이 가이드에는 AD 도메인 2016 또는 2012에서 그룹 정책을 사용하여 전체 도메인 또는 특정 도메인 사용자의 USB 저장 장치를 차단하는 방법에 대한 단계별 지침이 포함되어 있습니다. 더 구체적으로 말하면 이 가이드의 지침을 읽은 후에는 방법을 배우게 될 것입니다. 도메인의 모든 컴퓨터에 연결할 수 있는 USB 저장 장치(플래시 드라이브, 외장 하드 드라이브, 스마트폰, 태블릿 등)에 대한 액세스를 방지하거나 특정 도메인 사용자에게만 USB 저장소 액세스를 거부합니다.
오늘날 우리 중 많은 사람들이 USB 저장 장치를 사용하여 데이터를 전송합니다. 그러나 조직의 경우 외부 저장 장치를 사용하는 직원의 능력에는 맬웨어 확산 또는 민감한 데이터 가로채기와 같은 보안 위험이 포함될 수 있습니다. 이러한 위험을 방지하려면 다음 지침을 읽고 그룹 정책을 사용하여 도메인의 모든 사용자 및 컴퓨터 또는 특정 도메인 사용자에게만 USB 저장 장치에 대한 액세스를 차단할 수 있습니다. *
* 참고:
1. 이 게시물에서는 그룹 정책을 통해 USB 드라이브를 차단하기 위해 Active Directory 2016 도메인 컨트롤러를 사용하여 새 그룹 정책을 만들고 Windows 10 Pro 및 Windows 7 Pro 워크스테이션을 사용하여 적용했습니다.
2. "USB 액세스 차단" 정책은 도메인 관리자 또는 USB 키보드, 마우스, 프린터 등과 같은 연결된 다른 USB 장치에 영향을 미치지 않습니다.
3. 그룹 정책을 적용하면 사용자는 모든 유형의 USB 저장 장치에 액세스할 수 없으며 PC에서 USB 저장 장치에 액세스하려고 할 때 다음 오류 메시지 중 하나가 표시됩니다.
그룹 정책을 사용하여 USB 저장 장치에 대한 액세스를 방지하는 방법(Server 2012/2012R2/2016)
- 1부. 모든 도메인 사용자의 USB 읽기/쓰기 액세스 차단
- 2부. 특정 도메인 사용자에 대한 USB 읽기/쓰기 액세스 차단
1부. 전체 도메인 2016에서 USB 저장 장치에 대한 액세스를 차단하는 방법.
도메인의 모든 컴퓨터(사용자)에 연결된 USB 저장 장치에 대한 액세스를 비활성화하려면:
1. Server 2016 AD 도메인 컨트롤러에서 서버 관리자 를 엽니다. 그런 다음 도구에서 메뉴에서 그룹 정책 관리를 엽니다. *
* 또한 제어판으로 이동합니다. -> 관리 도구 -> 그룹 정책 관리.
2. 도메인 아래 , 도메인을 선택한 다음 오른쪽 클릭 기본 도메인 정책에서 수정을 선택합니다. .
3. '그룹 정책 관리 편집기'에서 다음으로 이동합니다.
- 사용자 구성> 정책> 관리 템플릿> 시스템> 이동식 저장소 액세스
4. 오른쪽 창에서 이동식 디스크:읽기 액세스 거부를 두 번 클릭합니다. *
* 참고:
1. 이 시점에서 많은 튜토리얼이 활성화 를 제안합니다. '모든 이동식 저장소 등급:모든 액세스 거부' 정책이지만 테스트 중에 이 정책이 스마트폰이나 태블릿에 적용(작동)되지 않음을 발견했습니다.
2. USB 쓰기 액세스를 차단하려면 이동식 디스크:쓰기 액세스 거부를 선택합니다.
5. 사용 확인 확인을 클릭합니다.
6. 닫기 그룹 정책 편집기.
7. 다시 시작 서버 및 클라이언트 컴퓨터 또는 gpupdate /force 실행 새 그룹 정책 설정(다시 시작하지 않고)을 서버와 클라이언트 모두에 적용하는 명령입니다.
2부. 특정 도메인 사용자의 USB 저장 장치에 대한 액세스를 방지하는 방법.
그룹 정책을 사용하여 특정 사용자에 대해서만 USB 저장 장치에 대한 액세스를 비활성화하려면 USB 저장 장치에 대한 접근을 원하지 않는 사용자로 그룹을 생성한 후 이 그룹에 새 정책을 적용해야 합니다. 그렇게 하려면:
1단계. 비활성화된 USB 사용자로 그룹을 만듭니다. *
* 참고:비활성화된 USB 사용자로 이미 그룹을 만든 경우 2단계로 계속 진행합니다.
1. Active Directory 사용자 및 컴퓨터
2.를 엽니다. "사용자 " 개체를 선택하고 새로 만들기를 선택합니다.> 그룹
3. 새 그룹의 이름(예:"USB 비활성화된 사용자")을 입력하고 확인을 클릭합니다. . *
* 참고:'글로벌' 및 '보안' 옵션은 선택된 상태로 둡니다.
4. 새로 만든 그룹을 열고 구성원을 선택합니다. 탭을 클릭하고 추가를 클릭합니다.
5. 이제 USB 저장 장치를 차단할 도메인 사용자를 선택한 다음 확인을 클릭합니다.
6. 확인을 클릭합니다. 그룹 속성을 닫습니다.
2단계. USB 저장 장치를 비활성화하는 새 그룹 정책 개체를 만듭니다.
1. 그룹 정책 관리
2.를 엽니다. '도메인' 개체 아래에서 도메인을 마우스 오른쪽 버튼으로 클릭하고 이 도메인에 GPO를 만들고 여기에 연결을 선택합니다.
3. 새 GPO의 이름(예:"USB 비활성화됨")을 입력하고 확인을 클릭합니다.
4. 새 GPO를 마우스 오른쪽 버튼으로 클릭하고 수정을 클릭합니다.
5. '그룹 정책 관리 편집기'에서 다음으로 이동합니다.
- 사용자 구성> 정책> 관리 템플릿> 시스템> 이동식 저장소 액세스
4. 오른쪽 창에서 이동식 디스크:읽기 액세스 거부를 두 번 클릭합니다. *
* 참고:
1. 이 시점에서 많은 튜토리얼이 활성화 를 제안합니다. '모든 이동식 저장소 등급:모든 액세스 거부' 정책이지만 테스트 중에 이 정책이 스마트폰이나 태블릿에 적용(작동)되지 않음을 발견했습니다.
2. USB 쓰기 액세스를 차단하려면 이동식 디스크:쓰기 액세스 거부를 선택합니다.
5. 사용 확인 확인을 클릭합니다.
6. 닫기 그룹 정책 관리 편집자 창.
7. '그룹 정책 관리'로 돌아가서 'USB 비활성화됨' GPO를 선택하고 '범위' 탭에서 추가를 클릭합니다. 버튼('보안 필터링' 설정 아래).
8. "USB 비활성화된 사용자" 그룹의 이름(예:이 게시물의 "USB 비활성화된 사용자")을 입력하고 확인을 클릭합니다. .
9. 완료되면 위임 을 선택하십시오. 탭.
10. '위임' 탭에서 선택 인증된 사용자 고급을 클릭합니다.
11 . 보안 옵션에서 선택합니다. 인증된 사용자 및 선택 취소 그룹 정책 적용 체크박스. 완료되면 확인을 클릭합니다.
6. 닫기 그룹 정책 편집기.
7. 다시 시작 서버 및 클라이언트 컴퓨터 또는 "gpupdate /force 실행 " 명령(관리자 권한)을 사용하여 새 그룹 정책 설정(다시 시작하지 않고)을 서버와 클라이언트 모두에 적용합니다.
그게 다야! 이 가이드가 귀하의 경험에 대한 귀하의 의견을 남기는 데 도움이 되었는지 알려주십시오. 이 가이드를 좋아하고 공유하여 다른 사람들을 도우십시오.