【Windows】記憶装置の書き込みや実行をグループポリシーで一括禁止する手順

企業内でUSBメモリなどからの情報漏洩やマルウェア感染を防ぎたいと考えていませんか。

Windowsのグループポリシーを利用すると、記憶装置への書き込みやプログラムの実行を包括的に制限できます。

この記事では、Windows 11で記憶装置の利用を制限する具体的な手順を解説し、セキュリティ強化に役立つ情報を提供します。

グループポリシーで記憶装置を制限する目的と機能

企業環境では、USBメモリや外付けHDDといった外部記憶装置が、情報漏洩やマルウェア感染の経路となる大きなリスクをはらんでいます。

Windowsのグループポリシーは、これらのセキュリティリスクを軽減するための強力な機能です。

特定の記憶装置に対する書き込みや実行を、組織全体で一括して禁止できます。

これにより、情報セキュリティポリシーの厳格な適用と運用が可能になります。

グループポリシーの適用範囲

ローカルグループポリシーエディターは、個別のコンピューターに設定を適用するためのツールです。

ドメイン環境、つまりActive Directoryで管理されたネットワーク環境では、グループポリシー管理ツールを使って組織単位やユーザーグループに対して設定を適用できます。

この記事では、個々のWindowsコンピューターで利用できるローカルグループポリシーエディターでの設定方法を説明します。

ドメイン環境での設定は、Active Directoryの知識が必要となるため、システム管理者にご相談ください。

記憶装置への書き込みと実行を禁止する設定手順

ここでは、ローカルグループポリシーエディターを使って、リムーバブルディスクへの書き込みと実行を禁止する手順を解説します。

グループポリシーの変更はシステムの設定に深く関わるため、万が一に備えレジストリのバックアップをおすすめします。

レジストリのバックアップ手順

グループポリシーの変更はレジストリに反映されます。

設定を元に戻すことは容易ですが、安全のために現在のレジストリをバックアップしておきましょう。

1. レジストリエディターを開く
   スタートメニューを右クリックし、「ファイル名を指定して実行」を選択します。「regedit」と入力してEnterキーを押します。ユーザーアカウント制御のダイアログが表示されたら「はい」を選択してください。
2. レジストリをエクスポートする
   レジストリエディターの左上にある「ファイル」メニューをクリックし、「エクスポート」を選択します。任意の保存場所とファイル名を指定し、ファイル形式は「登録ファイル(*.reg)」のまま「保存」ボタンをクリックします。

ローカルグループポリシーエディターでの設定

ここから、実際にリムーバブルディスクの書き込みと実行を禁止する設定を行います。

Windows 10でも基本的な操作は同じです。

1. ローカルグループポリシーエディターを開く
   スタートメニューを右クリックし、「ファイル名を指定して実行」を選択します。「gpedit.msc」と入力してEnterキーを押します。
2. ポリシー設定の場所へ移動する
   ローカルグループポリシーエディターの左ペインで、以下のパスを順に展開します。
   「コンピューターの構成」 → 「管理用テンプレート」 → 「システム」 → 「リムーバブル記憶域へのアクセス」
3. リムーバブルディスクの書き込みを拒否する設定を有効にする
   右ペインに表示されるポリシー項目の中から、「リムーバブルディスク: 書き込みアクセスを拒否する」をダブルクリックします。
4. ポリシーを「有効」に設定する
   開いたダイアログボックスで、「有効」オプションを選択します。これにより、すべてのリムーバブルディスクへの書き込み操作が禁止されます。「適用」ボタンをクリックし、「OK」ボタンでダイアログを閉じます。
5. リムーバブルディスクの実行を拒否する設定を有効にする
   同様に、右ペインのポリシー項目の中から、「リムーバブルディスク: 実行アクセスを拒否する」をダブルクリックします。
6. ポリシーを「有効」に設定する
   開いたダイアログボックスで、「有効」オプションを選択します。これにより、すべてのリムーバブルディスクからのプログラム実行が禁止されます。「適用」ボタンをクリックし、「OK」ボタンでダイアログを閉じます。
7. グループポリシーの変更を強制適用する
   設定がすぐに反映されるように、コマンドプロンプトを開き、以下のコマンドを入力してEnterキーを押します。
   gpupdate /force
   「コンピューターポリシーの更新が正常に完了しました。」と表示されれば成功です。
8. 設定が適用されたか確認する
   USBメモリなどのリムーバブルディスクを接続し、ファイルやフォルダをコピーしようとします。書き込みが拒否されることを確認してください。また、リムーバブルディスク内の実行可能ファイルをクリックし、起動できないことを確認します。

グループポリシー設定時の注意点とよくあるトラブル

グループポリシーの設定は強力なため、意図しない挙動を防ぐためにいくつかの注意点があります。

ここでは、設定時に遭遇しやすい問題とその対処法について解説します。

設定が反映されない場合

グループポリシーの設定を変更したにもかかわらず、期待通りに動作しないことがあります。

主な原因は、ポリシーの適用が完了していないか、別のポリシーと競合しているためです。

対処法:

1. gpupdate /forceを再実行する
   コマンドプロンプトを管理者として実行し、再度 gpupdate /force コマンドを入力してポリシーの強制適用を試みます。
2. コンピューターを再起動する
   場合によっては、コンピューターの再起動が必要なことがあります。
3. ドメイン環境でのポリシー競合を確認する
   Active Directoryドメインに参加しているコンピューターの場合、ドメインレベルで設定されたグループポリシーがローカルグループポリシーよりも優先されます。ドメイン管理者に確認し、競合するポリシーがないか確認してもらいましょう。

特定の記憶装置だけ許可したい場合

一括で書き込みや実行を禁止するポリシーは、セキュリティを強化する上で有効です。

しかし、特定の部署や用途で必要なUSBメモリなどの利用まで制限されてしまうことがあります。

対処法:

グループポリシーには、デバイスIDに基づいて特定のデバイスを許可する「ホワイトリスト」方式の設定も存在します。

これは「デバイスのインストール」ポリシーの配下にある「指定されたデバイスのインストールを許可する」などの設定を利用します。

ただし、これらの設定はより高度な知識が必要となるため、システム管理者と相談しながら慎重に進める必要があります。

一般的なユーザーが単独で設定することは推奨されません。

Windows 10での操作の違い

Windows 10とWindows 11では、ローカルグループポリシーエディターの基本的な操作方法やポリシーの項目は共通しています。

そのため、この記事で解説した手順はWindows 10にも適用できます。

ただし、一部のダイアログボックスの見た目や、設定項目の並び順にわずかな違いがある場合があります。

基本的なポリシー名とパスが同じであれば、問題なく設定を進められるでしょう。

グループポリシーとレジストリ編集による設定方法の比較

記憶装置の利用制限は、グループポリシーだけでなくレジストリを直接編集することでも可能です。

それぞれの方法にはメリットとデメリットがあります。

項目	グループポリシー	レジストリ編集
適用範囲	複数コンピューターに一括適用	個別のコンピューターに手動適用
設定の容易さ	GUIで分かりやすい	レジストリパスの知識が必要
元に戻す容易さ	ポリシーを「未構成」に戻すだけ	変更前の値に戻す必要
推奨用途	企業内のセキュリティ管理	単一PCの特定設定調整

まとめ

この記事では、グループポリシーを使ってリムーバブルディスクへの書き込みと実行を禁止する手順を解説しました。

これらの設定により、企業の情報漏洩やマルウェア感染のリスクを効果的に低減できます。

今回解説した「リムーバブルディスク: 書き込みアクセスを拒否する」や「リムーバブルディスク: 実行アクセスを拒否する」ポリシーを適用し、企業内のセキュリティ強化に役立ててください。

必要に応じて、特定のデバイスを許可する高度なポリシー設定も検討してみましょう。