액티브 디렉토리 - 클라이언트 PC의 프로그램 실행 막기 - 소프트웨어 제한 정책, Active Directory, Windows2003, 윈도우 서버, 도메인 컨트롤러
Windows OS/Windows Server 2010. 9. 3. 01:15336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.
액비트 디렉토리 도메인에 등록되어 있는 사용자들의 컴퓨터에 설치된 PC의 프로그램의 실행을 막을 수 있습니다.
허가되지 않은 프로그램의 실행을 막거나 특정 프로그램만 실행될 수 있도록 하여 보안을 높일 수 있습니다.
ex) 업무시간에 사람들이 지뢰찾기 게임을 하니까 지뢰찾기가 실행이 안되도록 막아버려야지 ㅋㅋ
서버 컴퓨터에서 관리 도구 - 액티브 디렉토리 사용자 및 컴퓨터를 실행합니다
도메인을 선택하고 마우스 오른쪽 버튼을 클릭하여 속성으로 들어갑니다
그룹정책 탭으로 가서 편집을 누릅니다
그룹정책 편집기 창이 열리면 컴퓨터 구성- Windows 설정 - 보안 설정 - 소프트웨어 제한 정책을 선택하고 마우스로 우클릭하여
새 소프트웨어 제한 정책을 선택합니다.
소프트웨어 제한 정책이 추가되면 아래와 같이 항목이 추가됩니다.
소프트웨어 제한 정책에서 프로그램 실행을 제어할 수 있는 방법은 두가지가 있습니다.
허용 안함 - 모든 소프트웨어를 차단합니다. 실행파일들은 모두 실행이 차단됩니다.
제한 안됨 - 모든 소프트웨어를 기본적으로 모두 실행허용 합니다.
허용안함으로 할 경우 모든 실행파일들은 실행이 거부 됩니다. 이럴 경우 아래에서 설명할 추가규칙에 실행을 허용할 실행프로그램을 설정하면
될 것입니다.
제한 안됨은 이와 반대로 모든 실행파일은 기본적으로 실행이 허용되며 추가규칙에는 차단할 실행프로그램을 설정하면 됩니다.
여기에서는 기본 설정인 제한 안 됨으로 진행을 하겠습니다.
추가규칙은 개별적인 응용프로그램의 실행에 관련된 설정을 할 수 있습니다.
기본적으로 4개의 규칙이 등록이 되어 있는데 이것은 Windows 에서 사용하는 기본 실행프로그램등에 대한 설정이 되어 있는 것으로 제한 없이 실행 될 수 있도록 지정되어 있습니다. 이걸 바꾸면 시스템에 큰 문제가 생길 수 있으므로 신중을 기하셔야 합니다.
오른쪽 화면에서 마우스 우클릭하면 새로운 규칙을 등록할 수 있는 팝업 메뉴가 나옵니다.
새 인증서 규칙 만들, 새 해시 규칙 만들기, 새 인터넷 영역 규칙 만들기는 저도 안 어떻게 써야 할지 잘 모르는거라
MS 테크넷의 링크를 첨부하니 테크넷에 올라온 내용을 참조하시기 바랍니다.
http://www.microsoft.com/korea/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx
새 경로 규칙은 말 그대로 설정하려는 실행프로그램의 경로를 지정하여 해당 경로에 있는 실행파일에 대해 설정하는 것입니다.
지뢰찾기 게임의 실행을 차단 하고 싶다면 해당 실행프로그램의 경로를 가장 먼저 알아야 할 것입니다.
(지뢰찾기 실행파일은 c:\windows\system32\winmine.exe 에 위치하고 있습니다)
여기에서는 새 경로 규칙 만들기를 선택하여 진행하도록 하겠습니다.
새 경로 규칙을 선택합니다. 그럼 아래와 화면이 나옵니다.
경로에는 설정하려는 실행프로그램의 경로를 입력합니다. 경로를 직접 입력하거나 우측의 찾아보기 버튼을 눌러서
해당 경로를 탐색할 수 있습니다.
보안 수준은 실행프로그램에 대해서 허용/ 허용 안함을 설정할 수 있습니다.
설명은 소프트웨서 제한 규칙에서 해당 규칙의 설명을 표시합니다.
지뢰찾기 프로그램의 경로를 입력하였고 보안 수준은 허용 안함으로 하였습니다. 입력을 하고 확인을 누릅니다.
아래와 같이 추가 규칙에 지금 입력한 규칙이 생성된 것을 볼 수 있습니다.
이제 서버에서의 설정은 모두 끝났습니다. 이제 설정한 그룹정책이 클라이언트 PC에 반영이 되기를 기다리면 됩니다. 보통 그룹정책이 새로 갱신되는 시간주기는 도메인 구성원 PC는 90분 간격으로 갱신이 되어집니다. 90분까지 기다리기 힘들기 때문에 클라이언트 PC에서 강제로 즉시 새로운
그룹정책이 반영 될수 있도록 하겠습니다.
클라이언트 서버에서 콘솔창을 열고 gpupdate 를 입력합니다. 잠시 기다리면 새로고침이 완료되었다는 메세지가 표시됩니다.
이제 지뢰찾기를 실행해보면 아래와 같이 메세지가 표시되면서 실행이 안되는 것을 볼 수 있습니다
이와 같은 방식으로 클라이언트 pc에 있는 모든 실행파일에 대해서는 실행 유무에 관련된 설정을 하여 보안을 높일 수 있습니다.
하지만 경로 규칙으로 설정한 방법은 소프트웨어 제한 설정이 간편하다는 장점은 있지만 실행파일의 이름을 바꿔버리면 정책에
영향을 받지 않기때문에 다른 설정규칙에 비하면 보안에 취약하다는 단점도 있습니다.
하지만 기본적으로 클라이언트PC의 실행파일을 바꾸는 사람은 별로 없기 때문에 이 방법만으로도 충분한 보안설정이 가능
할 것입니다.
허가되지 않은 프로그램의 실행을 막거나 특정 프로그램만 실행될 수 있도록 하여 보안을 높일 수 있습니다.
ex) 업무시간에 사람들이 지뢰찾기 게임을 하니까 지뢰찾기가 실행이 안되도록 막아버려야지 ㅋㅋ
서버 컴퓨터에서 관리 도구 - 액티브 디렉토리 사용자 및 컴퓨터를 실행합니다
도메인을 선택하고 마우스 오른쪽 버튼을 클릭하여 속성으로 들어갑니다
그룹정책 탭으로 가서 편집을 누릅니다
그룹정책 편집기 창이 열리면 컴퓨터 구성- Windows 설정 - 보안 설정 - 소프트웨어 제한 정책을 선택하고 마우스로 우클릭하여
새 소프트웨어 제한 정책을 선택합니다.
소프트웨어 제한 정책이 추가되면 아래와 같이 항목이 추가됩니다.
소프트웨어 제한 정책에서 프로그램 실행을 제어할 수 있는 방법은 두가지가 있습니다.
허용 안함 - 모든 소프트웨어를 차단합니다. 실행파일들은 모두 실행이 차단됩니다.
제한 안됨 - 모든 소프트웨어를 기본적으로 모두 실행허용 합니다.
허용안함으로 할 경우 모든 실행파일들은 실행이 거부 됩니다. 이럴 경우 아래에서 설명할 추가규칙에 실행을 허용할 실행프로그램을 설정하면
될 것입니다.
제한 안됨은 이와 반대로 모든 실행파일은 기본적으로 실행이 허용되며 추가규칙에는 차단할 실행프로그램을 설정하면 됩니다.
여기에서는 기본 설정인 제한 안 됨으로 진행을 하겠습니다.
추가규칙은 개별적인 응용프로그램의 실행에 관련된 설정을 할 수 있습니다.
기본적으로 4개의 규칙이 등록이 되어 있는데 이것은 Windows 에서 사용하는 기본 실행프로그램등에 대한 설정이 되어 있는 것으로 제한 없이 실행 될 수 있도록 지정되어 있습니다. 이걸 바꾸면 시스템에 큰 문제가 생길 수 있으므로 신중을 기하셔야 합니다.
오른쪽 화면에서 마우스 우클릭하면 새로운 규칙을 등록할 수 있는 팝업 메뉴가 나옵니다.
새 인증서 규칙 만들, 새 해시 규칙 만들기, 새 인터넷 영역 규칙 만들기는 저도 안 어떻게 써야 할지 잘 모르는거라
MS 테크넷의 링크를 첨부하니 테크넷에 올라온 내용을 참조하시기 바랍니다.
http://www.microsoft.com/korea/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx
새 경로 규칙은 말 그대로 설정하려는 실행프로그램의 경로를 지정하여 해당 경로에 있는 실행파일에 대해 설정하는 것입니다.
지뢰찾기 게임의 실행을 차단 하고 싶다면 해당 실행프로그램의 경로를 가장 먼저 알아야 할 것입니다.
(지뢰찾기 실행파일은 c:\windows\system32\winmine.exe 에 위치하고 있습니다)
여기에서는 새 경로 규칙 만들기를 선택하여 진행하도록 하겠습니다.
새 경로 규칙을 선택합니다. 그럼 아래와 화면이 나옵니다.
경로에는 설정하려는 실행프로그램의 경로를 입력합니다. 경로를 직접 입력하거나 우측의 찾아보기 버튼을 눌러서
해당 경로를 탐색할 수 있습니다.
보안 수준은 실행프로그램에 대해서 허용/ 허용 안함을 설정할 수 있습니다.
설명은 소프트웨서 제한 규칙에서 해당 규칙의 설명을 표시합니다.
지뢰찾기 프로그램의 경로를 입력하였고 보안 수준은 허용 안함으로 하였습니다. 입력을 하고 확인을 누릅니다.
아래와 같이 추가 규칙에 지금 입력한 규칙이 생성된 것을 볼 수 있습니다.
이제 서버에서의 설정은 모두 끝났습니다. 이제 설정한 그룹정책이 클라이언트 PC에 반영이 되기를 기다리면 됩니다. 보통 그룹정책이 새로 갱신되는 시간주기는 도메인 구성원 PC는 90분 간격으로 갱신이 되어집니다. 90분까지 기다리기 힘들기 때문에 클라이언트 PC에서 강제로 즉시 새로운
그룹정책이 반영 될수 있도록 하겠습니다.
클라이언트 서버에서 콘솔창을 열고 gpupdate 를 입력합니다. 잠시 기다리면 새로고침이 완료되었다는 메세지가 표시됩니다.
이제 지뢰찾기를 실행해보면 아래와 같이 메세지가 표시되면서 실행이 안되는 것을 볼 수 있습니다
이와 같은 방식으로 클라이언트 pc에 있는 모든 실행파일에 대해서는 실행 유무에 관련된 설정을 하여 보안을 높일 수 있습니다.
하지만 경로 규칙으로 설정한 방법은 소프트웨어 제한 설정이 간편하다는 장점은 있지만 실행파일의 이름을 바꿔버리면 정책에
영향을 받지 않기때문에 다른 설정규칙에 비하면 보안에 취약하다는 단점도 있습니다.
하지만 기본적으로 클라이언트PC의 실행파일을 바꾸는 사람은 별로 없기 때문에 이 방법만으로도 충분한 보안설정이 가능
할 것입니다.