Q

Windows XPをクライアント・コンピュータとして使っています。ユーザーにFDD(フロッピ・ディスク・ドライブ)やDVDドライブといったデバイスを使わせないように制限したいと考えています。また,USBメモリーなどのストレージ接続を抑止するためにUSBの禁止も検討しています。これらの装置を管理者が設定しない限り使えないようにしたいのですが,よい方法はないでしょうか。

A

特定のデバイスの利用を禁止する方法は,様々な方法があります。それぞれ一長一短があるので,用途に適した方法を選択するとよいでしょう

BIOSやレジストリでデバイスを無効化
 FDDやDVD,USBといったデバイスは,BIOS(基本入出力システム)で無効に設定することで,利用を抑止できます(図1)。このBIOS設定をパスワード付きで実行すれば,目的を満たせます。ただし,これは,BIOSやハードウエアの種類により,設定項目がないなどの理由で無効にできないことがあります。

図1●FDDを無効に設定できるBIOSもある

 例えば,筆者が使用するPhoenix社のBIOSを搭載したデル製のパソコンでは,FDDとDVDドライブの設定項目はありますが,USBに関する設定は見当たりません。逆に,Award社のBIOSを持つセイコーエプソン製のパソコンでは,FDDの設定項目がありません。また,このパソコンのBIOSで,DVDドライブの検知を無効にしても,OS起動後ドライブが認識されて,ディスクの内容を確認できてしまいます。

 一方,Windows XPのレジストリ値を変更すると,Windowsエクスプローラでドライブを非表示にすることが可能です。レジストリ・キーのHKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorerの配下にあるNoDrivesというDWORD値を2進数ベースで設定します。

 例えば,Cドライブのみを表示したい場合,「11111111111111111111111011」と設定します。どのドライブを非表示にする場合にどの値を設定するかといった情報は,マイクロソフトのサポート技術情報(231289)を参照ください。

 ただし,この設定はあくまで非表示とするだけですので,スタート・メニューの[ファイル名を指定して実行]から直接「D:\」といった形でドライブのパスを指定すると,ドライブを開くことができてしまいます。

 確実にデバイスを無効にしたいなら,Windowsのデバイス・マネージャを使うとよいでしょう。管理者権限を持つユーザーでログオンし,管理ツールの[コンピュータの管理]を起動し,[システムツール]の下にある[デバイスマネージャ]を開き,利用させたくないデバイスを右クリックして[無効]を実行します(図2)。無効が設定されると,そのデバイスのアイコンに「×」マークが付きます。ただし,リムーバブルのUSBメディアの接続を禁止するには,USB全体を無効にするしかないので,他のUSB接続機器を使っているときはこの方法は有効ではありません。

図2●デバイス・マネージャを使って特定のデバイスを無効にする
無効にしたいデバイスを右クリックして[無効]を選択すれば,デバイスを無効にできる。
永尾幸夫