이 문서에서는 그룹 정책을 사용하여 도메인 컴퓨터 또는 서버에서 자동 화면(세션) 잠금을 구성하는 방법을 보여줍니다. 사용자가 비활성(유휴) 상태일 때 컴퓨터 화면을 잠그는 것은 중요한 정보 보안 요소입니다. 사용자가 바탕 화면을 잠그는 것을 잊어버릴 수 있습니다(키보드 단축키 Win + L
사용). ) 짧은 시간 동안 직장을 떠나야 할 때. 이 경우 근처에 있는 다른 직원이나 고객이 자신의 데이터에 액세스할 수 있습니다. 자동 잠금 화면 정책은 이 결함을 수정합니다. 일정 시간 동안 사용하지 않으면(유휴 상태) 사용자의 데스크톱이 자동으로 잠기며 사용자가 세션으로 돌아가려면 도메인 암호를 다시 입력해야 합니다.
화면 잠금 옵션을 관리하기 위해 도메인 그룹 정책을 만들고 구성해 보겠습니다.
- 그룹 정책 관리 콘솔(
gpmc.msc
), 새 GPO 개체 만들기(LockScreenPolicy ) 도메인 루트(또는 사용자 OU)에 연결합니다. - 정책 수정을 수정하고 사용자 구성으로 이동합니다. -> 정책 -> 관리 템플릿 -> 제어판 -> 개인화;
- GPO 섹션에는 화면 보호기 및 화면 잠금 설정을 관리하는 몇 가지 옵션이 있습니다.
- 화면 보호기 사용
- 비밀번호로 화면 보호기 보호 — 컴퓨터의 잠금을 해제하려면 암호를 입력하라는 메시지가 표시됩니다.
- 화면 보호기 시간 초과 – 화면 보호기가 활성화되고 사용자가 비활성 상태일 경우 컴퓨터가 잠기는 시간을 초 단위로 설정합니다.
- 특정 화면 보호기 강제 실행 – 사용할 화면 보호기 파일을 지정할 수 있습니다. 가장 자주
scrnsave.scr
입니다. (GPO를 사용하여 슬라이드쇼 화면 보호기를 만들 수 있습니다) - 화면 보호기 변경 방지 – 사용자가 화면 보호기 설정을 변경하지 못하도록 방지
- 모든 정책을 활성화하고 화면 보호기 시간 초과에서 컴퓨터 유휴 시간을 설정합니다. 수단. 300을 입력했습니다. 사용자 세션은 5분 후에 자동으로 잠깁니다.
- 그룹 정책 설정이 클라이언트에서 업데이트될 때까지 기다리거나
gpupdate /force
명령을 사용하여 수동으로 새로 고칩니다. . GPO가 적용된 후 화면 보호기 및 화면 잠금 설정은 Windows 인터페이스에서 편집되지 않도록 보호되며 사용자 세션은 5분 동안 비활성 상태로 잠깁니다(GPO가 적용되는 방식을 진단하려면 gpresult 도구 및 이 링크 다음 기사).
경우에 따라 다른 사용자 그룹에 대해 다른 잠금 정책을 구성해야 할 수 있습니다. 예를 들어 회사원의 화면은 10분 후에 잠가야 하고 생산 또는 SCADA 운영자의 화면은 절대 잠그면 안 됩니다. 이러한 전략을 구현하려면 GPO 보안 필터링(GPO를 사용하여 USB 장치에 대한 액세스를 제한하는 예 참조) 또는 GPP의 항목 수준 타겟팅을 사용할 수 있습니다. 후자에 대해 더 자세히 살펴보겠습니다.
GPO 대신 레지스트리를 사용하여 컴퓨터 잠금 설정을 구성하고 해당 레지스트리 설정을 GPO를 통해 사용자 컴퓨터에 배포할 수 있습니다. 다음 레지스트리 매개변수는 위에서 설명한 정책과 일치합니다. HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop에 있습니다. :
- 비밀번호로 화면 보호기 보호 이름이 ScreenSaverIsSecure인 REG_SZ 매개변수입니다. =1
- 화면 보호기 시간 초과 ScreenSaveTimeout이라는 이름의 REG_SZ 매개변수입니다. =300
- 특정 화면 보호기 강제 실행 ScreenSaveActive라는 이름의 REG_SZ 매개변수입니다. =1 및 SCRNSAVE.EXE =scrnsave.scr
도메인 보안 그룹 생성(grp_not-lock-prod
) 화면 잠금 정책을 비활성화하고 여기에 사용자를 추가할 수 있습니다. 해당 GPO 섹션(사용자 구성 -> 기본 설정 -> Windows 설정 -> 레지스트리 ). 항목 수준 타겟팅 사용 , 특정 보안 그룹에 대해 정책이 적용되지 않아야 하는 각 매개변수에 대해 설정(사용자가 보안 그룹 grp_not-lock-prod
의 구성원이 아님) ).
또한 값이 REG_SZ 0인 4개의 추가 레지스트리 매개변수를 생성해야 합니다. , 그룹 grp_not-lock-prod에 대한 화면 잠금을 강제로 비활성화합니다(그렇지 않으면 GPO가 이전에 설정된 레지스트리 값을 덮어쓰지 않음).