情報セキュリティ Windows 10でUSBメモリの読み書きを不可にする

© いらすとや

PCにUSBメモリを挿してファイルをコピーというのは便利ではあるけど、迂闊にやると、または利用者を放任するのは危険でもある。それが自分自身の行動でということなら「私ってバカ」で後は粛々と対応すれば良いが、従業員や家族が利用するPCで勝手にとか自分のPCでもちょっと目を離した隙きに他人に勝手に挿されたらそれはとても怖い。
キーボード・マウスがPS/2コネクタで、プリンタがセントロニクスのケーブルでPCと繋がる時代ならUSBのポートを物理的に使えなくするとかUSBポートを無効にしてしまうでも良かったのだろうが、今はUSB自体は生かしてUSBストレージだけ利用禁止にするのが良さげ。もちろん、カメラの画像を転送したいとかUSBストレージを使う用事がないわけではないだろうから、そういう用途専用機を1台くらいは用意する。それ以外のWindows端末は全台USBストレージは禁止というのが今回やりたいこと。

ある程度大きな会社・組織ではおそらくユーザーのPCを集中管理するだろうからActive Directoryでグループポリシー管理をやって貰うとして、この記事の対象外。
Windowsをスタンドアロンで管理するような個人・家族・SOHOレベルでは1台ずつ設定する。Windows 10のProエディションでは似たようなグループポリシーエディタで設定。Homeエディションにはグループポリシーエディタが無いのでレジストリエディタ(レジストリファイル)で変更する。

Windows 10 Proエディション

こちらはグループポリシーエディタを使う方法。

Windows 10でリムーバブルストレージを無効化 1
画面1 :
[Win] + [R]で「ファイル名を指定して実行」の小窓が開くので、「gpedit.msc」と入力して[OK]を押す。

Windows 10でリムーバブルストレージを無効化 2
画面2 :
ローカルグループポリシーエディタが開く。
左列のツリーで一番上から「コンピューターの構成」 「 管理者用テンプレート」「システム」を開く。 右列で「リムーバブル記憶域へのアクセス」をクリック。(左列のツリーの「システム」の下方にもある)

Windows 10でリムーバブルストレージを無効化 3
画面3 :
「リムーバブル記憶域へのアクセス」の中の項目から「リムーバブル ディスク: 読み取りアクセス権の拒否」をクリック。

Windows 10でリムーバブルストレージを無効化 4
画面4 :
左のラジオボタンを「未構成」から「有効」に変える。「拒否を有効にする」の意味なので「無効」ではない。
右下の[適用]を押す。[OK]を押すと前の画面に戻ってしまうので押さない。
上部の[次の設定]を押す。これで「リムーバブル ディスク: 書き込みアクセス権の拒否」の設定画面に移る。

Windows 10でリムーバブルストレージを無効化 5
画面5 :
「リムーバブル ディスク: 書き込みアクセス権の拒否」の設定画面であることを確認する。
左のラジオボタンを「未構成」から「有効」に変える。「拒否を有効にする」の意味なので「無効」ではない。
右下の[適用]を押す。(この画面では要らない気もするけど一応)
[OK]を押す。

Windows 10でリムーバブルストレージを無効化 6
画面6 :
「リムーバブル ディスク: 読み取りアクセス権の拒否」が「有効」であること、
「リムーバブル ディスク: 書き込みアクセス権の拒否」が「有効」であること。
2箇所を確認したらローカルグループポリシーエディターは閉じる。

Windows 10でリムーバブルストレージを無効化 7
画面7 :
このやり方の場合はUSBメモリを挿すと、リムーバブルディスクとして認識はされる。

Windows 10でリムーバブルストレージを無効化 8
画面8 :
ただし、その認識されたリムーバブルディスクを操作しようとしても「アクセスが拒否されました」になる。「取り外し」も同じくアクセスが拒否されるので挿したUSBメモリなどは基本的にはそっと抜き取るだけ。

Windows 10 Homeエディション

以下は、上のProエディションでやったことと全く同じ結果になるわけではありません。また、Homeエディション専用ということではなく、Proエディションでも使えます。

Windows 10でリムーバブルストレージを無効化 9
画面9 :
[Win]+[R]で「ファイル名を指定して実行」の小窓が開くので regedit と入力して[Enter]

Windows 10でリムーバブルストレージを無効化 10
画面10 :
左列のツリーの上から「コンピューター」「HKEY_LOCAL_MACHINE」「STSTEM」「CurrentControlSet」「Services」をクリックして開く(辿る)。
次に続く。

Windows 10でリムーバブルストレージを無効化 11
画面11 :
「Services」の中(項目多い)の「USBSTOR」をクリック。
右列の「Start」をクリックする。

Windows 10でリムーバブルストレージを無効化 12
画面12 :
「値のデータ」を「3」から「4」に書き換える。
[OK]を押す。

Windows 10でリムーバブルストレージを無効化 13
画面13 :
この方法の場合は、USBメモリなどのリムーバブルディスクをPCに挿しても認識されない(筈)。

元に戻す(リムーバブルディスクを有効化する)場合、画面12で「値のデータ」を「4」から「3」に書き換える。

または、レジストリエディタを操作して設定変更するのがイヤな場合は下のレジストリファイルをダウンロードしてファイルをダブルクリックするという方法もアリ。ファイルの内容は以下のようなテキストファイルだが、一応ダウンロードした後にメモ帳などで開いて内容を確認してから実行して欲しい。

 usb_storage_disable.reg
リムーバブルディスクの無効化
1
2
3
4
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR]
"Start"=dword:00000004
 usb_storage_enable.reg
リムーバブルディスクの有効化 (戻し用)
1
2
3
4
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR]
"Start"=dword:00000003

家族・従業員などによる勝手なUSBメモリの読み書きとそれによる情報漏えいはこれで防ぐことが可能になった。(リムーバブルメディアだけだが)
次回はウイルス入りUSBメモリによる感染を防ぐための「自動実行を防ぐ」の予定。

関連記事: