今回のテーマ
USBデバイスをデバイスクラス単位で使用許可するには
Question: やりたいこと
DeviceLockを導入してUSBポートの制御(USBデバイスの使用禁止)をしたいのですが、社内にはUSB接続のプリンターが多くあり、これらについては全て使用を許可したいと思っています。
USBプリンターを1台1台、USBホワイトリストに登録すればよい、とは思いますが、もっと簡単に「USBプリンターは全て使用を許可する」といった設定をすることはできるのでしょうか。
Answer: こうすればできる
DeviceLockでは、USBデバイスの「デバイスクラス(※)」を識別して、「このデバイスクラスに属するデバイスはデバイス制御の対象外とする」ことができます。
これは、DeviceLockの「セキュリティ設定」機能により、USBプリンターだけでなく、USBキーボード/マウス、USBカメラなどの特定のUSBデバイスクラスに対するポートレベルのデバイス制御を無効化(デバイス制御設定に係わらず使用できる)する処理になります。
この機能はUSBポートに対するデバイス制御に優先するため、デバイス制御でUSBポートを使用禁止にしても、特定のデバイスクラスに属するUSBデバイスは、USBポート使用禁止の影響を受けずに使用が可能、ということになります。
- デバイスクラスとは、種類(機能)により分類された、共通の制御仕様を持つデバイスの呼称で、例えば、オーディオ、プリンター、マスストレージなどがあります。
Step: 設定方法
デバイス制御設定に係わらずUSBプリンターを全て使用許可するには、以下の手順で設定します。
- DeviceLock管理コンソールを起動して、設定対象のクライアント(DeviceLock Service)に接続します。
- 左ペインで [DeviceLock Service] → [デバイス] → [セキュリティ設定] と展開します。
- [セキュリティ設定] の右ペインの項目で、「USB プリンターに対するアクセスを制御する」を「無効」に設定します。
Reference: 参考
[セキュリティ設定]によるUSBデバイスクラスごとの設定は、以下の通りです。
USB Bluetooth アダプターに対するアクセスを制御する
[有効]にすると、USBポートに接続されているBluetoothアダプターに対する監査およびアクセス制御を行なうことができます。
[無効]にすると、USBポートがロックされていても、Bluetoothアダプターは通常通りに機能し、デバイスの監査も実行されません。ただし、タイプ(Bluetooth)に対するアクセスおよび監査設定があれば、それには影響されます。
USB HID(マウス、キーボードなど)に対するアクセスを制御する
[有効]にすると、USBポートに接続されているマウスやキーボードなどのHID(Human Interface Device: ヒューマンインターフェースデバイス)に対する監査およびアクセス制御を行なうことができます。
[無効]にすると、USBポートがロックされていても、HIDは通常通りに機能し、デバイスの監査も実行されません。
USBおよびFireWireネットワークカードに対するアクセスを制御する
[有効]にすると、USBまたはFireWire(IEEE 1394)ポートに接続されているネットワークカードに対する監査およびアクセス制御を行なうことができます。
[無効]にすると、USBまたはFireWireポートがロックされていても、ネットワークカードは通常通りに機能し、デバイスの監査も実行されません。
USB オーディオデバイスに対するアクセスを制御する
[有効]にすると、USBポートに接続されているオーディオデバイスに対する監査およびアクセス制御を行なうことができます。
[無効]にすると、USBポートがロックされていても、オーディオデバイスは通常通りに機能し、デバイスの監査も実行されません。
USB カメラに対するアクセスを制御する
[有効]にすると、USBポートに接続されているカメラデバイスに対する監査およびアクセス制御を行なうことができます。
[無効]にすると、USBポートがロックされていても、カメラデバイスは通常通りに機能し、デバイスの監査も実行されません。
USB スキャナーおよび静止画像デバイスに対するアクセスを制御する
[有効]にすると、USBポートに接続されているスキャナーおよび静止画像デバイスに対する監査およびアクセス制御を行なうことができます。
[無効]にすると、USBポートがロックされていても、デバイスは通常通りに機能し、デバイスの監査が実行されません。
USB ストレージデバイスに対するアクセスを制御する
[有効]にすると、USBポートに接続されているストレージデバイス(フラッシュドライブなど)に対する監査およびアクセス制御を行なうことができます。
[無効]にすると、USBポートがロックされていても、ストレージデバイスは通常通りに機能し、デバイスの監査も実行されません。ただし、タイプ(着脱可能デバイス、フロッピー、光学ドライブ、ハードディスク)に対するアクセスおよび監査設定があれば、それには影響されます。
USB プリンターに対するアクセスを制御する
[有効]にすると、USBポートに接続されているプリンターに対する監査およびアクセス制御を行なうことができます。
[無効]にすると、USBポートがロックされていても、プリンターは通常通りに機能し、デバイスの監査も実行されません。
DeviceLockテクニカルガイドとは?
DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。
例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。
このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。
なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。
本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。
投稿日:2020年03月23日
How to DeviceLock 記事一覧
- 45:クライアントのServiceがアンインストールされたことを知るには
- 44:ログの保存場所について
- 43:Enterprise Serverに監査ログを集積するには
- 42:EnterpriseManagerからDeviceLockServiceをインストールするには?
- 41:EnterpriseManagerで監査ログを保存・ロードするには?
- 40:OneDrive以外のクラウドストレージ利用を禁止するには?
- 39:アクセス制御ポリシーの変更箇所を確認するには?
- 38:Mac版DeviceLockのインストール後のブロック解除
- 37:Mac版DeviceLockをアンインストールするには?
- 36:Mac版DeviceLockを利用する際の準備(NTLM認証)
- 35:DeviceLockの通信で使用するポートについて
- 34: ハードディスクのアクセス制御について
- 33:スマートフォンへのファイル書き出しを禁止するには?
- 32:マイナンバーを含むファイルの書き出しを禁止するには?
- 31:DeviceLockのログ日付を和暦で表示するには?
- 30:EnterpriseServerからServiceをインストールするには?
- 29:EnterpriseServerのDB作成でエラーが発生する?
- 28:インストール中に現れる[チャネルのロック]画面とは?
- 27:DeviceLockの現在の設定を一覧で確認するには?
- 26:アクセスを拒否した監査ログのみを抽出するには?
- 25:EnterpriseServerからSQLServerに接続できない?
- 24:特定のタイプのファイルだけ書き込みを許可するには?
- 23:イベントの発生を電子メールで通知するには?
- 22:Mac版DeviceLockをコマンドでインストールするには?
- 21:BitLocker To Goデバイスのみアクセスを許可するには?
- 20:シャドウログのローテーションを設定するには?
- 19:DeviceLock管理者を設定するには?
- 18:インストールされているバージョンとライセンスを知るには?
- 17:PC持ち出し時に自動で制御ポリシーを変えるには?
- 16:特定の時間帯だけ制御を有効にするには?
- 15:USB Devices Databaseを手作業で作成するには?
- 14:EnterpriseManagerのPCリストを作成するには?
- 13:カスタムMSIインストーラーを作成するには?
- 12:DeviceLockServiceと固定ポートで通信するには?
- 11:USBデバイスをブロックしたことをユーザーに通知するには?
- 10:DeviceLockをサイレントインストールするには?
- 09:Enterprise Managerでクライアント認証を設定するには?
- 08:ポリシーをエクスポート/インポートするには?
- 07:USBデバイスをデバイスクラス単位で使用許可するには?
- 06:インストール後にライセンスを適用するには?
- 05:適用済みのライセンスをクリアするには?
- 04:USBデバイスの利用を一時的に許可するには?
- 03:スタンドアロンクライアントのポリシーを変更するには?
- 02:DeviceLock証明書を生成するには?
- 01:監査ログのローテーションを設定するには?
- How to DeviceLockとは?