Windows10でUSB接続した外部ストレージへの読み書きをグループポリシー設定で禁止する方法

Windows10でUSB接続した外部ストレージへの読み書きをグループポリシー設定で禁止する方法

Windows10環境でUSB接続した外部ストレージとデータ転送する場合、おもに以下の3通りの方法があり、データ転送を禁止する場合はそれぞれの方法に対策を行う必要があります。

  • MSC(Mass Storage Class)
  • PTP(Picture Transfer Protocol)
  • MTP(Media Transfer Protocol)
Memo

MSCは、USBメモリやUSBハードディスクなどとのデータ転送に用いられ、PTPやMTPはスマートフォンなどのWPD(Windows Portable Device)デバイスとのデータ転送に用いられています。

Windows10で、USB接続した外部ストレージとのデータ転送を禁止したい場合は、おもにレジストリ設定で禁止する方法と、グループポリシー設定で禁止する方法がありますが、ここでワークグループ環境のマシンをローカルグループポリシー設定で禁止する方法を紹介します。

Windows10でUSB接続した外部ストレージへの読み書きをレジストリ設定で禁止する方法
Windows10環境でUSB接続した外部ストレージとデータ転送する場合、おもに以下の3通りの方法があります。 MSC(Mass...

動作環境

この記事は、以下の環境で実行した結果を基にしています。他のエディションやバージョンでは、動作結果が異なる場合があることをご了承ください。

ソフトウェアバージョン
Windows10 Pro 64bit20H2
USBポートからの情報漏えい対策にはポート塞ぐ物理的な方法も有効です。
企業で利用されているPCのUSBポートからの情報漏えいを防ぐ方法としては、オペレーティングシステムやデバイス制御ソフトを使って、USBポ...

MSCモードでの読み書きを禁止する

USBメモリやUSBハードディスクなどとのデータ転送に用いられるMSCモードでの読み書きを禁止するときは「ローカルグルプポリシーエディター」を起動して「コンピューターの構成>管理用テンプレート>システム>リムーバブル記憶域へのアクセス」にある以下の2つのポリシーを「有効」に設定します。

  • リムーバブル ディスク: 読み取りアクセス権の拒否
  • リムーバブル ディスク: 書き込みアクセス権の拒否

Windows10でUSB接続した外部ストレージへの読み書きをグループポリシー設定で禁止する方法

なお、ここではコンピューターに適用されるポリシーとして設定していますが「ユーザーの構成」から設定することで、ユーザーに適用されるポリシーとして設定することもできます。

ポリシーを有効に設定したら、マシンを再起動することで設定が適用されます。

設定を戻したいときは、ポリシーの設定を「未構成」に設定します。

Windows10Homeで「ローカルグループポリシーエディター」を使う方法
Windows10の設定の中にはレジストリを編集したり、ローカルグループポリシーでしか設定できない項目があります。 ローカルグループポ...

PTP/MTPモードでの読み書きを禁止する

スマートフォンなどのWPD(Windows Portable Device)デバイスとのデータ転送に用いられるPTPやMTPモードでの読み書きを禁止するときは「ローカルグルプポリシーエディター」を起動して「コンピューターの構成>管理用テンプレート>システム>リムーバブル記憶域へのアクセス」にある以下の2つのポリシーを「有効」に設定します。

  • WPD デバイス: 読み取りアクセス権の拒否
  • WPD デバイス: 書き込みアクセス権の拒否

Windows10でUSB接続した外部ストレージへの読み書きをグループポリシー設定で禁止する方法

なお、ここではコンピューターに適用されるポリシーとして設定していますが「ユーザーの構成」から設定することで、ユーザーに適用されるポリシーとして設定することもできます。

ポリシーを有効化したら、マシンを再起動することで設定が適用されます。

設定を戻したいときは、ポリシーの設定を「未構成」に設定します。

Windows10で管理者/非管理者/特定のユーザーにのみ適用されるローカルグループポリシーを作成する方法
自宅などのワークグループ環境で、Windows10の設定をカスタマイズしたり制限したりするときの設定方法の一つに「ローカルグループポリシ...

あとがき

レジストリ設定による制限も、ここで紹介しているグループポリシーによる設定も完璧ではなく、たとえば、スマートフォンとPTPやMTP以外の方法でデータ転送を行うアプリを用いれば、データの読み書きが行える場合があります。

そのような方法も厳密に制限したいときは、アプリのインストールを制限したり、WPDデバイス(Windows Portable Device )のインストールそのものを制限するといった別の対応方法も検討する必要があるでしょう。ただし、厳密な制限を掛けようとするほど運用は煩雑になることをお忘れなく。

参考URL:グループ ポリシーを用いた WPD デバイスの制限について

記事が役立ったらシェアしてくれるとうれしいです。

あなたにおすすめのコンテンツ