はい！電算室です

前回からだいぶ経ってしまいました。
どうやらベネッセではUSBデバイスを使えないようセキュリティ対策のソフトを導入していたようですが、そのソフトが新しいスマートフォンに対応していなかったようです。

USBメモリーに代表される外部メディアの場合は、Windowsでは新しいドライブとして認識され、従来のセキュリティ対策ソフトは指定のドライブの使用を禁止するというものでした。
しかし、WindowsVista以降のWindowsとここ数年のスマートフォンは、少し前はPTP(picture transfer protocol)、そして今の主流としてMTP(media transfer protocol)として認識され、Windows上ではまとめてWPD(Windows Portable Devices)として扱われます。
WPDの場合はドライブとして認識されないので、制限をかけることができないのです。

ただ、ベネッセの場合はもしかしたら、PTPまでは対応していて、MTPまでは対応していなかったということも考えられます。

さて、これらをまとめて制限をかける方法はないのでしょうか？
一番手っ取り早い方法は、BIOSでUSBそのものを使えなくするということもありなのでしょうが、それだとUSBマウスやUSBのキーボードも使えなくなり、現在では現実的ではありません。

[4回]

そこで、グループポリシーで制限をかけてみましょう。今回は、Windows2008R2サーバーのGPOで実験しています。
まずは、全てのリムーバブルのアクセスを拒否してみます。
 

GPO(グループポリシー）で、「ユーザーの構成」-「ポリシー」-「システム」-「リムーバブル記憶域へのアクセス」へと進み、「すべてのリムーバブル記憶域クラス：すべてのアクセスを拒否」を有効とします。これは、コンピューターの構成にも同様のポリシーがあります。使い分けてもいいでしょう。
これで、FD、CDを含め、WPDデバイスへのアクセスが拒否され、読み書きができなくなるはずです・・・・

が

最初の一回は認識してコピーできるらしいのです！
この最初の一回とは、ドライバーをインストールした直後のことです。その次に再起動してしまえば、「アクセス許可がありません」ではじかれるのですが・・・。

では、次にドライバーをインストールさせなければいいじゃない。
ということで、WPDデバイスのインストールを制限してみます。

 

「コンピュータの構成」-「管理テンプレート」-「システム」-「デバイスのインストール」-「デバイスのインストールの制限」へと進み、
「これらのデバイスセットアップクラスと一致するドライバーを使用したデバイスのインストールを禁止する」を有効にします。
さらに、デバイスセットアップクラスに
{eec5ad98-8080-425f-922a-dabf3de3f69a}
と入力し、さらに、「既にインストール済みの一致するデバイスにも適用されます。」にチェックを入れます。
 
これでポリシー適用以前に接続したことのある WPD デバイスに対しても制限をかけることができるはずなのですが・・・。私の設定が悪いのか、既にインストールされたポータブルデバイスではうまくいきません。

そこで、既にインストールされたポータブルデバイスを削除します。
まず、コマンドプロンプトで

set devmgr_show_nonpresent_devices=1

start devmgmt.msc

と入力します。
デバイスマネージャーが表示されたら


表示(V)から「非表示のデバイスの表示(W)」にチェックを入れます。
で、表示されたポータブルデバイスを全て削除しましょう。
うすーく表示されているのは、今接続していないが、以前に接続したことのあるものです。


さて、ここまでやってしまえばポータブルデバイスとして使用することはできません。

しかし、今後新しいデバイスができると対応できなくなる恐れがあります。
ここまでやってもやはり最終的にはこれです。



物理的にふさいでしまえば抑止力になるものです。
これで塞いでからというもの、充電のためにちょっと接続。というのもなくなりました。