こんにちは、 Windows & Device グループの松村です。
今回は VMware 環境で確認されている、VMware 環境で作成された仮想マシンのドライブにアクセスできなくなる事象について、グループ ポリシーに触れながらご説明いたします。
グループ ポリシーとは?
グループ ポリシーとは、その名の通りグループに適用されるポリシー(方針・規範)のことです。
各ポリシー項目は様々であり、一例として以下が挙げられます。
・コントロール パネルと PC 設定へのアクセスを禁止する・プリンターを追加できないようにする・ユーザーのログオン時に実行するプログラムを指定する など
グループ ポリシーは個別に設定されるのではなく、多岐にわたるカテゴリーのポリシーの設定をまとめたものをグループ ポリシー オブジェクト (GPO) として作成し適用するのが基本動作となります。
このポリシーの割り当ては Active Directory ドメイン サービス (AD DS) で管理された複数のコンピューターに一括で割り当てることが可能です。
また、AD DS に参加していないローカル コンピューターでもローカル グループ ポリシーを利用することで実現が可能です。
GPO は階層順に優先度があり、次のように子組織単位 (OU) に適用される GPO が最も優先されます。
- 子 OU
- 親 OU
- ドメイン
- サイト
- ローカル コンピューター
複数の階層で GPO で設定した場合、各ポリシー項目ごとに最上位の階層の GPO で設定されたポリシーの設定が適用されます。
(例えば、子 OU とドメインそれぞれに GPO が設定されているが、ドメインの GPO はポリシー項目 A について設定されており、子 OU の GPO はポリシー項目 A について設定されていない場合、ポリシー項目 A にはドメインのポリシー設定が適用されます。)
昨今のセキュリティ事情により情報漏えい対策の一環として重要な「リムーバブル ディスクの制御」も、このグループ ポリシーを使用して制御することが可能です。
実際の方法については以下のリソースで詳しく説明されていますので、本記事と併せてご参照ください。
-
◆ グループ ポリシーを使用してリムーバブル デバイスのアクセスを制御する方法
https://blogs.technet.microsoft.com/askcorejp/2016/02/01/1245/
VMware 環境で発生する事象と原因
「リムーバブル ディスクの制御」に対するポリシーを有効にした影響として、VMware 環境の仮想マシンをご使用のお客様から次のようなお問い合わせをいただくことがございます。
例 1:
リムーバブル記憶域に対する監査ログが、ローカル ディスク (D: ドライブ) に対しても出力されてしまう
例 2:
仮想マシンのローカル ディスク (D: ドライブ) に対して書き込みができなくなった
これらの現象の発生原因は、VMware によって作成された仮想マシンの SCSI デバイスが Windows において構成によってはリムーバブル ディスクとして識別されるためです。
VMware によって作成される仮想マシンの SCSI コントローラーは、コンピューターが稼働したまま着脱可能なホット プラグに対応しております。
ホット プラグ可能なデバイスは Windows においてリムーバブル デバイスとして識別され、リムーバブル ディスクに対するグループ ポリシーが適応されます。
下図のように、ホット プラグ可能なデバイスとして認識されている状況が確認できます。
(Hyper-V の仮想マシンはホット プラグ不可のため、本事象は発生いたしません。)
なお、現在までにお問い合わせいただいている状況では、C ドライブに書き込みができなくなった報告はございません。
C ドライブは Windows の動作に必要なファイル群が保存されており、動作に必須なドライブですので、このポリシーの影響を受けません。
対応策
Windows としては、VMware から取得するハードウェアの情報を元にホット プラグと判断するため、対応策として、リムーバブル ディスクのアクセス制御を無効にしていただく以外の方法がございません。
お問い合わせでは、グループ ポリシーの「リムーバブル ディスク : 書き込みアクセス権の拒否」が有効であるために事象が発生している事例が多く寄せられています。
グループ ポリシー エディタ上の「コンピューターの構成 – 管理用テンプレート – システム – リムーバブル記憶域へのアクセス」から、「リムーバブル ディスク : 書き込みアクセス権の拒否」の設定状況をご確認ください。
また、VMware の仮想マシンにおいて、ホットプラグの機能を無効化する方法が VMware 社様から公開されています。
弊社検証環境で実施したところ、お問い合わせいただいた事象が改善したことが確認できておりますので、VMware の仮想マシンにおいてもリムーバブル ディスクのアクセス制御をされたい場合は、お客様環境にて以下をお試しいただければと思います。
お客様の仮想マシンの運用方法に合わせて、適切な方法をご採用ください。
-
ホット プラグを無効化する
VMware 環境の仮想マシンにおいて、以下のリソースを参考にホット プラグを無効化してください。
◆ ESXi 6.x、5.x および ESXi/ESX 4.x 仮想マシンで HotAdd/HotPlug 機能を無効にする (2079111)
https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2079111
※ VMware 社様におかれましても、本事象について以下のリソースに公開情報を掲載されておりますのでよろしければ併せてご確認ください。
-
◆ Windows のグループポリシーを構成すると、データドライブにアクセスできなくなる (2100405)
https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2100405