오늘날 조직은 여러 가지 문제에 직면해 있습니다. IT 관리자의 경우 외부 하드 드라이브, 프린터 및 기타 주변 장치와 같이 주요 문제로 작용하는 승인되지 않은 장치에 대한 액세스를 제한하는 것일 수 있습니다.
Microsoft가 이 문제를 알고 있다는 것은 좋은 일입니다. 이것이 네트워크 관리자가 조직 네트워크의 장치에 설치할 수 있는 항목을 결정할 수 있도록 계층화된 그룹 정책 기능을 출시한 이유일 것입니다.
그룹 정책 편집기는 IT 관리자를 위한 Windows의 가장 강력한 도구 중 하나였습니다. Microsoft는 각 버전에서 GPO(그룹 정책 개체)를 만들고 관리하는 새로운 방법을 추가했습니다.
변경되지 않은 한 가지는 기업 내에서 그룹 정책을 성공적으로 구현하기 전에 그룹 정책이 작동하는 방식을 이해할 필요가 있다는 것입니다. 이 가이드는 그룹 정책 관리에 대한 소개와 Windows 11에서 계층화된 그룹 정책을 사용하는 방법을 제공합니다.
Windows 장치의 그룹 정책:간략한 개요
무엇보다 그룹 정책이란 무엇입니까?
네트워크 관리자가 광범위한 설정을 관리하고 제어할 수 있는 Windows 기능입니다. 시스템 관리자가 애플리케이션, 사용자 설정 등을 구성할 수 있는 중앙 집중식 공간 역할을 합니다.
적절하게 사용하면 그룹 정책 편집기를 사용하여 조직에서 동일한 네트워크 내의 컴퓨터 및 기타 장치의 보안을 개선할 수 있습니다. 위협, 맬웨어 및 기타 공격으로부터 네트워크를 보호하는 데 도움이 됩니다.
그룹 정책 개체(GPO)란 무엇입니까?
GPO는 Microsoft Management Console 그룹 정책 편집기를 사용하여 만든 설정 그룹입니다. 이러한 개체는 도메인 및 사이트와 같은 다양한 Active Directory 컨테이너와 연결할 수 있습니다.
그룹 정책 개체는 보안 목적으로 여러 가지 방법으로 사용할 수 있습니다. 다음은 몇 가지 예시 시나리오입니다.
- GPO는 사용자가 브라우저를 시작하거나 새 탭을 열 때 표시되는 방문 페이지를 설정하는 데 사용할 수 있습니다.
- 시스템 관리자는 GPO를 사용하여 네트워크에서 사용 가능한 프린터 목록에 표시할 네트워크 연결 프린터를 정의할 수 있습니다.
- GPO는 인터넷 연결 제한 및 기기 사용 시간 설정과 같은 일부 보안 관행 및 프로토콜을 변경하는 데도 사용할 수 있습니다.
GPO는 어떻게 처리됩니까?
처리할 GPO의 계층 구조는 사용자 장치에 적용되는 설정에 영향을 미칩니다. 이 계층을 LSDOU라고 하며 로컬, 사이트, 도메인, 조직 단위의 약어입니다.
LSDOU를 사용하면 로컬 컴퓨터 정책이 먼저 처리됩니다. 그 다음은 사이트 수준에서 도메인 광고 정책으로 이어집니다. 마지막으로 조직 단위가 처리됩니다. 정책이 LSDOU와 충돌하는 경우 마지막으로 적용된 정책이 우선합니다.
그룹 정책을 사용하는 이유
그렇다면 이러한 정책을 사용해야 합니까? 혜택을 받을 수 있습니까?
물론 당신은 할 수. 그룹 정책을 통해 민감한 데이터가 해커로부터 안전하고 IT 인프라가 올바른 방식으로 설정되었는지 확인할 수 있습니다.
Windows가 생각만큼 안전하지 않다는 사실은 놀랍습니다. 고맙게도 GPO는 운영 체제 내의 보안 격차를 해결하도록 설계되었습니다. 예를 들어 사용자가 작업을 수행하는 데 필요한 도구에 제한적으로 액세스할 수 있는 정책을 구현할 수 있습니다.
그러나 그룹 정책 편집기의 이점은 보안에만 국한되지 않습니다. 그룹 정책 구현의 다른 이점은 다음과 같습니다.
- 시스템 관리 – 시간이 많이 걸리는 작업을 단순화하기 위해 그룹 정책을 사용할 수 있습니다. 이를 적용하면 조직에 가입하는 새 사용자의 환경을 구성하는 데 드는 시간을 절약할 수 있습니다.
- 비밀번호 정책 – 많은 조직이 암호 없음 정책으로 운영되고 있으며 다른 조직에서는 사용자가 만료되지 않는 자격 증명을 설정할 수 있도록 허용합니다. 우리 모두 알고 있듯이 정기적으로 변경하지 않는 비밀번호는 해킹당할 위험이 있습니다. 그룹 정책이 적용되면 조직은 길이 및 복잡성과 같은 매개변수를 포함하여 암호 생성 규칙을 설정할 수 있습니다.
- 상태 확인 – 그룹 정책을 사용하여 앱 및 소프트웨어 업데이트를 배포할 수 있습니다. 이렇게 하면 환경이 안전하고 보안 위협으로부터 보호됩니다.
Windows 11의 계층화된 그룹 정책 기능이란 무엇입니까?
계층화된 그룹 정책 기능은 Windows 10/11 및 Windows 11 장치에서 Microsoft에서 도입한 새로운 기능입니다. 소프트웨어 거물이 이 기능을 설명하는 방법은 다음과 같습니다.
“장치 설치 정책은 내부 및 외부 장치의 설치를 조직 전체의 모든 컴퓨터로 제한하는 동시에 사전 승인된 소수의 장치를 사용/설치하도록 허용하는 데 사용됩니다. 모든 장치에는 시스템에서 이해하는 '장치 식별자' 세트(클래스, 장치 ID 및 인스턴스 ID)가 있습니다. 시스템 관리자가 작성한 허용 목록에는 다양한 기기를 나타내는 식별자 세트가 포함되어 있습니다. 이러한 방식으로 시스템은 허용되는 기기와 차단되는 기기를 파악할 수 있습니다."
이 기능의 목표는 손상으로부터 시스템을 보호하고 조직 내 지원 사례 수를 줄이며 가장 중요한 것은 데이터 도난을 방지하는 것입니다. 이 정책은 내부 또는 외부 조직에서 장치의 설치 또는 사용을 제한하는 데 적용될 수 있습니다. 기본적으로 IT 관리자는 설치하거나 사용할 수 있는 장치를 완전히 제어할 수 있습니다.
계층화된 그룹 정책이 Windows 10/11에서 작동합니까?
WinAero 사용자의 경우 Windows 10 버전 21H2에서 처음 출시된 계층화된 그룹 정책이 새롭지 않을 수 있습니다. 다른 Windows 10 버전의 경우 이 정책은 Microsoft에서 지난 2021년 7월에만 출시했습니다.
제한 정책은 Windows 10/11에 이미 익숙한 특정 장치 식별자를 사용하여 설정할 수 있습니다. 이러한 식별자에는 클래스, 인스턴스 ID 및 장치 ID가 포함됩니다.
이 기능의 허용 목록은 시스템 관리자가 작성해야 하며 여기에는 각각 특정 장치를 나타내는 일련의 식별자가 포함되어 있습니다. 이 목록을 통해 시스템은 액세스 권한을 부여할 수 있는 장치와 차단해야 하는 장치를 결정할 수 있습니다.
이 계층화된 그룹 정책을 추가하면 시스템 관리자는 다음과 같은 이점을 얻을 수 있습니다.
- 직관적인 사용법 – 이 정책으로 시스템 관리자는 다른 USB 클래스의 설치를 방지하기 위해 장치 클래스를 알 필요가 없습니다. 스크립트에만 집중할 수 있습니다.
- 유연성 – 직관적인 사용 외에도 이 정책은 인스턴스 ID, 하드웨어 ID 및 호환 가능한 ID, 클래스 및 이동식 장치 속성의 순서로 계층적 계층화를 도입합니다.
Windows 11에서 계층화된 그룹 정책을 적용하는 방법
계층화된 그룹 정책은 다음 경로를 따라 편리하게 액세스하고 적용할 수 있습니다.
컴퓨터 구성 -> 관리 템플릿 -> 시스템 -> 장치 설치 -> 장치 설치 제한 .
장치 설치 제한 폴더에서 활성화해야 하는 첫 번째 정책은 모든 장치 일치 기준에 대해 장치 설치 정책 허용 및 방지에 대해 계층화된 평가 순서 적용입니다. . 그런 다음 계층적 순서로 활성화해야 하는 또 다른 정책 세트가 있습니다. 기기 인스턴스 ID -> 기기 ID -> 기기 설정 클래스 -> 이동식 기기 .
각각에 대한 더 나은 설명은 다음과 같습니다.
- 기기 인스턴스 ID – 시스템에서 새 장치를 식별할 수 있는 고유한 시스템 제공 장치 식별 문자열입니다. 장치 인스턴스 ID는 일치하는 드라이버를 사용하는 다른 장치의 설치를 방지합니다. 마찬가지로 이러한 ID를 사용하면 일치하는 드라이버를 사용하는 장치를 설치할 수 있습니다.
- 기기 ID – Windows는 이 문자열을 사용하여 장치를 드라이버 패키지와 일치시킵니다. 이 문자열은 매우 구체적인 것부터 일반적인 것까지 다양합니다. 장치 ID 문자열은 하드웨어 ID 또는 호환 가능한 ID일 수 있습니다. 장치 ID는 장치와 일치하는 드라이버를 사용하는 장치의 설치를 방지합니다. 이러한 ID를 통해 일치하는 드라이버를 사용하는 장치를 설치할 수도 있습니다.
- 기기 설정 클래스 – 클래스라고도 하는 다른 유형의 식별 문자열입니다. 드라이버 패키지의 장치에 클래스를 할당하는 것은 장치 제조업체입니다. 장치 설정 클래스는 장치와 일치하는 드라이버를 사용하는 장치의 설치를 방지합니다. 또한 장치와 일치하는 드라이버를 사용하는 장치를 설치할 수 있습니다.
- 이동식 기기 – 이 매개변수는 이동식 장치의 설치를 방지하는 데 사용됩니다. 이동식 장치는 클래스 ID 또는 장치 ID를 추가하여 구성할 수 있습니다. 그런 다음 변경 사항을 적용합니다.
정책의 계층 구조로 인해 다른 정책 설정에서 설명하지 않는 장치 설치 방지 위에 사용할 수 있습니다. .
호환되는 ID 및 하드웨어 ID를 찾는 방법
호환되는 ID 및 하드웨어 ID를 찾으려면 다음 단계를 따르십시오.
- Windows + X를 사용하여 장치 관리자에 액세스 목록에서 장치 관리자를 선택합니다.
<올 시작="2">
허용 목록에 장치 ID를 추가하는 방법
장치 ID를 허용 목록에 추가하려면 아래 단계를 참조하십시오.
- 이 기기 ID와 일치하는 기기 설치 허용 열기
- 사용 선택 .
- 옵션 으로 이동 섹션을 클릭하고 표시
- 하드웨어 ID 추가 또는 호환되는 ID 목록으로 이동합니다.
- 적용 을 눌러 변경 사항을 저장합니다.
시스템 관리자가 장치 설치 제한을 무시하도록 허용하는 방법
장치 설치 제한을 무시하려면 특정 정책을 활성화해야 합니다. 활성화되면 시스템 관리자는 하드웨어 추가를 사용할 수 있습니다. 또는 드라이버 업데이트 마법사를 사용하여 장치를 설치하고 업데이트합니다.
요약
이 기사에서는 Windows 10/11 환경에 대해 계층화된 그룹 정책을 구현하는 방법을 보여주었습니다. 또한 그룹 정책이 무엇이며 조직에 어떤 이점이 있는지 논의했습니다. 도움이 되었기를 바랍니다. 저희가 귀하를 위해 할 수 있는 다른 일이 있으면 지금 자세히 읽어보거나 저희 웹사이트를 방문하여 알려주시기 바랍니다.