デスクトップ、マイドキュメントなどのローカルディスクを書き込み禁止に

今回は、Universal Shieldを使い、デスクトップ、マイドキュメントなどのローカルディスクを書き込み禁止にする方法を紹介します。

Windows環境におけるデータ管理の難しさ

データセキュリティが見直されつつある今日において、特に企業においては、データを各コンピュータのデスクトップやマイドキュメントなどのローカルハードディスクには保存させず、ネットワーク上に保存させこれを管理者が一元管理するといった運用が注目されています。

しかし実際は、Windowsが各ユーザー用に用意するローカルディスク上のデスクトップやマイドキュメントなどを書き込みを禁止することはできず、徹底したデータの一元管理を行なえていないのが実情です。

ローカルディスクを書き込み禁止にし、徹底したデータの一元管理を実現！

Universal Shieldは、非可視化（OSから存在を隠す）を始めとするNTFSより上位の独自アクセス権により、対象を如何なる権限のプロセスからも確実に保護できるセキュリティーソフトで、今回はこれを用い、デスクトップ、マイドキュメントなどのローカルディスクにデータを保存させない環境を構築します。

構築する環境

• ユーザにデータをデスクトップ、マイドキュメントなどのローカルハードディスクに保存させない。
• アンチウィルスソフトは常時、ドライブ全体を常駐監視。
• お気に入りの追加のみ許可（履歴、Cookieの利用は禁止）。
• 外付けデバイスは、読み取り専用。
• Universal Shieldの存在をユーザーに隠した状態で運用を行なう。
  
  
  

環境シナリオ

今回は次のシナリオを想定しています。導入手順についてはこちら (PDF)を参照ください。

• ユーザーが利用するPCは、ActiveDirectoryに参加したWindowsXP ProSP2。
• ユーザーは、DomainUsersに所属する専用のドメインアカウントにてログオンしPCを利用。
• ローカルハードディスクに用意されたパーティションはCドライブのみ。
• アンチウィルスソフトが常駐監視
• マイドキュメントのパス変更および自動実行機能は禁止
  

スムーズな導入、管理のために

初期導入時においては、Universal Shield導入済みのコンピュータをクローニングすることで、容易に複数台への導入も可能ですが、既存環境への導入においては、管理ツールなどを用いた一斉展開がもっとも有効な導入手段となります。
また、Universal Shieldは、コマンドレベルによる保護の有効／無効化が可能であり、運用後のメンテナンス性（プログラムの追加、大規模なアップデートなど）を考慮した場合、ネットワーク上から有効／無効を指示できる管理ツールとの併用がもっとも望ましいと考えます。

注意事項

今回ご紹介した環境構築に関する注意事項となります。詳細についてはこちらからご質問ください。

• 外付け付けドライブ全体に対し属性設定を行う場合、Windowsの自動実行機能を無効化する必要があります。
• ステルスモードで動作するUniversal Shieldの有効／無効を遠隔で操作するには、専用ツールが必要となります。
• 初回ログオン時については、Universal Shieldを無効化しておく必要があります。
• 運用方針により保護設定内容は異なります。
• システム、プログラムなどが頻繁に利用するApplication Data、Local Settingsフォルダなどの書き込みを抑制する場合には、十分な動作検証を行なってください。

Copyright 2008 nextEDGE Technology K.K. All rights reservied.
作成 : T.Sugita 2008.05.09