Windows でグループポリシーを使用して USB ドライブのアクセスを制御する方法

書き込みまたは実行アクセスの制限 – より細かい制御

ユーザーにUSBデータの読み取りは許可するが、書き込みは許可しない、あるいはUSBドライブから実行ファイルの実行をブロックしたいですか？同じポリシーを使えば簡単です。「リムーバブルディスク：書き込みアクセスを拒否」や「実行アクセスを拒否」といったポリシーを切り替えるだけです。ユーザーがドライブからファイルを保存したりアプリを実行しようとしたりすると、 「保存先フォルダへのアクセスが拒否されました」といったメッセージが表示されます。万全ではありませんが、管理された環境においては、十分な制御レイヤーとなります。

🎯 特定のユーザーまたはグループのUSBアクセスをブロックする方法

管理者の例外、または標的型拒否

特定のグループまたはユーザー以外のユーザーをブロックしたい場合（例えば、ITスタッフにはUSBの使用を許可し、それ以外のユーザーに対してはロックするなど）、 GPOのセキュリティフィルタリングを使用できます。「 USBストレージを無効にする」GPOを設定し、「セキュリティフィルタリング」で「Domain Admins」などの管理者グループを追加するか、 「Deny USB」などの専用グループを作成します。次に、「委任」タブで、制限から除外したいグループまたはユーザーに対して「グループポリシーの適用」を拒否します。少し手間がかかりますが、柔軟性が必要な場合に便利です。

🎯 レジストリとグループポリシーの設定によるアクセス制御

きめ細かな制御のための高度な方法

レジストリを詳しく調べるのが好きな方（またはスクリプトで作成したい方）のために、USB をブロックするポリシーは、以下の特定のレジストリキーに反映されています。ここでは、またはDWORD を 1 にHKLM\Software\Policies\Microsoft\Windows\RemovableStorageDevices設定すると、読み取り/書き込みが効果的にブロックされます。これらのキーは手動で作成することもできますが、グループポリシーの基本設定や PowerShell スクリプトを使用して展開するとさらに効果的です。Deny_ReadDeny_Write

# Example PowerShell snippet to disable writing on all USB drives $regPath = "HKLM:\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}" if (!(Test-Path $regPath)) { New-Item -Path $regPath -Force | Out-Null } New-ItemProperty -Path $regPath -Name 'Deny_Write' -Value 1 -PropertyType DWORD -Force | Out-Null 

これにより、制限を自動化し、特定のデバイスクラスをターゲットにすることができます。特に、標準的なGPO設定よりも細かい設定が必要な場合に有効です。環境によっては、レジストリを手動で編集するだけで簡単なテストが可能な場合もあります。

🎯 WindowsでUSBストレージを完全に無効にする方法

USBSTORドライバを無効にする

これはかなり強力な方法です。ドライバー自体を無効にすることで、WindowsがUSBストレージデバイスを認識できないようにします。特にUSBストレージを全く必要としない場合は、非常に効果的です。PowerShellを管理者として起動し、以下を実行します。

Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\USBSTOR" -Name "Start" -Value 4

これにより、レジストリが調整され、Windowsにドライバを読み込まないように指示されます。再起動後、USBストレージデバイスはディスク管理やデバイスマネージャーにも表示されなくなります。企業環境では、GPOのレジストリ設定からこれをプッシュすることで、導入環境全体で統一することができます。

Get-PnpDevice -PresentOnly | Where-Object { $_.deviceId -match '^USBSTOR' }