レジストリ
レジストリの変更
「ファイル名を指定して実行」で「regedit」と入力し、「レジストリエディタ」を起動します。
キーはツリー表示になっているので順番に選択し、対象となるキーに対してDWORD値などを変更することで、いろいろなカスタマイズが可能です。
値を変更した後は再起動が必要なものや、再ログインが必要なものなど色々あるので注意しましょう。
USBストレージを無効にする
セキュリティを強化する上でUSBストレージの扱いは重要です。
ここではUSBストレージを単純に使用禁止にする。これでUSBストレージデバイスを接続してもドライバがロードできなくなり、ハードウェアのインストールに失敗するようになります。
- レジストリエディタで「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR」を開く
- キー「USBSTOR」の中でDWORD「Start」がない場合は「新規」→「DWORD値」を選択し「Start」を新規作成する
- REG_DWORD「Start」の値によってUSBストレージの有効/無効を切り替える
USBストレージを読取り専用(リードオンリー)にする
単純に禁止するのであればUSBストレージ自体を無効にしてもいいが、そこまでするとデメリットが大きいような気がします。
そこで情報を持ち出せないという点にフォーカスして、USBストレージへの書き込みを禁止し、読取り専用になるようにします。
- レジストリエディタで「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies」を開く
- 「StorageDevicePolicies」がない場合は「新規」→「キー」を選択し作成する
- キー「StorageDevicePolicies」の中で「新規」→「DWORD値」を選択し「WriteProtect」を新規作成する
- REG_DWORD「WriteProtect」の値によってUSBストレージのリードライトを制御する
- 0:読み書き共に可能(リードライト)
- 1:読取り専用(リードオンリー)
ネットワークドライブの割り当て/切断を制限する
USBストレージを制限してもネットワークドライブを使って外部に接続されては困るので、ネットワークの割り当て/切断を制限します。
通常はエクスプローラの「ツール」メニューにある項目が表示されなくなります。
- レジストリエディタで「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer」を開く
- キー「Explorer」の中で「新規」→「DWORD値」を選択し「NoNetConnectDisconnect」を新規作成する
- REG_DWORD「NoNetConnectDisconnect」の値によってネットワークドライブの割り当て/切断を制御する
- 0:割り当て/切断が有効
- 1:割り当て/切断が無効
マイネットワークで自分のPCを他の人から見えなくする
デフォルトでサーバ・サービスが組み込まれているために、「マイネットワーク」を見るとワークグループやドメインに参加しているPCが一覧で表示されます。
また一覧の中からコンピュータを選択することで、共有フォルダや共有プランタなどに簡単にアクセスができます。
それを防ぐために、共有機能を停止するのではなく、「マイネットワーク」の一覧からPCを秘匿します。
なお、エクスプローラで直接UNCを指定した場合には、通常通りアクセスできます。
レジストリから変更する方法
- レジストリエディタで「HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters」を開く
- キー「Parameters」の中で「新規」→「DWORD値」を選択し「Hidden」を新規作成する
- REG_DWORD「Hidden」の値によってPCを秘匿するかどうかを制御する
コマンドプロンプトから変更する方法
レジストリを直接変更したくない場合や、Sysprepで初期化した際に設定するときなどに便利です。
※ただし、マイネットワークのPC一覧はキャッシュされているので、直ぐに反映されるわけではありません。
参考
Top