アプリケーションとデバイスの制御ポリシーで USB ドライブを遮断しながら特定の USB ドライブのみ読み取りを許可する方法
search cancel

アプリケーションとデバイスの制御ポリシーで USB ドライブを遮断しながら特定の USB ドライブのみ読み取りを許可する方法

book

Article ID: 231686

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

Symantec Endpoint Protection Manager (SEPM) のアプリケーションとデバイス制御 (ADC) ポリシーで特定の USB ドライブのみ読み取りを許可し、その他の USB ドライブを遮断する方法を知りたい。

Resolution

デバイス ID を特定する

  1. Windows タスクバーで [スタート] - [設定] - [システム] の順にクリックします。
  2. [ハードウェア]タブで、[デバイスマネージャ]をクリックします。
  3. [スタート] ボタンを右クリックし [ファイル名を指定して実行] を選択します。
  4. mmc devmgmt.msc と入力してデバイスマネージャーを起動します。
  5. デバイスマネージャーのリストで ID を特定したいデバイスをダブルクリックします。
  6. デバイスのプロパティダイアログボックスの [詳細] タブで [デバイスインスタンスパス] を選択します。
  7. CTRL + C キーを押して ID 文字列をコピーします。

ルールを構築するための正しいデバイス ID を見つけるのが困難な場合、デバイスマネージャーのメニューバーの [表示] で [デバイス (接続別)] とすることで特に USB 除外のトラブルシューティングの際に役立つ可能性があります。

SEPM ポリシーにハードウェアデバイスを追加する

  1. SEPM で [ポリシー] ビューを選択します。
  2. [ポリシー] セクションで [ポリシーコンポーネント] をクリックしてサブリストを展開します。
  3. [ハードウェアデバイス] を選択します。
  4. [タスク] で [ハードウェアデバイスの追加] を選択します。
  5. デバイスを識別するための名前 (例:管理者用 USB フラッシュドライブ) を入力します。
  6. [デバイス ID] を選択し、CTRL + V キーを押してデバイスマネージャーからコピーしたデバイス ID を貼り付けます。
  7. [OK] をクリックします。

ドライブやデバイスを除外リストに追加する

  1. SEPM の [ポリシー] で [アプリケーションとデバイス制御] を選択します。
  2. 該当するアプリケーションおよびデバイス制御ポリシーを右クリックし [編集] を選択します。

アプリケーション制御を使用する

  1. [アプリケーション制御] を選択します。
  2. [USB ドライブへの書き込みを遮断する] にチェックを入れ、[テスト/実働] を [テスト] に変更した上で [編集] ボタンを選択します。
  3. [USB ドライブへの書き込みを遮断する] のルールを選択し [次のファイルとフォルダに適用しない] の右の [追加] を選択します。
  4. [一致するファイルまたはフォルダの名前] 欄に * (アスタリスク) を入力します。
  5. [次の ID 種類のデバイス上にあるファイルのみを照合する] にチェックを入れ [選択] ボタンを押します。
  6. ハードウェアリストに追加されたデバイス (先ほど追加したユニークな USB デバイス) を選択 (ハイライト) して [OK] を押します。
  7. SEPM の [アプリケーションとデバイス制御ポリシー] ウィンドウまで [OK] を押してウィンドウを閉じます。
  8. ポリシーを右クリックして [割り当て] を選択します。
  9. 編集したポリシーを割り当てるグループを選択します。
  10. [割り当て] を選択します。

クライアントが新しいポリシーを取得したとき、ポリシーを正しく動作させるために再起動が必要な場合があります。その場合、クライアントには新しいポリシーの変更に伴い再起動が必要であるという通知メッセージが表示され、SEPM の要再起動マシンリストにクライアントがリストアップされます。

作成したポリシーについては アプリケーション制御ルールのテスト を参考に十分テストしてから本番環境に適用してください。

デバイス制御を使用する

  1. [デバイス制御] を選択します。
  2. [遮断するデバイス] セクションで [追加] をクリックし [USB] を選択して [OK] をクリックします。(ディスクドライブが表示されていない場合すでに遮断するデバイスとして追加されています)。
  3. [遮断から除外するデバイス] で [追加] をクリックします。
  4. [Human Interface Devices] と除外するデバイスを選択し [OK] をクリックします。
  5. [アプリケーションとデバイス制御] ポリシーウィンドウで [OK] をクリックし、このポリシーをクライアントグループに割り当てます。 

Additional Information

[英語文書] How to block USB hard drives, but allow reading specific USB drives in the Application and Device Control Policy

Powered by Wolken Software