34: ハードディスクのアクセス制御について

今回のテーマ  ハードディスクのアクセス制御について

Question: やりたいこと

DeviceLockの、デバイスのアクセス許可対象リストに「ハードディスク」がありますが、もしこれを「読み込み禁止」に設定したら、Windowsやアプリケーションの起動、データファイルへのアクセスなどが出来なくなるのですか。
だとしたら非常に危険な設定だと思うのですが、ハードディスクのアクセス制御は、どのように利用したらよいのでしょうか。

Answer: こうすればできる

ハードディスクを制御することで、内蔵ハードディスクへのアクセスを制御できますが、通常、内蔵ハードディスクにはWindows OSの実行に必要なファイルが格納されているため、不用意にハードディスクを制御すると、Windows OSの起動に影響を与える恐れがあります。
なお、USB外付けハードディスクは、通常、リムーバブルディスク(着脱可能デバイス)と認識されるため、「ハードディスク」デバイスタイプ制御の影響を受けません。

詳細は下記をご覧ください。

Step: 注意点

ここでは、内蔵ハードディスクを制御する際の注意点と、制御の方法について説明します。

「ハードディスク」デバイスタイプ制御の注意点

  1. 「「ハードディスク」デバイスタイプは、何らかのタイプの接続インターフェース(IDE、SATA、SCSIなど)を持つ全ての内蔵ハードドライブ(SSDを含む)が対象です。
  • 外付けの全てのUSB、FireWire、PCMCIAハードドライブ、および、内蔵ハードドライブでも、ホットプラグ機能をサポートし、Windowsがインストールおよび実行されていない場合は「着脱可能デバイス」デバイスタイプとして扱われます。
  1. 「ハードディスク」デバイスタイプへのアクセスを拒否すると、ローカル管理者特権を持たないユーザーは、Windowsに実質ログオンできなくなります。ローカル管理者特権を持つユーザー(SYSTEMユーザーおよびローカルAdministratorsグループのメンバー)は、Windowsがインストールされて実行されているパーティションにはアクセスできます。
  • 何らかのアカウントが「SYSTEM」等の名を借りてシステムファイルにアクセスしている場合があり、このようなアクセスが拒否されることで、Windowsの起動に影響することがありますので、「ハードディスク」デバイスタイプに対しては、[SYSTEM]ユーザーに明示的に[フルアクセス]権限を付与することを推奨します。
  • 「ハードディスク」デバイスタイプへのアクセスを拒否した場合、システム構成によっては、ローカル管理者特権を持つユーザーでログオンした場合でも、ログオン後デスクトップが表示されず画面が真っ黒のままになる場合があります。
  1. 「ハードディスク」デバイスタイプの監査ログを取得すると大量のログが生成されることがありますので、本当に必要な場合以外は、ログの取得を行なわないことを推奨します。
  2. 「ハードディスク」デバイスタイプの不適切なアクセス制御設定によりWindowsが起動しなくなった、画面が表示されなくなった等の現象が発生した場合の復旧は非常に困難になります。「ハードディスク」デバイスタイプへのアクセス制御設定は、本当に必要な場合にのみ、事前にバックアップを取るなど復旧策をとった上で慎重に行なってください。

Step: 設定方法

「ハードディスク」デバイスタイプ制御によるアクセス制御設定

  1. DeviceLock管理コンソールを起動して、設定したいコンピューターのDeviceLock Serviceに接続します。
  2. 左ペインで[DeviceLock Service]-[デバイス]-[アクセス許可]と展開すると、右ペインに、設定可能なデバイス・ポートがリストされますので「ハードディスク」を探し、ダブルクリックするか、右クリックして表示されるコンテキストメニューから[アクセス許可の設定…]を選択すると、アクセス許可変更画面が表示されます。
  3. 初期値は全てのユーザー(Everyone)に対してフルアクセス権([ユーザーの権利]の全ての項目が[許可])が設定されています。
  4. [ユーザー]欄に、ハードディスクの使用を制御したいユーザーを指定します。ここでは一般ユーザー「user」を指定しておきます。
  5. [ユーザーの権利]欄で、必要なアクセス権を設定します。

    読み込み・書き出し・フォーマットとも許可します

    読み込み・書き出しを許可し、フォーマットを禁止します

    読み込みを許可し、書き出し・フォーマットを禁止します

    読み込み・フォーマットを許可し、書き出しを禁止します

    読み込み・書き出し・フォーマットとも禁止します
  6. [OK]ボタンをクリックして、設定画面を閉じます。

以上で、「ハードディスク」デバイスタイプ制御によるアクセス制御設定は終了です。

DeviceLockテクニカルガイドとは?

DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。

例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。

このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。

なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。

本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。

テクニカルガイド申し込みフォーム 

投稿日:2020年09月08日

How to DeviceLock 記事一覧