그룹 정책을 사용하여 Windows에서 USB 드라이브를 차단하는 방법은 무엇입니까?

새 USB 장치를 컴퓨터에 연결할 때 Windows는 자동으로 장치를 감지하고 적절한 드라이버를 설치합니다. 결과적으로 사용자는 연결된 USB 드라이브 또는 장치를 거의 즉시 사용할 수 있습니다. 일부 조직에서는 민감한 데이터의 유출 및 컴퓨터 감염을 방지하기 위해 보안상의 이유로 USB 저장 장치(플래시 드라이브, USB HDD, SD 카드 등)의 사용을 차단합니다. 이 문서에서는 그룹 정책(GPO)을 사용하여 외부 이동식 USB 드라이브를 비활성화하는 방법을 설명합니다.

도메인 컴퓨터에서 USB 저장 장치를 비활성화하도록 GPO 구성

Windows 7부터 시작하는 모든 Windows 버전에서 그룹 정책을 사용하여 외부 드라이브(USB, CD/DVD, 플로피, 테이프 등)에 대한 액세스를 유연하게 관리할 수 있습니다(BIOS 설정을 통해 USB 포트를 비활성화하는 근본적인 방법은 고려하지 않고 있습니다. ). 마우스, 키보드, 프린터 등과 같은 USB 장치(이동식 디스크로 인식되지 않음)에 영향을 주지 않고 USB 드라이브만 사용하는 것을 프로그래밍 방식으로 차단할 수 있습니다.

USB 장치 차단 정책은 AD 도메인의 인프라가 다음 요구 사항을 충족하는 경우 작동합니다.

• Active Directory 스키마 버전 - Windows Server 2008 이상,참고 . 그룹 정책 세트를 사용하면 Windows에서 이동식 미디어의 설치 및 사용을 제어할 수 있으며 AD 버전 44에만 나타납니다.
• 데스크톱 OS – Windows 7 이상

특정 AD 컨테이너(OU)의 모든 컴퓨터에 대해 USB 드라이브 사용을 제한할 예정입니다. USB 차단 정책을 전체 도메인에 적용할 수 있지만 이는 서버 및 기타 기술 장치에 영향을 미칩니다. 워크스테이션이라는 OU에 정책을 적용한다고 가정해 보겠습니다. . 이를 수행하려면 GPO 관리 콘솔(gpmc.msc ), OU 워크스테이션을 마우스 오른쪽 버튼으로 클릭하고 새 정책을 만듭니다(이 도메인에 GPO를 만들고 여기에 연결). )

GPO 이름을 "USB 액세스 비활성화"로 설정합니다. .

GPO 설정 수정(편집 ).

외부 저장 장치 차단 설정은 GPO의 사용자 및 컴퓨터 섹션에서 모두 사용할 수 있습니다.

• 사용자 구성 -> 정책 -> 관리 템플릿 -> 시스템 -> 이동식 저장소 액세스
• 컴퓨터 구성 -> 정책 -> 관리 템플릿 -> 시스템 -> 이동식 저장소 액세스

이동식 저장소 액세스에서 섹션에는 CD/DVD, FDD, USB 장치, 테이프 등 다양한 유형의 스토리지 클래스 사용을 비활성화할 수 있는 여러 정책이 있습니다.

• CD 및 DVD:실행 액세스를 거부합니다.
• CD 및 DVD:읽기 액세스를 거부합니다.
• CD 및 DVD:쓰기 액세스를 거부합니다.
• 사용자 정의 클래스:읽기 액세스를 거부합니다.
• 사용자 정의 클래스:쓰기 액세스를 거부합니다.
• 플로피 드라이브:실행 액세스를 거부합니다.
• 플로피 드라이브:읽기 액세스를 거부합니다.
• 플로피 드라이브:쓰기 액세스를 거부합니다.
• 이동식 디스크:실행 액세스를 거부합니다.
• 이동식 디스크:읽기 액세스를 거부합니다.
• 이동식 디스크:쓰기 액세스를 거부합니다.
• 모든 이동식 저장소 등급:모든 액세스를 거부합니다.
• 모든 이동식 저장소:원격 세션에서 직접 액세스를 허용합니다.
• 테이프 드라이브:실행 액세스를 거부합니다.
• 테이프 드라이브:읽기 액세스를 거부합니다.
• 테이프 드라이브:쓰기 액세스를 거부합니다.
• Windows 휴대용 장치 – 이 클래스에는 스마트폰, 태블릿, 플레이어 등이 포함됩니다.
• WPD 장치:쓰기 액세스를 거부합니다.

보시다시피 각 장치 클래스에 대한 실행 파일의 실행을 거부하고(바이러스로부터 컴퓨터를 보호) 외부 미디어에 데이터 읽기 및 파일 쓰기/편집을 금지할 수 있습니다.

"가장 강력한" 제한 정책 — 모든 이동식 스토리지 클래스:모든 액세스 거부 – 모든 유형의 외부 저장 장치에 대한 액세스를 완전히 비활성화할 수 있습니다. 정책을 사용 설정하려면 정책을 열고 사용을 선택하세요. .

클라이언트 컴퓨터에서 정책을 활성화하고 업데이트한 후(gpupdate /force ), OS는 연결된 외부 장치(USB 장치뿐만 아니라 모든 외부 드라이브)를 감지하지만 열려고 할 때 오류가 나타납니다.

Location is not available
Drive is not accessible. Access is denied.

동일한 정책 섹션에서 외부 USB 드라이브 사용에 대한 보다 유연한 제한을 구성할 수 있습니다.

예를 들어 USB 플래시 드라이브 및 기타 유형의 USB 드라이브에 데이터 쓰기를 방지하려면 이동식 디스크:쓰기 액세스 거부 정책을 사용 설정해야 합니다. .

이 경우 사용자는 USB 플래시 드라이브에서 데이터를 읽을 수 있지만 정보를 쓰려고 하면 액세스 거부 오류가 표시됩니다.

Destination Folder Access Denied
You need permission to perform this action

이동식 디스크:실행 액세스 거부를 사용하여 USB 드라이브에서 실행 파일 및 스크립트 파일이 실행되는 것을 방지할 수 있습니다. 정책.

특정 사용자에 대해 GPO를 통한 USB 드라이브 비활성화

관리자를 제외한 도메인의 모든 사용자에 대해 USB 드라이브를 차단해야 하는 경우가 많습니다.

가장 쉬운 방법은 보안 필터링을 사용하는 것입니다. GPO에서. 예를 들어 USB 차단 정책이 Domain Admins 그룹에 적용되지 않도록 하려면

1. USB 액세스 비활성화를 선택합니다. 그룹 정책 관리 콘솔의 정책
2. 보안 필터링 섹션에서 도메인 관리자를 추가합니다. 그룹;
3. 위임으로 이동 탭을 클릭하고 고급을 클릭합니다. . 보안 설정 편집기에서 Domain Admins 그룹이 이 GPO를 적용할 수 없도록 지정합니다(그룹 정책 적용 – 거부 ).

또 다른 작업이 있을 수 있습니다. 특정 사용자 그룹을 제외한 모든 사람이 외부 USB 드라이브를 사용할 수 있도록 허용해야 합니다. "Deny USB" 보안 그룹을 만들고 GPO의 보안 설정에 이 그룹을 추가합니다. 이 그룹에 대해 GPO를 읽고 적용할 수 있는 권한을 설정하고 인증된 사용자에 대해 읽기 권한만 둡니다. 또는 도메인 컴퓨터 그룹(그룹 정책 적용을 선택 취소하여 확인란).

레지스트리 및 그룹 정책 기본 설정을 통해 USB 및 이동식 장치 차단

GPP(그룹 정책 기본 설정)를 통해 위에서 설명한 정책에 의해 설정되는 레지스트리 설정을 구성하여 외부 장치에 대한 액세스를 보다 유연하게 제어할 수 있습니다. 위의 모든 정책은 HKLM의 특정 레지스트리 키에 해당합니다. (또는 HKCU ) \SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices 키(기본적으로 이 레지스트리 키는 누락됨).

이러한 정책 중 하나를 활성화하려면 액세스를 차단하려는 기기 클래스의 이름(2열)과 제약 조건 유형(Deny_Read)의 REG_DWORD 매개변수를 사용하여 지정된 키에 새 하위 키를 생성해야 합니다. , Deny_Write 또는 Deny_Execute ). 이 매개변수의 값이 1인 경우 , 0인 경우 USB 제한이 활성화됩니다. – 이 장치 등급에는 제한이 없습니다.

지정된 레지스트리 키와 매개변수를 수동으로 생성할 수 있습니다. 아래 스크린샷에서 RemovableStorageDevices를 만들었습니다. 키 및 {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}라는 하위 키. REG_DWORD 매개변수 덕분에 USB 드라이브에서 실행 파일을 쓰고 실행하는 것을 금지했습니다.

이러한 레지스트리 키와 GPP의 항목 수준 타겟팅을 사용하여 외부 USB 저장 장치의 사용을 제한하는 정책을 유연하게 적용할 수 있습니다. 특정 AD 보안 그룹, 사이트, OS 버전, OU에 정책을 적용할 수 있습니다(WMI 필터도 사용할 수 있음). 예를 들어, Storage-Devices-Restrict를 만들 수 있습니다. 도메인 그룹을 선택하고 USB 드라이브 사용을 제한할 컴퓨터 계정을 추가합니다. 이 그룹은 항목 수준 타겟팅의 GPP 정책에 지정되어 있습니다. -> 보안 그룹 컴퓨터 섹션 그룹 옵션에서. 이렇게 하면 이 AD 그룹에 추가된 컴퓨터에 USB 차단 정책이 적용됩니다.

레지스트리를 통해 USB 저장 장치 드라이버 비활성화

USBSTOR(USB 대용량 저장 장치 드라이버)를 완전히 비활성화할 수 있습니다. USB 저장 장치를 올바르게 감지하고 마운트하는 데 필요한 드라이버입니다.

독립 실행형 컴퓨터에서 시작 값을 변경하여 이 드라이버를 비활성화할 수 있습니다. 3에서 4까지의 레지스트리 매개변수 . PowerShell을 통해 이 작업을 수행할 수 있습니다.

Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\services\USBSTOR" -name Start -Value 4

컴퓨터를 다시 시작하고 USB 저장 장치를 연결해 보십시오. 이제 파일 탐색기나 디스크 관리 콘솔에 나타나지 않아야 하며 장치 관리자에 장치 드라이버 설치 오류가 표시됩니다.

그룹 정책 기본 설정을 사용하여 USBSTOR 드라이버가 도메인 컴퓨터에서 실행되지 않도록 할 수 있습니다. 이렇게 하려면 GPO를 통해 레지스트리를 변경해야 합니다.

이러한 설정은 모든 도메인 컴퓨터에 배포할 수 있습니다. 새 그룹 정책을 만들고 컴퓨터가 있는 OU와 컴퓨터 구성 -> 기본 설정 -> Windows 설정 -> 레지스트리에 연결합니다. 섹션에서 다음 값으로 새 매개변수를 만듭니다.

• 액션 :업데이트
• 하이브 :HKEY_LOCAK_MACHINE
• 주요 경로 :SYSTEM\CurrentControlSet\Services\USBSTOR
• 값 이름 :시작
• 값 유형 :REG_DWORD
• 가치 데이터 :00000004

특정 USB 저장 장치만 연결하도록 허용

특정 레지스트리 설정을 사용하여 특정(승인된) USB 저장 드라이브를 컴퓨터에 연결할 수 있습니다. 구성 방법을 간단히 살펴보겠습니다.

USB 저장 장치를 컴퓨터에 연결하면 USBSTOR 드라이버가 기기를 설치하고  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR 아래에 별도의 레지스트리 키를 만듭니다. . 이 레지스트리 키는 USB 드라이브에 대한 정보를 포함합니다(예:Disk &Ven_Kingstom &Prod_DT_1010_G2 &Rev_12.00).

Get-ItemProperty –Path HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*| select FriendlyName

필요한 것을 제외하고 이전에 연결된 USB 플래시 드라이브의 모든 레지스트리 키를 삭제할 수 있습니다.

그런 다음 모든 사람(SYSTEM 및 관리자 포함)이 읽기 권한만 갖도록 USBSTOR 레지스트리 키에 대한 권한을 변경해야 합니다. 따라서 허용된 드라이브 이외의 USB 드라이브를 연결하면 Windows에서 장치를 설치할 수 없습니다.