本記事は、マイクロソフト社員によって公開されております。
こんにちは、Windows サポート チームです。
本日は Windows Server 2016 以降のサーバーで確認されている、リムーバブル記憶域の監査のグループ ポリシー設定がされている環境で、リムーバブル ディスクのアクセス拒否ポリシーが有効にならない事象について紹介します。
概要
「オブジェクトの監査 (リムーバブル記憶域の監査)」のグループ ポリシーの設定がされている環境で、リムーバブル ディスクのアクセス拒否ポリシーが有効にならない。
対象 OS
・Windows Server 2016 version 1607 の 2018 年 5C 以降の全バージョン
・Windows 10 version 1607 の 2018 年 5C 以降の全バージョン
・Windows Server 2019、2022、Windows 11 の全バージョン
原因
2018 年 5 月の更新プログラムの修正の中で、リムーバブル メディアに対して Security Descriptor (セキュリティ記述子)を生成するかどうかを、レジストリ HotPlugSecureOpen によって制御するように変更されています。
以下のレジストリ の値が 0 の場合に、リムーバブル ディスクのアクセス拒否ポリシーが有効にならない事象が発生します。
キー HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Storage
名前 HotPlugSecureOpen
回避策
グループ ポリシー※適用後に HotPlugSecureOpen のレジストリを 0 から 1 に設定することで本事象を回避することが可能です。
※ グループ ポリシーは、「オブジェクトの監査 (リムーバブル記憶域の監査)」の設定を意味します。
// 注意事項
以下のような 設定後に、HotPlugSecureOpen が 0 の場合は、必ず HotPlugSecureOpen の値を 1 に設定 (再設定) する必要がございますのでご注意ください。
・グループ ポリシー 初回設定後
・グループ ポリシー 変更後
・ドメインコントローラーから GPO で当該グループ ポリシーを変更し、配布された後
// 手順
以下に上記の注意事項を考慮した ローカル グループ ポリシーを設定する際の一連の手順をご案内いたします。
[ファイル名を指定して実行] から、gpedit.msc を開きます。
[ローカルコンピューターポリシー] - [コンピュータの構成] - [Windows の設定] - [セキュリティの設定] - [ローカル ポリシー] - [監査ポリシー] - [オブジェクト アクセスの監査]を設定します。
あるいは、[ローカルコンピューターポリシー] - [コンピュータの構成] - [Windows の設定] - [セキュリティの設定] - [監査ポリシーの詳細な構成] の [システム監査ポリシー] から、[リムーバブル記憶域の監査] の設定をします。[ローカルコンピューターポリシー] - [コンピュータの構成] - [管理用テンプレート] - [システム] - [リムーバブル記憶域へのアクセス] から、リムーバブル ディスクのアクセス権の拒否設定をします。
[ファイル名を指定して実行] から、regedit を開きます。
以下の HotPlugSecureOpen の値を 1 に設定してください。
キー HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Storage
名前 HotPlugSecureOpen
手順は以上です。
補足
- HotPlugSecureOpen の値が存在しない場合もリムーバブル記憶域の監査、および、リムーバブル記憶域アクセスの制御は正常に動作いたします。
- 以下の公開情報の Note 欄に記載の通り、リムーバブル記憶域の監査の構成後に リムーバブル記憶域の監査イベントのログの記録を開始するため、HotPlugSecureOpen の値が 0 であった場合には 1 に設定する必要がございます。
Monitor the use of removable storage devices
変更履歴
- 2023/01/27 : 本 Blog の公開
- 2023/03/10 : 本 Blog の更新
- 2023/03/31 : 本 Blog の更新