回答:
これにはグループポリシーオブジェクトが必要です。ActiveDirectoryを介してプッシュできます。gpedit.mscWinXP Proを参照してください。
Windowsデスクトップの場合は、ローカルポリシー(またはActive Directoryの場合はグループポリシー)を使用できます。デフォルト設定はありませんが、MS提供のテンプレートはMSKB 555324にあります。
コンピュータのBIOSからUSBポートを無効にできるはずです。また、ケーブルをマザーボードから取り外してください。
ポートを無効にしても、本当に望んでいるように動作するとは思いません。これらのコンピューターがPS2マウスとキーボードを使用している場合を除きます。キーボードとマウスに使用できるUSBポートがある限り、誰かがハブを差し込んで、それにUSBドライブを差し込むだけです。本当にやりたいことは、コンピュータがUSB経由で接続されたUSBストレージデバイス(他のUSBデバイスではない)を認識しないようにすることです。
ユーザーが自分のPCに対する管理者権限を持っている場合、ユーザーはこれを防ぐために何をしても上書きできます。ただし、以下のリンクからマイクロソフトの推奨ソリューションにアクセスできます。
http://support.microsoft.com/kb/823732
すでに述べたように、BIOSでUSBスティックからの起動を防ぐこともできます。
ソフトウェアソリューションの使用に不安がある場合は、いくつかのハードウェアロックを購入できます。
これは、マシンごとにこれらを取得する予算があることを前提としています。また、USBの場合は、キーボードとマウスを外さないようにする必要があります。
スタンドアロンマシンだけでなく、いくつかのドメインマシンでもこれを実行する必要がありました。GPOの方が適切な方法ですが、私はその方法でそれを行う余裕がありませんでした。明らかに、誰かがマシンに対する管理者権限と少しの知識を持っていれば、これを元に戻すことができます。
私がこれを使用していたとき、私たちはすべてのXPマシンを持っていました。ユーザーに管理者権限がありませんでした。パワーユーザーは[想定されない]ユーザーではありません。ユーザーがUSB大容量ストレージデバイスを使用できないようにするために、一部の他の管理者はUSBSTOR.SYSを削除しました。したがって、USB大容量記憶装置を再度有効にする必要がある場合は、ドライバファイルも復元する必要がありました。(したがって、以下のファイルと一緒に現在のコピーを手元に置いておきました)。「Enable.bat」の私のコピーには、必要に応じてファイルを復元するための行があります-ここではコメントアウトしました-。
Disable.bat:
(「BUILTIN \ Administrators」をCACLSコマンドに追加する必要がある場合があります。環境内で追加する必要はありませんでした)
@echo off
REM *********************************************************************
REM Disabling USB Mass Storage Driver
REM *********************************************************************
echo Disabling USB Mass Storage Driver
CACLS %SYSTEMROOT%\system32\Drivers\USBSTOR.SYS /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /D "BUILTIN\Users" "NT AUTHORITY\SYSTEM" "BUILTIN\Power Users"
REG.EXE IMPORT "Disable.reg"
Disable.reg:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004
Enable.bat
(「BUILTIN \ Administrators」のCACLSコマンドの別のセットを追加する必要がある場合があります。自分の環境では必要ありませんでした)
@echo off
REM *********************************************************************
REM Enabling USB Mass Storage Driver
REM *********************************************************************
echo Enabling USB Mass Storage Driver
REM XCOPY /E /Y /I USBSTOR.SYS %SYSTEMROOT%\system32\Drivers
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\system32\Drivers\UsBSTOR.SYS /E /G "BUILTIN\Power Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Users":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "NT AUTHORITY\SYSTEM":R
CACLS %SYSTEMROOT%\INF\UsBSTOR.INF /E /G "BUILTIN\Power Users":R
REG.EXE IMPORT "Enable.reg"
Enable.reg:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000003
同様のことがVistaでも機能する可能性があります-しかし、試したことはありません。
これらのポートをコンピューターから効果的に「削除」しようとしている場合(そして、USBが必要な場合)、およびコンピューターを変更する場合は、2液型エポキシ樹脂をお勧めしますか?コネクタをエポキシで覆い、誰も再びそこに何かを差し込むことはありません。ホットメルト接着剤は少し永久的ではありませんが、それでもかなり効果的です。
キーボード/マウス用のUSBポートがまだ必要であると仮定すると、1つまたは2つのポートをカバーしないままにする必要があります。
ドライブロック。また、必要に応じてUSBスティックからファイルをミラーリングし、デバイス、ファイルタイプ、およびユーザーのホワイトリストとブラックリストを許可します。
次の方法でUSB ストレージを無効にできます。
http://support.microsoft.com/kb/823732
USBストレージを読み取り専用にすることもできます。これは、ユーザーがUSBデバイスからデータを読み取ることができるため(カメラからの写真など)、企業データベースをメモリスティックにコピーできないため、多くの場合、適切な妥協案です。
http://www.petri.co.il/configure_usb_disks_to_be_read_only_in_xp_sp2.htm
最近、キーボードやマウスなどのUSBが一般的に必要になるため、USBを完全に無効にすることはお勧めできません。上記の両方は、レジストリエントリまたはポリシーファイルを介して設定できます。これらの設定の強度は、Windowsポリシーおよびグループ設定と同じくらい強力になります。