Windows10でUSB接続した外部ストレージへの読み書きを制限する方法

Windows10でUSB接続した外部ストレージへの読み書きを制限する方法

Windows10でUSB接続した外部ストレージとデータ転送する場合、おもに以下の3通りの方法があり、MSCは、USBメモリやUSBハードディスクなどとのデータ転送に用いられ、PTPやMTPはスマートフォンなどのWPD(Windows Portable Device)デバイスとのデータ転送に用いられています。

  • MSC(Mass Storage Class)
  • PTP(Picture Transfer Protocol)
  • MTP(Media Transfer Protocol)

そのため、Windows10でUSB接続した外部ストレージとのデータ転送を制限したい場合は、上に挙げた方法それぞれに応じた対策が必要になります。

そこでここでは、Windows10で上に挙げた転送方法をレジストリ設定やグループポリシー設定で制限する方法を紹介します。

USBポートからの情報漏えい対策には物理的にポートをふさぐ方法も効果的
パソコンのUSBポートからの情報漏えいを徹底的に防ぐなら、USBポートを物理的にふさぐのが効果的です。

動作環境

この記事は、以下の環境で実行した結果を基にしています。他のエディションやバージョンでは、動作結果が異なる場合があることをご了承ください。

ソフトウェアバージョン
Windows10 Pro 64bit20H2

レジストリ設定で制限する

レジストリ設定でUSB接続した外部ストレージへの読み書きを制限するときは、管理者権限でコマンドプロンプトを起動して、以下に紹介するコマンドを実行します。

MSCモードでの読み書きを禁止する

USBメモリやUSBハードディスクなどとのデータ転送に用いられるMSCモードでの読み書きを禁止するときは、以下のコマンドを実行します。

書き込みを禁止

> reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}" /v Deny_Write /t REG_DWORD /d 1 /f

読み取りを禁止

> reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}" /v Deny_Read /t REG_DWORD /d 1 /f

コマンドを実行後「この操作を正しく終了しました。」と表示されていることを確認して、マシンを再起動したら、設定完了です。

なお、設定を解除したいときは、コマンドの「/d 1」の部分を「/d 0」として実行します。

PTP/MTPモードでの読み書きを禁止する

スマートフォンなどのWPD(Windows Portable Device)デバイスとのデータ転送に用いられるPTPやMTPモードでの読み書きを禁止するときは、管理者権限でコマンドプロンプトを起動して、以下のコマンドを実行します。

書き込み禁止

> reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{6AC27878-A6FA-4155-BA85-F98F491D4F33}" /v Deny_Write /t REG_DWORD /d 1 /f
> reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE}" /v Deny_Write /t REG_DWORD /d 1 /f

読み取り禁止

> reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{6AC27878-A6FA-4155-BA85-F98F491D4F33}" /v Deny_Read /t REG_DWORD /d 1 /f
> reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE}" /v Deny_Read /t REG_DWORD /d 1 /f

コマンドを実行後「この操作を正しく終了しました。」と表示されていることを確認して、マシンを再起動したら、設定完了です。

なお、設定を解除したいときは、コマンドの「/d 1」の部分を「/d 0」として実行します。

グループポリシー設定で制限する

グループポリシー設定でUSB接続した外部ストレージへの読み書きを制限するときは「ローカルグルプポリシーエディター」を起動して「コンピューターの構成>管理用テンプレート>システム>リムーバブル記憶域へのアクセス」で、以下に紹介するポリシーを設定します。

MSCモードでの読み書きを禁止する

USBメモリやUSBハードディスクなどとのデータ転送に用いられるMSCモードでの読み書きを禁止するときは、以下の2つのポリシーを「有効」に設定します。

  • リムーバブル ディスク: 読み取りアクセス権の拒否
  • リムーバブル ディスク: 書き込みアクセス権の拒否

Windows10でUSB接続した外部ストレージへの読み書きを制限する方法

ポリシーを有効に設定したら、マシンを再起動することで設定が適用されます。

なお、設定を戻したいときは、ポリシーの設定を「未構成」に設定します。

Memo

ここではコンピューターに適用されるポリシーとして設定していますが「ユーザーの構成」から設定することで、ユーザーに適用されるポリシーとして設定することもできます。

PTP/MTPモードでの読み書きを禁止する

スマートフォンなどのWPD(Windows Portable Device)デバイスとのデータ転送に用いられるPTPやMTPモードでの読み書きを禁止するときは、以下の2つのポリシーを「有効」に設定します。

  • WPD デバイス: 読み取りアクセス権の拒否
  • WPD デバイス: 書き込みアクセス権の拒否

Windows10でUSB接続した外部ストレージへの読み書きを制限する方法

ポリシーを有効化したら、マシンを再起動することで設定が適用されます。

なお、設定を戻したいときは、ポリシーの設定を「未構成」に設定します。

Memo

ここではコンピューターに適用されるポリシーとして設定していますが「ユーザーの構成」から設定することで、ユーザーに適用されるポリシーとして設定することもできます。

あとがき

上に紹介した設定方法は完璧ではなく、たとえば、スマートフォンとPTPやMTP以外の方法でデータ転送を行うアプリを用いれば、制限を掛けてもデータの読み書きが行える場合があります。

そのような方法も厳密に制限したいときは、そのようなアプリのインストールを制限したり、WPDデバイス(Windows Portable Device )のインストールそのものを制限するといった別の対応方法も検討する必要があるでしょう。ただし、厳密な制限を掛けようとするほど運用は煩雑になることをお忘れなく。

参考URL:グループ ポリシーを用いた WPD デバイスの制限について

記事が役立ったらシェアしてくれるとうれしいです。