http://www.microsoft.com/japan/windowsserver2003/activedirectory/kinko/default.mspx
http://www.exconn.net/Blogs/team02/archive/2005/08/19/2514.aspx
昨日付けでリリースされたホワイトペーパーです。
- リムーバブル記憶装置の使用制限
- 暗号化ファイルシステム (EFS) による情報漏えい対策
- Active Directory に格納されている個人情報を隠す
どの分野も実務レベルで応用できそうなサンプル スクリプトもついており、なかなかの良書です。
実は「リムーバブル記憶装置の使用制限」 に関しては、とあるお客様の要件で、半年ほど前に相当苦労して検証しておりました。
そのときの苦労を考えると、こうやって綺麗なドキュメントが公開されてしまうのはやや残念に思ってしまったりしますが、まぁ仕方がない。
その他の内容も、社内向けドキュメントをサマっている最中でしたが、リンクを貼ればよくなってしまった_| ̄|○
--
少しだけ経験に基づく細かい情報を加えておきますと、今回のホワイトペーパーにある方法をそのまま利用しても、一部のリムーバブル記憶装置(外部接続デバイス)の利用を禁止することができないケースがあります。
たとえば、「一見 USBストレージデバイス(つまり、UsbStor.inf ファイルを読み込むデバイス)に見えるが、実は独自のINFファイルを利用しているUSBメモリー」なんかが世の中には存在していまして、これをユーザーに使用されちゃうと、USBメモリーが使えてしまうという現象が発生します。(かなりのレア・ケースではあると思いますが…)
また、それ以外にも実は外部接続デバイスって、H/Wメーカー固有のデバイス・ドライバを持っているケースも多く、すべての端末で使用制限をかけるためには、全H/Wメーカーの端末で検証しておく必要があります。
というわけで穴もあったりしますが、それでも企業のセキュリティ・レベルを高めるためには相当の効果があると思いますので、ぜひホワイトペーパーを読んで試してみてください。
--
蛇足、というか 宣伝。
実は先に書いたプロジェクト経験をもとに、「リムーバブル記憶装置の使用制限」 とほぼ同じ内容を、日経Windows Pro 7月号 「トラブル解決 Q&A」コーナーに寄稿していたりします。タイトルは、"PCの外部接続デバイスの利用を広く禁止したい"です。
読者限定(要 ID& Password) ですが、日経Windows Pro のサイトにも掲載がありますので、ご参考までに。