また、内蔵とUSB接続の両方が対象になります。 |
リムーバブルディスクの読み取りと書き込み※3 | △ | △ ※4 | △ | エクスプローラ上でドライブの種類が「リムーバブルディスク」として表示されるドライブ、 およびUSB接続でドライブの種類が「ローカルディスク」として表示されるドライブが対象となります。 また、内蔵とUSB接続の両方が対象になります。 |
- (凡例)○:抑止できる(抑止のイベントが送信される、抑止のメッセージが表示される) △:抑止できる(抑止のイベントが送信されない、抑止のメッセージが表示されない)
- 注※1 OSの設定などによって、表示される項目が異なる場合があります。
- 注※2 USBデバイスを抑止する場合でも、登録済みのUSBデバイスだけ使用を許可する運用ができます。
- 注※3 ここでのリムーバブルディスクとは、内蔵SDカード、USB接続のSDカードなどのデバイスを指します。
- 注※4 機器に依存して、抑止できない場合があります。
参考- リムーバブルディスクを抑止している場合、USB接続のリムーバブルディスクをハードウェア資産として登録しても、使用は許可できません。
参考- Windows 7、Windows Server 2008、およびWindows Vistaの場合、USBデバイスまたはリムーバブルディスクのどちらか一方だけ抑止設定ができます。このため、抑止対象としたいデバイスがどのようにOS に認識されるか検証してから、抑止設定をすることをお勧めします。
- Windows Server 2003、Windows XP、Windows 2000
抑止項目 | Windows Server 2003 | Windows XP | Windows 2000 | 抑止の対象※1 |
---|
USBデバイス | 読み取りと書き込み※2 | ○ | ○ | ○ | [ハードウェアの安全な取り外し]ダイアログで、[デバイスコンポーネントを表示する]をチェックしたときに「USB大容量記憶装置デバイス」と表示されるドライブが対象となります。 |
書き込み | × ※3 | △ | × ※3 |
内蔵CD/DVDドライブの書き込み※4 | △ | △ | × | CD/DVDドライブのプロパティで[書き込み]タブが表示されるデバイスが対象となります。 |
内蔵FDドライブの読み取りと書き込み※4 | △ | △ | △ | [マイコンピュータ]で、[リムーバブル記憶域があるデバイス]に表示されるデバイスが対象となります。 |
IEEE1394接続メディアの読み取りと書き込み | △ | △ | △ | [ハードウェアの安全な取り外し]ダイアログで、[デバイス コンポーネントを表示する]を チェックしたときに「IEEE 1394 SBP2 Device」と表示されるドライブが対象となります。 |
内蔵SDカードスロットの読み取りと書き込み※4 | × | △ | × | [ハードウェアの安全な取り外し]ダイアログで、[デバイス コンポーネントを表示する]をチェックしたときに「Secure Digital Storage Device」と表示されるドライブが対象となります。 |
- (凡例)○:抑止できる(抑止イベントの送信、抑止メッセージの表示ができる) △:抑止できる(抑止イベントの送信、抑止メッセージの表示ができない) ×:抑止できない
- 注※1 OSの設定などによって、表示される項目が異なる場合があります。
- 注※2 USBデバイスを抑止する場合でも、登録済みのUSBデバイスだけ使用を許可する運用ができます。
- 注※3 USBデバイスの書き込みを抑止した場合、読み取りと書き込みが抑止されます。
- 注※4 「内蔵」とは、各種メディアのスロットがコンピュータに内蔵されているタイプのものを指します。コンピュータの本体の中で、スロット装置がUSB接続されているタイプもありますが、その場合は「内蔵」に該当しません。
なお、抑止の対象となるUSBデバイスは、USB接続でデータを記録できるデバイスです。 USB接続でデータを記録できるデバイスは、次に示すデバイスセットアップクラスを持つデバイスです。
デバイスセットアップクラス | ClassGuid |
---|
CD-ROM | {4d36e965-e325-11ce-bfc1-08002be10318} |
Disk Drive | {4d36e967-e325-11ce-bfc1-08002be10318} |
Floppy Disk | {4d36e980-e325-11ce-bfc1-08002be10318} |
参考- デバイスセットアップクラスのClassGuidについては、デバイスの開発元に確認してください。
関連リンク
(2) 使用を許可できるUSBデバイスの種類
セキュリティポリシーの禁止操作の設定でUSBデバイスの使用を抑止している場合に、ハードウェア資産として登録されたUSBデバイスだけ使用を許可するように設定できます。
参考- 使用を許可できるUSBデバイスの種類は、USBストレージデバイスだけです。次の手順で対象のUSBデバイスを確認してください。
- [スタート]メニューから[デバイスとプリンター]を選択します。
- 表示されるダイアログで、デバイスのアイコンを右クリックして[プロパティ]を選択します。
- 表示されるダイアログの[ハードウェア]タブの[デバイスの機能]に「USB 大容量記憶装置」と表示されるUSBデバイスが対象となります。
参考- USBデバイスの識別には、USB登録時に取得されるデバイスインスタンスIDが利用されます。デバイスインスタンスIDとは、USBデバイスに設定されたIDです。USBデバイスには、個別に識別できるユニークなIDを持つデバイスと、接続するポートや環境によってIDが変化するデバイスがあります。
利用を許可できるUSBデバイスには、次の2種類があります。
- 個別に許可できるUSBデバイス
- ユニークなデバイスインスタンスIDを持つUSBデバイスは、各デバイスを個別に使用許可できます。
- なお、ユニークなIDを持つUSBデバイスは、Windowsの[デバイス マネージャー]でデバイスのプロパティの[詳細]タブを表示し、プルダウンメニューで[機能]を選択したときに「CM_DEVCAP_UNIQUEID」と表示されます。
- 製品単位で許可できるUSBデバイス
- 接続するポートや環境によってデバイスインスタンスIDが変化するUSBデバイスは、製品単位でデバイスを登録して許可を設定できます。例えば、同じメーカーの同じUSBメモリを複数所持している場合、そのUSBメモリのデバイスインスタンスIDがユニークでないときは、一つのデバイスを登録すれば同一製品の使用がすべて許可されます。
- デバイスインスタンスIDが変化するデバイスの場合、IDの一部を利用してUSBデバイスが識別されます。USBデバイス登録時にデバイスインスタンスIDを指定し、登録したデバイスインスタンスIDと前方一致したUSBデバイスが、同一製品と見なされます。なお、製品単位で許可するUSBデバイスの場合、USBデバイスの登録時にメッセージが表示されます。
![[図]](graphics/zu070022.gif)
注意- 使用を許可するUSBデバイスは、エージェント導入済みのコンピュータから登録します。なお、資産画面の[ハードウェア資産]画面でもUSBデバイスの資産情報を直接登録できますが、この方法で登録しても利用は許可されません。
注意- 製品単位で許可するUSBデバイスを登録すると、同じ製品の異なるデバイスを登録しても同じハードウェア資産として扱われます。このため、セキュリティポリシーでUSBデバイスの使用抑止を設定している場合、製品単位でUSBデバイスの使用が許可されます。
注意- コンピュータとの接続方法(接続インターフェースや接続モード)が複数あるデバイスの場合、コンピュータとの接続方法によっては、そのデバイスの認識結果が異なることがあります。
注意- 複数のデバイスを経由して接続するUSBデバイスの使用を許可するためには、経由するすべてのデバイスの使用を許可してください。
注意- デバイスインスタンスIDが付与されていないデバイスをコンピュータに接続した場合、OSによって不特定のデバイスインスタンスIDが生成されます。このようなデバイスは、デバイスを接続するコンピュータまたは接続ポートごとにデバイスインスタンスIDが変化するため、使用を許可できないおそれがあります。
参考- エージェントをインストールしているコンピュータに、登録済みの個別に認識されるUSBデバイスを接続すると、USBデバイスに格納されているファイルの情報が収集されます。収集された情報は、資産画面の[ハードウェア資産]画面の[格納ファイル一覧]タブに表示されます。なお、[格納ファイル一覧]タブは[機器種別]が「USBデバイス」の場合だけ表示されます。なお、製品単位で認識されるUSBデバイスの場合、ファイルの情報は収集されません。
(3) 禁止操作の抑止時の注意事項
セキュリティポリシーに禁止操作のポリシーを設定する場合に、抑止を設定できる対象ごとの注意事項を説明します。
関連リンク
(4) ソフトウェアの起動抑止の注意事項
(5) 印刷の抑止の注意事項
- 各プリンタのプロパティで、すべてのログオンユーザーに[印刷]と[ドキュメントの管理]が許可されている必要があります。
- ネットワーク共有プリンタの場合、プリンタサーバとなる機器で、印刷操作を行った機器の名前解決ができる必要があります。
- ネットワーク共有プリンタの場合、プリンタサーバとなる機器で、プリンタの[プロパティ]ダイアログの[セキュリティ]タブで「ドキュメントの管理」が許可されている必要があります。
- ネットワーク共有プリンタ、またはほかのコンピュータに接続されたプリンタの場合、 コントロールパネルの[Windows ファイアウォール]-[Windows ファイアウォールによるプログラムの許可]-[例外]タブで「ファイルとプリンタの共有」が許可されている必要があります。
- ネットワーク共有プリンタ、またはほかのコンピュータに接続されたプリンタの場合、抑止対象のコンピュータでWin32_PrintJobクラスがサポートされたWMI が起動している必要があります。
- 秘文で印刷抑止している場合は、JP1/IT Desktop Managementでは印刷抑止できません。
- ネットワークプリンタを使用している環境で、プリンタサーバとコンピュータの両方で印刷抑止されている場合、コンピュータの印刷抑止だけを解除しても印刷はできません。なお、この場合、コンピュータで印刷操作の操作ログが取得されます。
- プリンタドライバのインストール時にテスト印刷した場合、印刷抑止できないことがあります。
- OSにログオンした直後に印刷した場合、印刷抑止できないことがあります。
- プリントサーバのOSがWindows Vistaの場合、ネットワーク共有プリンタ、またはほかのコンピュータに接続されたプリンタは印刷抑止できません。
(6) 外部メディアの抑止の注意事項
- JP1/IT Desktop Managementでは、Windowsの規定に従ってデバイスを制御します。そのため、Windowsの規定に準拠しないデバイスは制御できません。対象のデバイスが制御できるかどうか、あらかじめ検証することをお勧めします。なお、デバイスの仕様については製造元のメーカーにお問い合わせください。
- デバイスを接続したコンピュータのOSによっては、デバイスが認識されないことがあります。そのため、使用するOSごとに正しく制御できるかどうか、あらかじめ検証することをお勧めします。
- Windowsがデバイスをどのように認識するかは、デバイスの形状や製品名だけでは判断できません。Windowsの[デバイス マネージャー]のプロパティを確認してください。
- 次に示す条件をすべて満たす場合、USB接続のハードディスクまたはUSB接続のFDドライブへのファイルコピーを実行しているときは、ファイルコピーが完了するまでUSBデバイスの操作は抑止できません。
- クライアントのOSがWindows 7またはWindows Server 2008 R2である
- ファイルコピーの実行中に、USBデバイスを抑止するセキュリティポリシーが適用される
- デバイスのプロパティの[ハードウェア]タブで、[デバイスの機能]に「USB 大容量記憶装置」と表示されないUSBデバイスが抑止されることがあります。その場合は、コンピュータを抑止対象外とするか、抑止されたUSBデバイスを登録して利用を許可するように設定してください。
- [ハードウェアの安全な取り外し]アイコンの実行、または[デバイス マネージャー]でUSBデバイスを右クリックして[削除]を実行した場合、機器の操作を抑止できない場合があります。
- Windowsの設定で、CDおよびDVDの自動再生機能が無効に設定されていると、USBデバイスの書き込みだけを抑止する場合に、USB 接続のCD/DVDドライブへの書き込みが抑止されないことがあります。
- コンピュータのOSがWindows 7、Windows Server 2008、またはWindows Vistaの場合、USBデバイスの抑止で、セキュリティポリシーの[登録済みのUSBデバイスは使用を許可する]をチェックするときは、IEEE 1394接続メディアおよび内蔵SDカードスロットは抑止しないでください。抑止する設定をすると、[登録済みのUSBデバイスは使用を許可する]の設定が無効になり、すべてのUSBデバイスに対して、書き込みと読み出しが抑止されます。
- コンピュータのOSがWindows 2000の場合、セキュリティポリシーの[登録済みのUSBデバイスは使用を許可する]をチェックしていると、USB接続のFDドライブの操作が抑止できません。このUSBデバイスの操作を抑止する場合は、このチェックを外してください。
- コンピュータのOSがWindows 2000の場合、セキュリティポリシーの[登録済みのUSBデバイスは使用を許可する]をチェックしていると、システムにログインする前から接続されているUSB接続のFDドライブおよびUSB接続のハードディスクを抑止できません。これらのUSBデバイスを抑止したい場合は、このチェックを外してください。
- コンピュータのOSがWindows 7、Windows Server 2008、またはWindows Vistaの場合、セキュリティポリシーの[登録済みのUSBデバイスは使用を許可する]をチェックして、かつWindowsの設定で自動再生機能を有効にしていると、USB接続のFDドライブおよびUSB接続のハードディスクの操作が抑止できません。これらのUSBデバイスの操作を抑止する場合は、チェックをオフにするか、または自動再生機能を無効にしてください。
- コンピュータのOSがWindows Server 2003、Windows XP、またはWindows 2000 の場合、内蔵FDドライブの操作を抑止すると、ドライブ自体が存在しない状態となります。そのため、内蔵FDドライブの操作を抑止しているコンピュータからは、内蔵FDドライブの機器情報は取得できません。
- USB接続リンクケーブルの使用を抑止する場合、OSに認識されるUSBデバイスの種別に応じて、操作の抑止を設定してください。ただし、デバイスによってはUSB接続リンクケーブルの使用を抑止できない場合があります。
- 抑止対象のUSBデバイスをコンピュータに接続した場合、USBデバイスの自動再生機能が有効に設定されていても、自動再生が失敗しエラーメッセージが表示されることがあります。
- 抑止対象のUSBデバイスを機器に接続した場合、USBデバイスの自動再生機能が有効になっていると、自動再生が失敗することがあります。
- USB 接続メディアを抑止した場合、操作ログを取得する設定にしていても、 USB 接続メディア内のファイルの操作について操作ログを取得できない場合があります。
- 次の場合、OSのエラーメッセージが表示されることがあります。
- コンピュータのOSがWindows 2000でデバイスドライバがインストールされていない状態で、抑止対象のUSBデバイスが接続された場合
- USBデバイスの操作中に、そのUSBデバイスの操作を抑止するセキュリティポリシーが適用された場合
- 内蔵SDカードスロットを抑止をする場合、セキュリティポリシーを適用したあとでコンピュータを再起動すると有効になります。
- DVDドライブやカードリーダーなどのデバイスで、抑止時にメディアが挿入されていない場合、抑止ログにドライブ種別とドライブ名は取得されません。
- コンピュータのOSがWindows Server 2003またはWindows XPの場合、CD/DVDドライブの[プロパティ]の[書き込み]タブにある[このドライブで CD 書き込みを有効にする]のチェックを外すと、内蔵CD/DVDへの書き込みは抑止できません。なお、DVD-RAMに書き込む場合は、[このドライブでCD書き込みを有効にする]のチェックを外す必要があるため、書き込みを抑止できません。
- 抑止を設定したセキュリティポリシーを適用する前から接続されていたデバイスは抑止されません。この場合、デバイスを一度取り外し、再度接続することで抑止が有効になります。
- コンピュータのOSがWindows Server 2008、Windows 7、Windows Vistaの場合、セキュリティポリシーに外部メディアの抑止を設定したときは、コンピュータを再起動したあとで抑止が有効になります。
- 他製品による外部メディアの抑止機能とは同時に使用できません(Windows のグループポリシー、Active Directory のポリシー適用など)。他製品と同時に機器の操作を抑止した場合、それぞれの製品での設定が正しく実行されないおそれがあります。
- 外部メディアの抑止は、抑止を実行するサービスを停止しても解除されません。外部メディアの抑止を解除するには、セキュリティポリシーで抑止を解除するか、エージェントをアンインストールする必要があります。
- 外部メディアの抑止がActive Directoryや利用者の操作によって解除された場合、コンピュータでのサービス再起動時に再度外部メディアの抑止が設定されます。
- 外部メディアをいったん抑止したあとで抑止を解除した場合、各コンピュータでデバイスドライバを再インストールするなどして、デバイスドライバが正常に動作する状態にする必要があります。
- USB デバイスの読み取りと書き込みを抑止している場合、コンピュータ上で[USB デバイスの登録]ダイアログが表示されている間は、そのコンピュータで一時的にUSBデバイスの抑止機能が無効になります。