読者です 読者をやめる 読者になる 読者になる

TechNote

とあるエンジニアのただのメモ

Windwosでツールを使わずコマンド一発でUSB使用制限をする方法

バッチ Windows

f:id:kojikoji75:20150917222258j:plain

1.一般的なUSB使用制限方法と、そのメリット/デメリット
(1)ウィルス対策ソフトの"デバイスコントロール機能"によるUSB使用制限
(2)その他の有料ソフト/無料ソフトによるUSB使用制限
(3)BIOS設定によるUSB使用制限

2.コマンド一発でUSBを制限する方法と、そのメリット


1.一般的なUSB使用制限方法と、そのメリット/デメリット

システム管理者や情シスの立場だと、ユーザがクライアントマシンに勝手にUSBメモリを挿して社内データを持ち出すようなことがないよう、何らかの形でUSBの使用を制限しているケースが多いのではないでしょうか。

例えば一般的にとられるであろう方法として、下記のような方法が考えられます。メリットとデメリットも合わせてあげていきましょう。


(1)ウィルス対策ソフトの"デバイスコントロール機能"によるUSB使用制限

例えばウィルスバスターコーポレートエディション(企業向け版)でいうと「デバイスコントロール」という設定項目があります。ここで各クライアントのUSBコントローラの有効/無効を一括、または個別で設定することができます。
ちなみにここで「無効」に設定した場合でも、USBマウスやUSBキーボードなどは無効になりません。あくまで無効になるのは記憶領域を持つ「大容量記憶装置」のみです。管理者にとってはまさに欲しかった機能といれるでしょう。但し、個人向け版にはこの機能はありません。

メリット

  • 「無効」に設定した場合でも無効になるのは記憶領域を持つ「大容量記憶装置」のみ。USBマウスなどは使える。

デメリット

  • 製品のインストールが必要
  • ウィルスバスター個人向け版にはこの機能はない


(2)その他の有料ソフト/無料ソフトによるUSB使用制限

USB無効化のためのソフトもいろいろ出ています。

www.gigafree.net
www.endpointsecurity.jp
devicelock.jp
www.vector.co.jp

メリット

  • ウィルス対策ソフトと比較すると、無料または比較的安価。
  • 「無効」に設定した場合でも無効になるのは記憶領域を持つ「大容量記憶装置」のみ。USBマウスなどは使える。

デメリット

  • 当たり前だがどれもインストールが必要。
  • USB無効化のためだけにソフトをインストールしたくないかも。


(3)BIOS設定によるUSB使用制限

クライアントごとにBIOS設定でUSBControllerの項目をDisabledにするという方法もありますね。

f:id:kojikoji75:20150915200210p:plain

メリット

  • 特になし?

デメリット

  • BIOSの設定なんて誰でも変えられる
  • 無効化したくないUSBマウスやUSBキーボードまで使えなくなってしまう(これは大きい)



2.コマンド一発でUSBを制限する方法と、そのメリット

これまで勝手に主観的なメリット/デメリットを挙げてきましたが、要は「無効化のためだけになんらかのソフトをインストールしたくない(レジストリを無駄に汚したくない)」ということと、「無効化設定をしてもUSBマウスやUSBキーボードは使えるようにしたい」というのが個人的な理想です。

実はレジストリを一カ所いじるだけで、上記の2つを満たすような無効化は可能です。

いじるレジストリキーはこちら。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\USBSTOR

f:id:kojikoji75:20150917194100p:plain
このStartというものですが、通常は"3"がセットされているはずです。これを"4"に変更することでUSB無効化が実現できます。

もちろん上記のようにレジストリエディタを開いてGUI操作で修正をしてもOKですが、何台もこの設定をして回らないといけない場合には面倒になりますし、一括配信も視野に入れたいところです。そこでバッチファイル化しておきましょう。

まず、このレジストリを変更するためのコマンドは下記のようになります。

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\USBSTOR" /v "Start" /t REG_DWORD /d 4 /f

一応実行結果が確認できるようにpauseも入れておきましょう。

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\USBSTOR" /v "Start" /t REG_DWORD /d 4 /f
pause

これをバッチファイルとして保存するために拡張子「.cmd」で保存しましょう。あとはダブルクリックで実行するだけです。(管理者権限でしか実行できない環境だったらバッチファイルを右クリック⇒「管理者として実行」で)

f:id:kojikoji75:20150917193717p:plain
「この操作を正しく終了しました」まできちんと確認できたら完了です。メリットはもちろん「インストール不要」「USBマウスやUSBキーボードは使用可能」というところです。


あわせて読みたい

kojikoji75.hatenablog.com
kojikoji75.hatenablog.com
kojikoji75.hatenablog.com


Windows コマンドプロンプト ポケットリファレンス

Windows コマンドプロンプト ポケットリファレンス

Windowsコマンドプロンプト スパテク242 Vista/XP/2000対応 (スパテクシリーズ)

Windowsコマンドプロンプト スパテク242 Vista/XP/2000対応 (スパテクシリーズ)

Windows PowerShellクックブック

Windows PowerShellクックブック