アカウント名:
パスワード:
Windows だとこれかなほぼほぼ17年前から使える・・
USB 記憶装置を使用できないようにする方法https://support.microsoft.com/ja-jp/topic/usb-%E8%A8%98%E6%86%B6%E8%A3... [microsoft.com]
定期的にこの話題があって、ここでもハードウエア的に潰す議論があったように思うキーボードもマウスも bluetoothあるんで一般社員だとまず潰してもいい
ハード屋さんはいるねぇ
AD環境なら、グループポリシーで一括して止められますね。割とよくやる手なので資料もネット上にたくさんあってhttps://ittrip.xyz/soft/windows/gpo-usb [ittrip.xyz]https://btsn.hatenablog.com/entry/2019/05/08/234624 [hatenablog.com]などなど。
許可したPCには別のポリシー割り当てるなどで一時的に解除もできるから、Windows PCなら簡単。
※しかし「例外的には許可制」なら、それを「原則禁止」というのでは。
やっぱりそういうのありますよね
うちもADのGPでUSBは止めてあるんだが、いまどきなんとも仕事でDVD媒体読み込んで…って仕事があるのでそのひとたち用のPCは申請させて個別にレジストリを変更してるDVD使うのやめてネットのサービスに切り替えればいいのに人数分のアカウント料金を合計したらナントカカントカ言ってて ブホブホデジカメの写真もPCに取り込まないといけないから当然、USBメモリは読み書きできるDVDに書き込みなんてちゃめしごとこういう部署があるとどんだけガーガー言ってやってみたところで所詮はねー美しく高らかに宣言したセキュリティ・ポリシーに穴開けて最悪むごたらしいことになりかねんのよね
仮想デスクトップにしてしまって、仮想デスクトップ側からローカルにファイル転送できなくするという方法もありますただ、該当の件だと「システムの保守担当の派遣社員が、管理者アカウントでデータをダウンロード」という経路なので、もっと根本的に体制から見直さないとダメだと思います
仮想デスクトップにしてしまって
RDPやVNCやシンクライアントかな?過去でも現代でもWinでもLinuxでも仮想デスクトップってPC内の別画面ではないかと
たしか事故後に発表された再発防止策のひとつに入ってたね。リモート接続した先からファイルのダウンロードまでできるようになっていたので、ダウンロードはできないようにするといった内容。
いうても記録媒体の持ち込み禁止や操作を検知するソフトウェアは導入されていたようだが監視が不十分だったということだろうか。うちも監視はしてるから何かあった時は逃がさんが使用は自由のポリシーなのだけれども。
bluetooth許可する方がヤバいと思うのは素人考えですかね
なるほど。スマホに転送とかできるから?サポセンとかでなければ、スマートフォン禁止までできんから。
だからWindows でのポリシー設定のほうが安全ということね。
USBもBT禁止なのにNFCで入館認証というガバガバなとことかありそう
# NFCでファイル転送できちゃうよね
業務用PCにNFC装置がついて・USBで追加ができなくても、入館システム管理用PCを攻撃して人員情報は盗めるとか?まあ製薬会社とか軍隊とかは気を付けたほうがいいのかもしらん
テナントで入居してるならビル管側の入退室管理とテナントさんのシステムをつなぐわけにはいかないのでねビル側の入退室管理はセキュリティドアにカード番号を送信して蓄積させて、カードがタッチされたら開ける/開けないをさくっと判断してやってるふつーはビル管のシステムはいわゆる外部ネットワークとは切り離されたクローズドにしておかないと冷熱、電力、空調まで管理してるシステムだから外部ネットワークにつなぐとか基本的にはもってのほかちょっとテアイ異なるけど過去の経験からだと340Wのサーバーを240台、1部屋でブンブンいわしてて、ある日、地下のチラーが故障した(制御してたマイコン死んだ)んだが15分で室温40度超えてサーマルでばちばち落ちだしてしまってばいしょ くぁwせdrftgyふじこlp うに ゲフンゲフン
でもサブシステムはインターネットに繋がってるでしょ挙げられてる温度警告の他に電力管理もサプライ警告も遠隔監視システムも…
bluetoothのデータ転送速度って有線規格に比べたら気が遠くなるほど遅いから大規模漏洩を想定するならUSBよりよほど安全だと思う。データ転送そのものを縛りたいなら許可するプロファイル縛っちゃえばいいだけだし。
USB Type-C のコネクタだとロック付の蓋を被せるのは難しそうだなそれでもなんとかロックかけるアイデア商品が出てくるかな?法人向けにType-Cコネクタ部分をロックして接続不能に出来るノートPCがあっても良い
昨今だとUSB Type Cからでないと充電できないノートPCばっかりだぞ
ハード屋としては評価が全く出来なくなりますね。
UART(D-sub9)は最近だとついている事がニュースになるぐらい皆無。最近のノートだとEthernet(RJ45)すらついてないPCが増えてる。各種CPUやらFPGA・SPI Flashの書き込みもほぼUSBが必要。そもそもJTAGのPC側はUSBが主流。設計用だけど(ライセンスによっては)CADとかのドングルの口がUSBなのも山ほど。
# 意外と面倒なのがケーブル。# 未だUSB2のA-Bタイプのケーブルが必要だったりするのもあるし# もちろんMini-Bもまだまだ現役。秋月に売ってるからいいけど。
その辺って世間一般では極端に理解度が低くて、Googleでさえある時まで複数NICとか変なマスストレージもどきとかLinuxじゃないコンピュータとかをうまく扱えずバグるクラウド人間が作った謎の内製MDMを使ってて、ハードウェアチームはみんなコード持ち出してたとか、持ち込んで写経して回避してたとか、バージョン管理が~終了~してた、なんて話を見たことがありますね。Googleでさえ!
# Googleだからかもしれないけども。Pixelの不具合もさもありなんか。
こういう想定される例外対応(例外でもないが)や、諸々ある泥臭い現場への対応可能度合いを比べるとGoogle<Apple<MSの序列は揺るがない気がする
VMWareをインストールして、USBポートをゲストOSに割り当てると、以下自粛ええ、Windowsじゃ開発ツールを動かせなかったんだよ!
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
これから出来る事 (スコア:2)
Windows だとこれかな
ほぼほぼ17年前から使える・・
USB 記憶装置を使用できないようにする方法
https://support.microsoft.com/ja-jp/topic/usb-%E8%A8%98%E6%86%B6%E8%A3... [microsoft.com]
定期的にこの話題があって、ここでもハードウエア的に潰す議論があったように思う
キーボードもマウスも bluetoothあるんで一般社員だとまず潰してもいい
ハード屋さんはいるねぇ
グループポリシ (スコア:1)
AD環境なら、グループポリシーで一括して止められますね。割とよくやる手なので資料もネット上にたくさんあって
https://ittrip.xyz/soft/windows/gpo-usb [ittrip.xyz]
https://btsn.hatenablog.com/entry/2019/05/08/234624 [hatenablog.com]
などなど。
許可したPCには別のポリシー割り当てるなどで一時的に解除もできるから、Windows PCなら簡単。
※しかし「例外的には許可制」なら、それを「原則禁止」というのでは。
Re:グループポリシ (スコア:1)
やっぱりそういうのありますよね
Re: (スコア:0)
うちもADのGPでUSBは止めてあるんだが、いまどきなんとも仕事でDVD媒体読み込んで…って仕事があるのでそのひとたち用のPCは申請させて個別にレジストリを変更してる
DVD使うのやめてネットのサービスに切り替えればいいのに人数分のアカウント料金を合計したらナントカカントカ言ってて ブホブホ
デジカメの写真もPCに取り込まないといけないから当然、USBメモリは読み書きできるDVDに書き込みなんてちゃめしごと
こういう部署があるとどんだけガーガー言ってやってみたところで所詮はねー
美しく高らかに宣言したセキュリティ・ポリシーに穴開けて最悪むごたらしいことになりかねんのよね
Re:これから出来る事 (スコア:1)
仮想デスクトップにしてしまって、仮想デスクトップ側からローカルにファイル転送できなくするという方法もあります
ただ、該当の件だと「システムの保守担当の派遣社員が、管理者アカウントでデータをダウンロード」という経路なので、もっと根本的に体制から見直さないとダメだと思います
Re: (スコア:0)
仮想デスクトップにしてしまって
RDPやVNCやシンクライアントかな?
過去でも現代でもWinでもLinuxでも仮想デスクトップってPC内の別画面ではないかと
Re: (スコア:0)
たしか事故後に発表された再発防止策のひとつに入ってたね。
リモート接続した先からファイルのダウンロードまでできるように
なっていたので、ダウンロードはできないようにするといった内容。
Re: (スコア:0)
いうても記録媒体の持ち込み禁止や操作を検知するソフトウェアは導入されていたようだが監視が不十分だったということだろうか。
うちも監視はしてるから何かあった時は逃がさんが使用は自由のポリシーなのだけれども。
Re: (スコア:0)
bluetooth許可する方がヤバいと思うのは素人考えですかね
Re:これから出来る事 (スコア:1)
なるほど。スマホに転送とかできるから?
サポセンとかでなければ、スマートフォン禁止までできんから。
だからWindows でのポリシー設定のほうが安全ということね。
Re: (スコア:0)
bluetooth許可する方がヤバいと思うのは素人考えですかね
USBもBT禁止なのにNFCで入館認証というガバガバなとことかありそう
# NFCでファイル転送できちゃうよね
Re: (スコア:0)
業務用PCにNFC装置がついて・USBで追加ができなくても、入館システム管理用PCを攻撃して人員情報は盗めるとか?
まあ製薬会社とか軍隊とかは気を付けたほうがいいのかもしらん
Re: (スコア:0)
テナントで入居してるならビル管側の入退室管理とテナントさんのシステムをつなぐわけにはいかないのでね
ビル側の入退室管理はセキュリティドアにカード番号を送信して蓄積させて、カードがタッチされたら開ける/開けないをさくっと判断してやってる
ふつーはビル管のシステムはいわゆる外部ネットワークとは切り離されたクローズドにしておかないと
冷熱、電力、空調まで管理してるシステムだから外部ネットワークにつなぐとか基本的にはもってのほか
ちょっとテアイ異なるけど過去の経験からだと340Wのサーバーを240台、1部屋でブンブンいわしてて、ある日、地下のチラーが故障した(制御してたマイコン死んだ)んだが
15分で室温40度超えてサーマルでばちばち落ちだしてしまってばいしょ くぁwせdrftgyふじこlp うに ゲフンゲフン
Re: (スコア:0)
でもサブシステムはインターネットに繋がってるでしょ
挙げられてる温度警告の他に電力管理もサプライ警告も遠隔監視システムも…
Re: (スコア:0)
bluetoothのデータ転送速度って有線規格に比べたら気が遠くなるほど遅いから大規模漏洩を想定するならUSBよりよほど安全だと思う。
データ転送そのものを縛りたいなら許可するプロファイル縛っちゃえばいいだけだし。
Re: (スコア:0)
USB Type-C のコネクタだとロック付の蓋を被せるのは難しそうだな
それでもなんとかロックかけるアイデア商品が出てくるかな?
法人向けにType-Cコネクタ部分をロックして接続不能に出来るノートPCがあっても良い
Re: (スコア:0)
昨今だとUSB Type Cからでないと充電できないノートPCばっかりだぞ
Re: (スコア:0)
ハード屋としては評価が全く出来なくなりますね。
UART(D-sub9)は最近だとついている事がニュースになるぐらい皆無。
最近のノートだとEthernet(RJ45)すらついてないPCが増えてる。
各種CPUやらFPGA・SPI Flashの書き込みもほぼUSBが必要。
そもそもJTAGのPC側はUSBが主流。
設計用だけど(ライセンスによっては)CADとかのドングルの口がUSBなのも山ほど。
# 意外と面倒なのがケーブル。
# 未だUSB2のA-Bタイプのケーブルが必要だったりするのもあるし
# もちろんMini-Bもまだまだ現役。秋月に売ってるからいいけど。
Re:これから出来る事 (スコア:2)
その辺って世間一般では極端に理解度が低くて、Googleでさえある時まで複数NICとか変なマスストレージもどきとかLinuxじゃないコンピュータとかをうまく扱えずバグるクラウド人間が作った謎の内製MDMを使ってて、ハードウェアチームはみんなコード持ち出してたとか、持ち込んで写経して回避してたとか、バージョン管理が~終了~してた、なんて話を見たことがありますね。Googleでさえ!
# Googleだからかもしれないけども。Pixelの不具合もさもありなんか。
Re: (スコア:0)
こういう想定される例外対応(例外でもないが)や、諸々ある泥臭い現場への対応可能度合いを比べると
Google<Apple<MSの序列は揺るがない気がする
Re: (スコア:0)
VMWareをインストールして、USBポートをゲストOSに割り当てると、以下自粛
ええ、Windowsじゃ開発ツールを動かせなかったんだよ!