28:インストール中に現れる[チャネルのロック]画面とは?

今回のテーマ ・・・ インストール中に現れる[チャネルのロック]画面とは

Question: やりたいこと

Setup.exeを使ってDeviceLockを既定値でインストールしました(セットアップタイプは「サービス+コンソール」)が、インストールが終了すると、何も設定していないのにUSBメモリーが使えなくなっていました。
アクセス制御のポリシーは会社で決めたように設定したいので、この既定のポリシーはキャンセルしたいのですが、今どのような設定になっているのか、わかりません。

どうすればよいでしょうか。

Answer: こうすればできる

DeviceLock ServiceをSetup.exeでインストールする際に、注意しなければならないことがあります。
インストールの途中に[チャネルのロック]という画面があり、ここでは、インストール終了後いくつかのアクセス制御が直ちに有効になるように設定できるようになっています。
インストール時に既定のアクセス制御ポリシーを適用しないためには、[チャネルのロック]設定を[スキップ]する必要があります。

Step: 解説

Setup.exeを使ってDeviceLock Serviceを含むコンポーネントのインストールを行なうと、インストールプロセスの途中で下のような画面が表示されます。

画面上部に[自動的にロック]欄があり、選択されたチャネル(デバイス・ポート・プロトコル)に対して、Windows管理者ユーザー以外からのアクセスが拒否されるように自動的に設定されます。

  • 上段がデバイス・ポート、下段がプロトコルの設定になります。

既定では、以下のチャネルが選択されています。

  • 光学ドライブ
  • フロッピードライブ
  • 着脱可能デバイス

本件の「やりたいこと」にある「何も設定していないのにUSBメモリーが使えなくなっていました」という現象は、この画面で着脱可能デバイスへのアクセスが既定で拒否される設定のまま、[OK]をクリックしたことによるものです。

この初期設定が必要ない場合は[スキップ]をクリックして先に進んでください。(推奨)

Step: 解説

[チャネルのロック]画面で自動的に設定されたアクセス制御設定をキャンセルするには、DeviceLock管理コンソールから以下を開いて、適切な設定に変更してください。

[DeviceLock Service] → [デバイス] → [アクセス許可] → [(対象のデバイス)]
(※プロトコルのアクセス許可については、既定で設定される項目はありません)

Step: 解説

「セキュリティ設定」欄では、チャネルのロック機能に優先する、基本的アクセス制御ポリシーの大前提を設定します。

  • 上段がデバイス・ポート、下段がプロトコルの設定になります。

各設定をチェックすることで、特定のデバイスタイプをアクセス制御の対象から外す、などの基本設定をすることができます。

  • 「チャネルのロック」画面をスキップしても、チェックされている通りに既定値が設定されます。
  • デバイス・ポートに対するセキュリティ設定について詳しくは、「テクニカルガイド 第7回 USBデバイスをデバイスクラス単位で使用許可するには」を参照してください。

Step: 解説

この設定を変更するには、DeviceLock管理コンソールから以下を開いて、適切な設定に変更してください。

[DeviceLock Service] → [デバイス] → [セキュリティ設定]
[DeviceLock Service] → [プロトコル] → [セキュリティ設定]

Step: 解説

また、[ローカルグループ(Allow_Access_to_…)が存在しない場合、生成する]に既定でチェックが入っています。
この画面でこの項目がチェックされたまま[OK]をクリックすると、[自動的にロック]欄でチェックされたチャネルに応じた名称の「Allow_Access_to_…」Windowsローカルグループが生成されます。
インストール中に、このグループのメンバーには、対応するチャネルに対して[読込み]、[書込み]、[取り出し]権限が割り当てられます。

Step: 解説

「Allow_Access_to_…」グループに対しては、対応するチャネルの[アクセス許可]でアクセス権が割り当てられます。

  • 下の例では、「Allow_Access_to_Removable」グループ(Removable = 着脱可能デバイス)が既に[ユーザー]欄に入っており、[読込み]、[書込み]、[取り出し]権限が割り当てられています。

この権限設定が必要でなければ、「Allow_Access_to_…」グループを[ユーザー]欄から削除してください。

Step: 解説

「Allow_Access_to_…」グループは、Windowsのローカルグループですので、以下のWindows管理ツールから確認できます。

[コントロールパネル] → [管理ツール] → [コンピューターの管理] → [システム ツール] → [ローカル ユーザーとグループ] → [グループ]

  • 下の例では、「Allow_Access_to_CDRom」 「Allow_Access_to_Floppy」 「Allow_Access_to_Removable」が作成されています。

初期状態では、これらのグループにはどのユーザーも所属していない、空の状態です。
前ページのようにアクセス許可等をグループ単位で行ないたい場合は、制御対象のユーザーを適切なグループに所属させてください。

作成されたグループが必要でない場合は、上記Windows管理ツールにて削除してください。

Reference: 参考

  • [チャネルのロック]画面で意図せず「OK」をクリックして進みインストールを完了した場合、本書で説明したように各設定を個別に変更・削除するか、DeviceLockをアンインストールする事でも設定は解除できます。
    ただし、「Allow_Access_to_…」グループはDeviceLockをアンインストールしても削除されないため、手動で削除してください。
  • DeviceLockのインストール終了後に[チャネルのロック]画面を再度表示する方法はありません。

DeviceLockテクニカルガイドとは?

DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。

例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。

このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。

なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。

本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。

テクニカルガイド申し込みフォーム