2.9.5 禁止操作の抑止
セキュリティポリシーには、コンピュータでの操作を抑止する設定ができます。操作を抑止することで、外部への情報の持ち出しによる情報漏えいを防止できます。
- 印刷の抑止
-
印刷操作を抑止できます。持ち出し禁止の情報を、印刷して持ち出されることを防止できます。
印刷の許可パスワードを設定できるので、印刷を許可する利用者だけにパスワードを教えて、印刷の利用を限定することもできます。
- 注意事項
-
インターネット接続のプリンタは抑止できません。ローカルプリンタでFileポートまたはLAN Managerポートを使用する場合も抑止できません。また、Windowsのネットワーク共有プリンタは抑止できない場合があります。
印刷機能を利用したPDFファイルへの出力は、利用者のコンピュータに印刷抑止のメッセージが表示されても、PDFファイルが出力されることがあります。
- 機器の操作の抑止
-
USBデバイスやCD/DVDドライブの利用を抑止できます。外部メディアを利用して情報が持ち出されることを防止できます。抑止できるのは、次の機器の操作です。
-
USBデバイスの読み取りと書き込み
-
内蔵CD/DVDドライブの書き込み
-
CD/DVDドライブの書き込み
-
内蔵FDドライブの読み取りと書き込み
-
FDドライブの書き込み、および読み取りと書き込み
-
IEEE1394接続メディアの読み取りと書き込み
-
内蔵SDカードスロットの読み取りと書き込み
-
リムーバブルディスクの書き込み、および読み取りと書き込み
抑止対象のUSBデバイスは、デバイスのプロパティの[ハードウェア]タブを表示したときに、[デバイスの機能]に「USB 大容量記憶装置」と表示されます。
IEEE1394接続メディア、および内蔵SDカードスロットは、OSの[ハードウェアの安全な取り外し]ダイアログでデバイスコンポーネントを表示したときに、次のように表示されます。
-
IEEE 1394 SBP2 Drive
-
Secure Digital Storage Device
- ポイント
-
抑止対象のコンピュータのOSによって、抑止できる項目が異なります。
- ポイント
-
機器の操作の抑止は、セキュリティポリシーが割り当てられているコンピュータが再起動したあとで有効になります。コンピュータにセキュリティポリシーが適用されると、再起動を促すバルーンヒントが定期的に表示されます。バルーンヒントの表示は、エージェント設定の[エージェント基本動作]の設定に従います。
- 注意事項
-
JP1/IT Desktop Management以外の、外部メディアの使用を抑止する製品(WindowsのグループポリシーやActive Directoryのポリシー適用など)とは、同時に使用しないでください。同時に使用すると、JP1/IT Desktop Managementでの設定内容が他製品によって変更されたり、他製品での設定内容がJP1/IT Desktop Managementによって変更されたりするおそれがあります。
-
- ソフトウェアの起動抑止
-
ファイル共有ソフトウェアやメッセンジャーソフトウェアなど、情報漏えいにつながるおそれのあるソフトウェアの起動を抑止できます。
起動を抑止できるのは、次の拡張子の実行ファイルで起動するソフトウェアです。
-
exe
-
com
-
scr
なお、実行ファイル名とフォルダ名を合わせた文字列が260文字以上の場合は、起動を抑止できません。
- 注意事項
-
起動後すぐに終了するソフトウェアは、起動を抑止する前にプログラムが終了するおそれがあるため、起動を抑止できないことがあります。
- 注意事項
-
OSやJP1/IT Desktop Managementの動作に関係する実行ファイルは、起動を抑止しないでください。起動を抑止すると、OSやJP1/IT Desktop Managementが正しく動作しなくなるおそれがあります。
-
- 注意事項
-
エージェントを導入したコンピュータで、次の2つの条件を満たした場合、プリンタの状況によってはプリンタサーバやネットワークに負荷が掛かり、パフォーマンスが低下することがあります。このため、次の1.の条件に合致しないセキュリティポリシーをエージェントに適用するか、エージェントを導入したコンピュータに登録されているネットワーク共有プリンタのうち、使用しないプリンタが登録されている場合は、そのプリンタを削除してください。
-
エージェントに割り当てられているセキュリティポリシーが次のどちらかに合致する。
・操作ログの取得項目の[ファイル操作/印刷操作]の[印刷]が有効。
・禁止操作の[印刷抑止]が有効。
-
エージェントを導入したコンピュータ上にネットワーク共有プリンタがインストールされている。
-
- 〈この項の構成〉
(1) 抑止対象となる外部メディア
セキュリティポリシーの禁止操作の設定では、エージェント導入済みのコンピュータでのUSBデバイス、CD/DVD ドライブなどの利用を抑止できます。抑止項目、コンピュータのOSごとの抑止の可否、および抑止の対象を次の表に示します。
Windows 8、Windows Server 2012、Windows 7、Windows Server 2008、Windows Vista
|
抑止項目 |
Windows 8 |
Windows Server 2012 |
Windows 7 |
Windows Server 2008 |
Windows Vista |
抑止の対象※1 |
||
|---|---|---|---|---|---|---|---|---|
|
エディションなし |
Pro、Enterprise |
|||||||
|
USBデバイスの読み取りと書き込み※2、※3、※4 |
○ |
○ |
○ |
○ |
○ |
○ |
次の手順で対象のデバイスを確認してください。
表示されるダイアログの[ハードウェア]タブの[デバイスの機能]に「USB 大容量記憶装置」と表示されるデバイスが対象となります。 |
|
|
CD/DVDドライブの書き込み※5、※6 |
× |
△ |
△ |
△ |
△ ※7 |
△ |
[デバイス マネージャー]の[デバイス(種類別)]で、[DVD/CD-ROM ドライブ]の配下に表示されるドライブが対象となります。 また、内蔵とUSB接続の両方が対象になります。 |
|
|
FDドライブ※6、※8 |
書き込み※9 |
× |
△ |
△ |
△ |
△ ※7 |
△ |
[デバイス マネージャー]の[デバイス(種類別)]で、[フロッピー ディスク ドライブ]の配下に表示されるドライブが対象となります。 また、内蔵とUSB接続の両方が対象になります。 |
|
読み取りと書き込み |
× |
△ |
△ |
△ |
△ ※7 |
△ |
||
|
リムーバブルディスク※4、※6、※10 |
書き込み※9 |
× |
△ |
△ |
△ |
△ ※7 |
△ |
エクスプローラ上でドライブの種類が「リムーバブルディスク」として表示されるドライブ、 およびUSB接続でドライブの種類が「ローカルディスク」として表示されるドライブが対象となります。 また、内蔵とUSB接続の両方が対象になります。 |
|
読み取りと書き込み |
× |
△ |
△ |
△ |
△ ※7 |
△ |
||
(凡例)○:抑止できる(抑止イベントの送信、抑止メッセージの表示ができる) △:抑止できる(抑止イベントの送信、抑止メッセージの表示ができない) ×:抑止できない
注※1 OSの設定などによって、表示される項目が異なる場合があります。
注※2 USBデバイスを抑止する場合でも、登録済みのUSBデバイスだけ使用を許可する運用ができます。
注※3 ここでのUSBデバイスとは、USB接続のハードディスク、USB接続のCD/DVDドライブ、USB接続のFDドライブ、USB接続のフラッシュメモリ(USBメモリ、USB接続のCFカード、SDカード、メモリスティックなど)のデバイスを指します。
注※4 コンピュータのOSがWindows 8またはWindows Server 2012の場合で、USBデバイスが記憶域プールに割り当てられているときは、抑止されません。
注※5 ここでのCD/DVDドライブとは、USB接続のCD/DVDドライブ、内蔵CD/DVDドライブ、IEEE1394接続のCD/DVDドライブのデバイスを指します。
注※6 USBデバイスの読み取りと書き込みを抑止した状態で、CD/DVDドライブ、FDドライブ、リムーバブルディスクの各デバイスの抑止設定を有効にしたとき、接続機器の登録状況によって有効になる抑止項目とJP1/IT Desktop Managementの動作が異なります。詳細を次の表に示します。
- USB接続のCD/DVDドライブを接続した場合の動作
-
接続機器(USBデバイス)の登録状況
CD/DVDドライブの抑止項目
JP1/IT Desktop Managementの動作
未登録
書き込み
読み取りと書き込み抑止(抑止イベントを送信、抑止メッセージを表示する)
登録済み
書き込み抑止
- USB接続のリムーバブルディスクまたはUSB接続のFDドライブを接続した場合の動作
-
接続機器(USBデバイス)の登録状況
FDドライブ、またはリムーバブルディスクの抑止項目
JP1/IT Desktop Managementの動作
未登録
書き込み
読み取りと書き込み抑止(抑止イベントを送信、抑止メッセージを表示する)
読み取りと書き込み
登録済み
書き込み
書き込み抑止
読み取りと書き込み
読み取りと書き込み抑止(抑止イベントを送信、抑止メッセージを表示しない)
注※7 機器に依存して、抑止できない場合があります。
注※8 ここでのFDドライブとは、USB接続のFDドライブ、内蔵FDドライブ、IEEE1394接続のFDドライブのデバイスを指します。
注※9 この項目を有効にしたポリシーを09-51以前のエージェントに適用した場合、FDドライブおよびリムーバブルディスクへの書き込みは抑止されません。
注※10 ここでのリムーバブルディスクとは、次のデバイスを指します。
-
USB接続のハードディスク
-
USB接続のフラッシュメモリ(USBメモリ、USB接続のコンパクトフラッシュ、SDカード、メモリスティックなど)
-
内蔵SDカード
-
IEEE1394接続のハードディスク
-
IEEE1394接続のフラッシュメモリ(USBメモリ、USB接続のコンパクトフラッシュ、SDカード、メモリスティックなど)
- ポイント
-
リムーバブルディスクを抑止している場合、USB接続のリムーバブルディスクをハードウェア資産として登録しても、使用は許可できません。
- ポイント
-
接続インターフェースの違いに関係なく外部メディアを抑止したい場合は、CD/DVDドライブ、FDドライブ、またはリムーバブルディスクの抑止を指定してください。
Windows Server 2003、Windows XP、Windows 2000
|
抑止項目 |
Windows Server 2003 |
Windows XP |
Windows 2000 |
抑止の対象※1 |
|
|---|---|---|---|---|---|
|
USBデバイス※2 |
読み取りと書き込み※3 |
○ |
○ |
○ |
[ハードウェアの安全な取り外し]ダイアログで、[デバイスコンポーネントを表示する]をチェックしたときに「USB大容量記憶装置デバイス」と表示されるドライブが対象となります。 |
|
書き込み |
× ※4 |
△ |
× ※4 |
||
|
内蔵CD/DVDドライブの書き込み※5 |
△ |
△ |
× |
CD/DVDドライブのプロパティで[書き込み]タブが表示されるデバイスが対象となります。 |
|
|
内蔵FDドライブの読み取りと書き込み※5 |
△ |
△ |
△ |
[マイコンピュータ]で、[リムーバブル記憶域があるデバイス]に表示されるデバイスが対象となります。 |
|
|
IEEE1394接続メディアの読み取りと書き込み※6 |
△ |
△ |
△ |
[ハードウェアの安全な取り外し]ダイアログで、[デバイス コンポーネントを表示する]を チェックしたときに「IEEE 1394 SBP2 Device」と表示されるドライブが対象となります。 |
|
|
内蔵SDカードスロットの読み取りと書き込み※5 |
× |
△ |
× |
[ハードウェアの安全な取り外し]ダイアログで、[デバイス コンポーネントを表示する]をチェックしたときに「Secure Digital Storage Device」と表示されるドライブが対象となります。 |
|
(凡例)○:抑止できる(抑止イベントの送信、抑止メッセージの表示ができる) △:抑止できる(抑止イベントの送信、抑止メッセージの表示ができない) ×:抑止できない
注※1 OSの設定などによって、表示される項目が異なる場合があります。
注※2 ここでのUSBデバイスとは、USB接続のハードディスク、USB接続のCD/DVDドライブ、USB接続のFDドライブ、USB接続のフラッシュメモリ(USBメモリ、USB接続のCFカード、SDカード、メモリスティックなど)のデバイスを指します。
なお、抑止の対象となるUSBデバイスは、USB接続でデータを記録できるデバイスです。 USB接続でデータを記録できるデバイスは、次に示すデバイスセットアップクラスを持つデバイスです。
|
デバイスセットアップクラス |
ClassGuid |
|---|---|
|
CD-ROM |
{4d36e965-e325-11ce-bfc1-08002be10318} |
|
Disk Drive |
{4d36e967-e325-11ce-bfc1-08002be10318} |
|
Floppy Disk |
{4d36e980-e325-11ce-bfc1-08002be10318} |
注※3 USBデバイスを抑止する場合でも、登録済みのUSBデバイスだけ使用を許可する運用ができます。
注※4 USBデバイスの書き込みを抑止した場合、読み取りと書き込みが抑止されます。
注※5 「内蔵」とは、各種メディアのスロットがコンピュータに内蔵されているタイプのものを指します。コンピュータの本体の中で、スロット装置がUSB接続されているタイプもありますが、その場合は「内蔵」に該当しません。
注※6 ここでのIEEE1394接続メディアとは、IEEE1394接続のハードディスク、IEEE1394接続のフラッシュメモリ(USBメモリ、USB接続のCFカード、SDカード、メモリスティックなど)のデバイスを指します。
- ポイント
-
デバイスセットアップクラスのClassGuidについては、デバイスの開発元に確認してください。
関連リンク
(2) 使用を許可できるUSBデバイスの種類
セキュリティポリシーの禁止操作の設定でUSBデバイスの使用を抑止している場合に、ハードウェア資産として登録されたUSBデバイスだけ使用を許可するように設定できます。
- ポイント
-
使用を許可できるUSBデバイスの種類は、USBストレージデバイスだけです。次の手順で対象のUSBデバイスを確認してください。
-
[スタート]メニューから[デバイスとプリンター]を選択します。
-
表示されるダイアログで、デバイスのアイコンを右クリックして[プロパティ]を選択します。
表示されるダイアログの[ハードウェア]タブの[デバイスの機能]に「USB 大容量記憶装置」と表示されるUSBデバイス※が対象となります。
-
注※ コンピュータのOSがWindows 8またはWindows Server 2012の場合で、USBデバイスが記憶域プールに割り当てられているときは、「USB 大容量記憶装置」と表示されていても対象外となります。
- ポイント
-
USBデバイスの識別には、USB登録時に取得されるデバイスインスタンスIDが利用されます。デバイスインスタンスIDとは、USBデバイスに設定されたIDです。USBデバイスには、個別に識別できるユニークなIDを持つデバイスと、接続するポートや環境によってIDが変化するデバイスがあります。
利用を許可できるUSBデバイスには、次の2種類があります。
- 個別に許可できるUSBデバイス
-
ユニークなデバイスインスタンスIDを持つUSBデバイスは、各デバイスを個別に使用許可できます。
なお、ユニークなIDを持つUSBデバイスは、Windowsの[デバイス マネージャー]でデバイスのプロパティの[詳細]タブを表示し、プルダウンメニューで[機能]を選択したときに「CM_DEVCAP_UNIQUEID」と表示されます。
- 製品単位で許可できるUSBデバイス
-
接続するポートや環境によってデバイスインスタンスIDが変化するUSBデバイスは、製品単位でデバイスを登録して許可を設定できます。例えば、同じメーカーの同じUSBメモリを複数所持している場合、そのUSBメモリのデバイスインスタンスIDがユニークでないときは、1つのデバイスを登録すれば同一製品の使用がすべて許可されます。
デバイスインスタンスIDが変化するデバイスの場合、IDの一部を利用してUSBデバイスが識別されます。USBデバイス登録時にデバイスインスタンスIDを指定し、登録したデバイスインスタンスIDと前方一致したUSBデバイスが、同一製品と見なされます。なお、製品単位で許可するUSBデバイスの場合、USBデバイスの登録時にメッセージが表示されます。
![[図データ]](GRAPHICS/ZU070022.GIF)
- 注意事項
-
使用を許可するUSBデバイスは、オンライン管理のコンピュータから登録します。なお、資産画面の[ハードウェア資産]画面でもUSBデバイスの資産情報を直接登録できますが、この方法で登録しても利用は許可されません。
- 注意事項
-
製品単位で許可するUSBデバイスを登録すると、同じ製品の異なるデバイスを登録しても同じハードウェア資産として扱われます。このため、セキュリティポリシーでUSBデバイスの使用抑止を設定している場合、製品単位でUSBデバイスの使用が許可されます。
- 注意事項
-
コンピュータとの接続方法(接続インターフェースや接続モード)が複数あるデバイスの場合、コンピュータとの接続方法によっては、そのデバイスの認識結果が異なることがあります。
- 注意事項
-
複数のデバイスを経由して接続するUSBデバイスの使用を許可するためには、経由するすべてのデバイスの使用を許可してください。
- 注意事項
-
デバイスインスタンスIDが付与されていないデバイスをコンピュータに接続した場合、OSによって不特定のデバイスインスタンスIDが生成されます。このようなデバイスは、デバイスを接続するコンピュータまたは接続ポートごとにデバイスインスタンスIDが変化するため、使用を許可できないおそれがあります。
- ポイント
-
オンライン管理のコンピュータに、登録済みの個別に認識されるUSBデバイスを接続すると、USBデバイスに格納されているファイルの情報が収集されます。収集された情報は、資産画面の[ハードウェア資産]画面の[格納ファイル一覧]タブに表示されます。なお、[格納ファイル一覧]タブは[機器種別]が「USBデバイス」の場合だけ表示されます。ただし、製品単位で認識されるUSBデバイスの場合、およびコンピュータのOSがWindows 8またはWindows Server 2012の場合で、USBデバイスが記憶域プールに割り当てられているときは、ファイルの情報は収集されません。
(4) ソフトウェアの起動抑止の注意事項
-
抑止するソフトウェアは、ファイル名とフォルダ名を合わせた文字列の長さを260文字未満にしてください。
-
起動後すぐに終了するソフトウェアは、エージェントが起動を抑止する前にプログラムが終了してしまうことがあるため、起動抑止できない場合があります。
-
JP1/IT Desktop Managementとそれ以外のプログラムとで同じソフトウェアを起動抑止した場合、JP1/IT Desktop Managementでは正しく起動抑止できないことがあります。
-
許可時間帯に抑止対象のプログラムを起動したあとで機器のシステムの時刻を変更した場合、許可時間帯を過ぎても抑止できないことがあります。
-
Windowsのエクスプローラに表示される[正式ファイル名]または[元のファイル名]が、起動抑止するソフトウェアの[ファイル名]に設定したファイル名と一致する場合でも、ソフトウェアの実行ファイルのバージョン情報が破損または矛盾しているときは、起動抑止できないことがあります。
-
ソフトウェアの起動抑止が短時間に繰り返し実施されると、OSが次に示すメッセージを表示する場合があります。この場合、利用者はメッセージに従ってソフトウェアを終了してから、OSを再起動する必要があります。
「アプリケーションを正しく初期化できませんでした。(0xc0000142)[OK] をクリックしてアプリケーションを終了してください。」
(5) 印刷の抑止の注意事項
-
各プリンタのプロパティで、すべてのログオンユーザーに[印刷]と[ドキュメントの管理]が許可されている必要があります。
-
ネットワーク共有プリンタの場合、プリンタサーバとなる機器で、印刷操作を行った機器の名前解決ができる必要があります。
-
ネットワーク共有プリンタの場合、プリンタサーバとなる機器で、プリンタの[プロパティ]ダイアログの[セキュリティ]タブで「ドキュメントの管理」が許可されている必要があります。
-
ネットワーク共有プリンタ、またはほかのコンピュータに接続されたプリンタの場合、 コントロールパネルの[Windows ファイアウォール]−[Windows ファイアウォールによるプログラムの許可]−[例外]タブで「ファイルとプリンタの共有」が許可されている必要があります。
-
ネットワーク共有プリンタ、またはほかのコンピュータに接続されたプリンタの場合、抑止対象のコンピュータでWin32_PrintJobクラスがサポートされたWMI が起動している必要があります。
-
秘文で印刷抑止している場合は、JP1/IT Desktop Managementでは印刷抑止できません。
-
ネットワークプリンタを使用している環境で、プリンタサーバとコンピュータの両方で印刷抑止されている場合、コンピュータの印刷抑止だけを解除しても印刷はできません。なお、この場合、コンピュータで印刷操作の操作ログが取得されます。
-
プリンタドライバのインストール時にテスト印刷した場合、印刷抑止できないことがあります。
-
OSにログオンした直後に印刷した場合、印刷抑止できないことがあります。
(6) 外部メディアの抑止の注意事項
-
JP1/IT Desktop Managementでは、Windowsの規定に従ってデバイスを制御します。そのため、Windowsの規定に準拠しないデバイスは制御できません。対象のデバイスが制御できるかどうか、あらかじめ検証することをお勧めします。なお、デバイスの仕様については製造元のメーカーにお問い合わせください。
-
デバイスを接続したコンピュータのOSによっては、デバイスが認識されないことがあります。そのため、使用するOSごとに正しく制御できるかどうか、あらかじめ検証することをお勧めします。
-
Windowsがデバイスをどのように認識するかは、デバイスの形状や製品名だけでは判断できません。Windowsの[デバイス マネージャー]のプロパティを確認してください。
-
デバイスのプロパティの[ハードウェア]タブで、[デバイスの機能]に「USB 大容量記憶装置」と表示されないUSBデバイスが抑止されることがあります。その場合は、コンピュータを抑止対象外とするか、抑止されたUSBデバイスを登録して利用を許可するように設定してください。
-
Windowsの設定で、CDおよびDVDの自動再生機能が無効に設定されていると、USBデバイスの書き込みだけを抑止する場合に、USB 接続のCD/DVDドライブへの書き込みが抑止されないことがあります。
-
コンピュータのOSがWindows 2000の場合、セキュリティポリシーの[登録済みのUSBデバイスは使用を許可する]をチェックしていると、USB接続のFDドライブの操作が抑止できないことがあります。
-
コンピュータのOSがWindows 2000の場合、セキュリティポリシーの[登録済みのUSBデバイスは使用を許可する]をチェックしていると、システムにログインする前から接続されているUSB接続のFDドライブおよびUSB接続のハードディスクを抑止できないことがあります。
-
コンピュータのOSがWindows Server 2003、Windows XP、またはWindows 2000 の場合、内蔵FDドライブの操作を抑止すると、ドライブ自体が存在しない状態となります。そのため、内蔵FDドライブの操作を抑止しているコンピュータからは、内蔵FDドライブの機器情報は取得できません。
-
USB接続リンクケーブルの使用を抑止する場合、OSに認識されるUSBデバイスの種別に応じて、操作の抑止を設定してください。ただし、デバイスによってはUSB接続リンクケーブルの使用を抑止できない場合があります。
-
抑止対象のUSBデバイスをコンピュータに接続した場合、USBデバイスの自動再生機能が有効に設定されていても、自動再生が失敗しエラーメッセージが表示されることがあります。
-
USB 接続メディアを抑止した場合、操作ログを取得する設定にしていても、 USB 接続メディア内のファイルの操作について操作ログを取得できない場合があります。
-
次の場合、OSのエラーメッセージが表示されることがあります。
-
コンピュータのOSがWindows 2000でデバイスドライバがインストールされていない状態で、抑止対象のUSBデバイスが接続された場合
-
USBデバイスの操作中に、そのUSBデバイスの操作を抑止するセキュリティポリシーが適用された場合
-
-
内蔵SDカードスロットを抑止をする場合、セキュリティポリシーを適用したあとでコンピュータを再起動すると有効になります。
-
MOやカードリーダーなどのデバイスで、抑止時にメディアが挿入されていない場合、抑止ログにドライブ種別とドライブ名は取得されません。また、CD/DVDドライブやFDドライブのデバイスは、抑止ログにドライブ種別とドライブ名は取得されません。
-
コンピュータのOSがWindows Server 2003またはWindows XPの場合、CD/DVDドライブの[プロパティ]の[書き込み]タブにある[このドライブで CD 書き込みを有効にする]のチェックを外すと、内蔵CD/DVDへの書き込みは抑止できません。なお、DVD-RAMに書き込む場合は、[このドライブでCD書き込みを有効にする]のチェックを外す必要があるため、書き込みを抑止できません。
-
抑止を設定したセキュリティポリシーを適用する前から接続されていたデバイスは抑止されません。この場合、デバイスを一度取り外し、再度接続することで抑止が有効になります。
-
コンピュータのOSがWindows Server 2012、Windows Server 2008、Windows 8、Windows 7、Windows Vistaの場合、セキュリティポリシーに外部メディアの抑止を設定したときは、コンピュータを再起動したあとで抑止が有効になります。
-
他製品による外部メディアの抑止機能とは同時に使用できません(Windows のグループポリシー、Active Directory のポリシー適用など)。他製品と同時に機器の操作を抑止した場合、それぞれの製品での設定が正しく実行されないおそれがあります。
-
外部メディアの抑止は、抑止を実行するサービスを停止しても解除されません。外部メディアの抑止を解除するには、セキュリティポリシーで抑止を解除するか、エージェントをアンインストールする必要があります。
-
外部メディアをいったん抑止したあとで抑止を解除した場合、各コンピュータでデバイスドライバを再インストールするなどして、デバイスドライバが正常に動作する状態にする必要があります。
-
セキュリティポリシーでUSBデバイスの[読み取りと書き込みを抑止する]を有効にしている場合、コンピュータ上で[USB デバイスの登録]ダイアログが表示されている間は、そのコンピュータで一時的にUSBデバイスの抑止機能が無効になります。
-
セキュリティポリシーの[USBデバイスの読み取りと書き込み抑止]で抑止されているデバイスでは、USBデバイスの格納ファイル一覧を取得できません。
-
セキュリティポリシーでUSBデバイスの[読み取りと書き込みを抑止する]を有効にしている場合、リムーバブルドライブおよび固定ドライブの自動再生機能が無効になります。自動再生機能が無効になったあとに、USBデバイスの[読み取りと書き込みを抑止する]を無効にしたり、エージェントのアンインストールを実施したりした場合でも、自動再生機能の設定は無効のままです。