TOMOROH’sBlog

パソコンにスマートフォンの接続を制限する方法。(Windows 7/8.1)

執筆者:

トモロヲ~

カテゴリ:

こんばんわ。
TOMOROHです。

さて、今回はパソコンにスマートフォンをつなぎデータのコピーを抑止する設定についてです。

ローカルグループポリシーで設定する方法。

1.コマンドプロンプトで「gpedit.msc」と入力しEnter。

ローカルグループポリシー

ここの「リムーバルディスク」と「WPDデバイス」が今回の対象。
「すべてのリムーバル記憶域クラス」は全部止まってしまうのでここではパス。
ただこのあたりの設定を有効にしても最新のスマートフォンは利用可能でした。

ちなみに、これをレジストリで編集するのは
「WPDデバイス」の読み書き禁止はこちら

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices\{6AC27878-A6FA-4155-BA85-F98F491D4F33}]
“DenyWrite”=dword:00000001
“DenyRead”=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices\{F33FDC04-D1AC-4E8E-9A30-19BBD4B108AE}]
“DenyWrite”=dword:00000001
“DenyRead”=dword:00000001

「リムーバルディスク」の書き込み禁止はこちら
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}]
“Deny_Write”=dword:00000001

これだと片手落ちになるので、追加すべきはWPDデバイスで利用されるドライバをアクセスできないようにしてみます。

C:\Windows\Inf\WPDMTP.inf
C:\Windows\Inf\WPDMTP.pnf
これらのアクセス権を変更します。
SYSTEMとUSERあたりをアクセス拒否にするか、everyoneを追加しすべてをアクセス拒否します。
これで、新たに接続されるスマートデバイスは使えなくなります。

C:\Windows\System32\WpdMtp.dll
C:\Windows\System32\WpdMtpUS.dll
この二つも同様にアクセス拒否にします。
なお、アクセス権がSYSTEM権限しかないので変更するのに一手間必要です。

おそらくこの情報が必要な人は、それなりの知識を持たれており省略したところは何とかなると思うので。

ではでは。

参考:
Windows へのスマートフォンの接続を禁止する | Hebikuzure’s Tech Memo
こちらの記事を書いた後に発見したのでテストできていないのですが、こちらでできればこちらの方がスマートですね。

追記:
上の話。私が試した限りではダメでした。

あと、Windows 8.1だとWPDデバイスの読み取り不可でうまくいきそうですが、Windows 7 で一部のスマートフォン(※今回実験した端末はSH-01Fです。)などではなぜかポリシーを無視して接続されるという事例がありました。これは、本文で言っている内容のことです。

なんとも難しい内容ですね。

さらに追記:
GUIDを「usb¥ms_comp_mtp」にすればいけそうですが、もう少し検証がいるかも。
「これらデバイスIDと一致するデバイスのインストールを禁止する」を利用する場合は、互換性ID「USB\MS_COMP_MTP」を設定し、WPDデバイスのアクセス権の拒否で
いけました。
Hebikuzureさんのサイトに記載されているのはおそらく「これらのデバイスセットアップクラスと一致するドライバーを使用したデバイスのインストールを禁止する」かと。
こちらはついさっき気づいたので、実験できてません。
修正をお願いし、修正いただけたのであちらのサイトを参考にすると簡単です。

あと、今回のベネッセの事件はWPDデバイスのアクセスについてグループポリシーのリムーバルディスクのアクセス権についての設定はされていたと思われます。
私が実験した限り、新しいスマートフォンではWPDを拒否していても、書き込み可能でしたので、Windows 7のバグかもしれません。

ということで今回Hebikuzureさんが紹介している方法でブロックできそうという判断になりました。

なお、Hebikuzureさんが紹介している方法のレジストリは以下のとおり。

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions]
“DenyDeviceClasses”=dword:00000001
“DenyDeviceClassesRetroactive”=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions\DenyDeviceClasses]
“1”=”{eec5ad98-8080-425f-922a-dabf3de3f69a}”

結果、今回のファイルのアクセス権変更については、推奨レベルになりますね。

コメント

“パソコンにスマートフォンの接続を制限する方法。(Windows 7/8.1)” への2件のフィードバック

  1. やなぎぃのアバター
    やなぎぃ

    wpdusb.sys

    返信
  2. トモロヲ~のアバター
    トモロヲ~

    コメントありがとうございます。
    「WPDUSB.SYS」を削除または無効にすればよいのではないか?という内容と判断します。
    「WPDUSB.SYS」については、Windows Vistaまではありましたが、Windows 7以降は無くなっており、無効や削除はできません。
    Windows ポータブル デバイス用 WPDUSB.SYS ドライバーの削除
    そのため、Windows Vista以前はそれで問題なかったと思われます。

    なお、後継と思われる「WINUSB.SYS」については、影響範囲が不明であるため、今回無効にすることは行いませんでした。

    返信

トモロヲ~ へ返信する コメントをキャンセル

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

投稿をさらに読み込む