'저장매체'에 해당되는 글 3건

  1. 2011.06.02 그룹정책을 사용한 장치 설치 및 사용 제어 (1)
  2. 2011.06.02 윈도우 환경 USB 저장매체 제어
  3. 2010.07.27 행안부 공공기관 대상 개인정보보호수준진단 실시
2011.06.02 17:13

그룹정책을 사용한 장치 설치 및 사용 제어

다음은 이 가이드에서 사용하는 장치 설치 정책 설정의 간략한 설명입니다.

  참고:

이러한 정책 설정은 정책 설정이 적용된 컴퓨터에 로그온하는 모든 사용자에게 적용됩니다. 이 중에서 Allow administrators to override device installation policy(관리자가 장치 설치 정책을 다시 정의하도록 허용) 정책을 제외한 정책은 특정 사용자 또는 그룹에 적용할 수 없습니다. 이 정책은 이 단원에서 설명하는 다른 정책 설정을 구성하여 컴퓨터에 적용한 모든 장치 설치 제한에서 로컬 Administrators 그룹의 구성원을 제외합니다.

Prevent installation of devices not described by other policy settings(다른 정책 설정에 지정되지 않은 장치의 설치 금지). 이 정책 설정은 다른 정책 설정에 지정되지 않은 장치의 설치를 제어합니다. 이 정책 설정을 사용하도록 설정하면 Allow installation of devices that match these device IDs(이 장치 ID와 일치하는 장치 설치 허용) 정책 설정이나Allow installation of devices for these device classes(이 장치 클래스의 장치 설치 허용) 정책 설정에 지정하지 않은 장치의 드라이버를 설치하거나 업데이트할 수 없습니다. 이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않으면 Prevent installation of devices that match these device IDs(이 장치 ID와 일치하는 장치 설치 금지) 정책 설정,Prevent installation of devices for these device classes(이 장치 클래스의 장치 설치 금지) 정책 설정 또는 Prevent installation of removable devices(이동식 장치 설치 금지) 정책 설정에 지정하지 않은 모든 장치의 드라이버를 설치하고 업데이트할 수 있습니다.

Allow administrators to override device installation policy(관리자가 장치 설치 정책을 다시 정의하도록 허용). 이 정책 설정을 사용하면 로컬 Administrators 그룹 구성원이 다른 정책 설정에 관계없이 모든 장치의 드라이버를 설치하고 업데이트할 수 있습니다. 이 정책 설정을 사용하도록 설정하면 관리자가 하드웨어 추가 마법사나 드라이버 업데이트 마법사를 사용하여 모든 장치의 드라이버를 설치하고 업데이트할 수 있습니다. 이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않으면 장치 설치를 제한하는 모든 정책 설정이 관리자에게도 적용됩니다.

Prevent installation of devices that match these device IDs(이 장치 ID와 일치하는 장치 설치 금지). 이 정책 설정은 사용자가 설치할 수 없는 장치의 플러그 앤 플레이 하드웨어 ID와 호환 가능 ID 목록을 지정합니다. 이 정책 설정을 사용하도록 설정하면 하드웨어 ID나 호환 가능 ID 중 하나가 이 목록에 있는 ID와 일치하는 장치의 드라이버를 사용자가 설치하거나 업데이트할 수 없습니다. 이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않으면 장치 설치와 관련된 다른 정책 설정에 지정한 장치를 설치하고 해당 드라이버를 업데이트할 수 있습니다.

  참고:

이 정책 설정은 사용자가 장치를 설치하도록 허용하는 다른 정책 설정보다 우선 적용됩니다. 즉, 이 정책 설정을 사용하도록 설정하면 장치 설치를 허용하는 다른 정책 설정에 특정 장치가 지정된 경우에도 해당 장치를 설치할 수 없습니다.

Prevent installation of drivers matching these device setup classes(이 장치 설치 클래스와 일치하는 드라이버 설치 금지). 이 정책 설정은 사용자가 설치할 수 없는 장치의 플러그 앤 플레이 장치 설치 클래스 GUID 목록을 지정합니다. 이 정책 설정을 사용하도록 설정하면 나열된 장치 설치 클래스에 속하는 장치의 드라이버를 사용자가 설치하거나 업데이트할 수 없습니다. 이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않으면 장치 설치와 관련된 다른 정책 설정에 지정한 장치를 설치하고 해당 드라이버를 업데이트할 수 있습니다.

  참고:

이 정책 설정은 사용자가 장치를 설치하도록 허용하는 다른 정책 설정보다 우선 적용됩니다. 즉, 이 정책 설정을 사용하도록 설정하면 장치 설치를 허용하는 다른 정책 설정에 특정 장치가 지정된 경우에도 해당 장치를 설치할 수 없습니다.

Allow installation of devices that match any of these device IDs(이 장치 ID와 일치하는 장치 설치 허용). 이 정책 설정은 사용자가 설치할 수 있는 장치의 플러그 앤 플레이 하드웨어 ID와 호환 가능 ID 목록을 지정합니다. 이 설정은 Prevent installation of devices not described by other policy settings(다른 정책 설정에 지정되지 않은 장치의 설치 금지) 정책 설정을 사용하도록 설정했고, 이 정책 설정이 사용자의 장치 설치를 금지하는 다른 정책 설정보다 우선적으로 적용되지 않을 경우에만 사용해야 합니다. 이 정책 설정을 사용하도록 설정하면 Prevent installation of devices that match these device IDs(이 장치 ID와 일치하는 장치 설치 금지) 정책 설정, Prevent installation of devices for these device classes(이 장치 클래스의 장치 설치 금지) 정책 설정 또는 Prevent installation of removable devices(이동식 장치 설치 금지) 정책 설정에 지정하지 않은 모든 장치에 대해 하드웨어 ID 또는 호환 가능 ID가 이 목록에 있는 ID와 일치하는 장치를 사용자가 설치하고 업데이트할 수 있습니다. 장치 설치를 금지하는 다른 정책 설정에 지정된 장치는 이 정책 설정에 지정하더라도 설치할 수 없습니다. 이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않고 장치가 다른 정책에 지정되지 않은 경우에는 Prevent installation of devices not described by other policy settings(다른 정책 설정에 지정되지 않은 장치의 설치 금지) 정책 설정에 따라 사용자가 장치를 설치할 수 있는지 여부가 결정됩니다.

Allow installation of devices using drivers for these device classes(이 장치 클래스의 드라이버를 사용하는 장치 설치 허용). 이 정책 설정은 사용자가 설치할 수 있는 장치의 장치 설치 클래스 GUID 목록을 지정합니다. 이 설정은 Prevent installation of devices not described by other policy settings(다른 정책 설정에 지정되지 않은 장치의 설치 금지) 정책 설정을 사용하도록 설정했고, 이 정책 설정이 사용자의 장치 설치를 금지하는 다른 정책 설정보다 우선적으로 적용되지 않을 경우에만 사용해야 합니다. 이 설정을 사용하도록 설정하면 Prevent installation of devices that match these device IDs(이 장치 ID와 일치하는 장치 설치 금지) 정책 설정, Prevent installation of devices for these device classes(이 장치 클래스의 장치 설치 금지) 정책 설정 또는 Prevent installation of removable devices(이동식 장치 설치 금지) 정책 설정에 지정하지 않은 모든 장치에 대해 장치 설치 클래스가 이 목록에 있는 장치 설치 클래스 GUID와 일치하는 장치를 사용자가 설치하고 업데이트할 수 있습니다. 장치 설치를 금지하는 다른 정책 설정에 지정된 장치는 이 정책 설정에 지정하더라도 설치할 수 없습니다. 이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않고 장치가 다른 정책 설정에 지정되지 않은 경우에는 Prevent installation of devices not described by other policy settings(다른 정책 설정에 지정되지 않은 장치의 설치 금지) 정책 설정에 따라 사용자가 장치를 설치할 수 있는지 여부가 결정됩니다.

이러한 정책 중 일부는 다른 정책보다 우선적으로 적용됩니다. 다음 순서도는 Windows가 정책을 처리하여 사용자가 장치를 설치할 수 있는지 여부를 결정하는 방식을 보여 줍니다.


이동식 저장소 액세스를 위한 그룹 정책 설정

Windows Vista 및 Windows Server "Longhorn"에서 관리자는 그룹 정책을 적용하여 사용자가 이동식 미디어가 있는 장치에서 읽거나 쓸 수 있는지 여부를 제어할 수 있습니다. 이러한 정책을 사용하면 중요하거나 민감한 자료를 이동식 미디어나 저장 장치가 들어 있는 이동식 장치에 기록하여 유출시키는 행위를 방지할 수 있습니다.

이러한 정책 설정은 컴퓨터에 로그온하는 모든 사용자에게 적용되도록 컴퓨터 수준에서 적용할 수 있습니다. 또한 정책 설정을 사용자 수준에서 적용하여 특정 사용자 계정에만 적용되도록 제한할 수도 있습니다. Active Directory 환경에서 그룹 정책을 사용하는 경우 정책 설정을 단일 사용자 계정은 물론 사용자 그룹에 적용할 수 있습니다. 그룹 정책을 사용하면 이러한 정책을 많은 수의 컴퓨터에 효과적으로 적용할 수 있습니다. 그룹 정책을 사용하여 클라이언트 컴퓨터를 관리하는 데 대한 자세한 내용은 Microsoft 웹 사이트에서 "Group Policy"(http://go.microsoft.com/fwlink/?linkid=55625 (영문))를 참조하십시오.

  중요:

이러한 이동식 저장소 액세스 정책은 Windows의 ReadyBoost 기술과 같이 시스템 계정 컨텍스트에서 실행되는 소프트웨어에는 적용되지 않습니다. 하지만 현재 사용자의 보안 컨텍스트에서 실행되는 모든 소프트웨어는 이 제한의 영향을 받을 수 있습니다. 예를 들어 Removable Disks: Deny write access(이동식 디스크: 쓰기 액세스 거부) 정책 설정을 사용자가 관리자인 경우에도 적용하면 BitLocker 설치 프로그램이 시작 키를 USB 드라이브에 쓸 수 없습니다. 따라서 로컬 Administrators 그룹이 아닌 사용자와 그룹에만 제한을 적용하는 것이 좋습니다.

Removable Storage Access(이동식 저장소 액세스) 정책 설정에는 관리자가 강제로 다시 부팅하도록 허용하는 설정도 포함됩니다. 장치를 사용 중인 상태에서 제한 정책을 적용하는 경우 컴퓨터를 다시 시작해야만 정책이 적용될 수 있습니다. 사용자가 컴퓨터를 다시 시작할 때까지 기다리지 않으려면 강제로 다시 시작하는 정책 설정을 사용합니다. 컴퓨터를 다시 시작하지 않고 제한 정책을 적용할 수 있는 경우에는 다시 부팅 옵션이 무시됩니다.

정책 설정은 다음의 두 가지 위치에 저장됩니다. Computer Configuration\Administrative Templates\System\Removable Storage Access에 있는 정책 설정은 컴퓨터와 해당 컴퓨터에 로그온하는 모든 사용자에게 적용됩니다. User Configuration\Administrative Templates\System\Removable Storage Access에 있는 정책 설정은 정책 설정이 적용된 사용자와 그룹(Active Directory를 사용하여 그룹 정책을 적용한 경우)에게만 적용됩니다.

다음은 이동식 저장소 드라이브에 대한 읽기 또는 쓰기 액세스를 제어할 수 있는 정책에 대한 간략한 설명입니다. 각 장치 범주는 읽기 액세스를 거부하는 정책과 쓰기 액세스를 거부하는 정책을 각각 하나씩 지원합니다.

Time (in seconds) to force reboot(다시 부팅 제한 시간(초)). 이동식 저장소 장치에 대한 액세스 권한 변경을 적용하기 위해 시스템을 다시 시작할 때까지 기다리는 시간을 초 단위로 설정합니다. 다시 시작해야만 제한 정책을 적용할 수 있는 경우에만 다시 시작이 강제로 실행됩니다.

  참고:

장치가 사용 중이기 때문에 시스템을 다시 시작할 수 없어 정책을 적용할 수 없는 경우, 시스템을 다시 시작할 때까지 변경 사항이 적용되지 않습니다. 정책 변경 사항을 여러 장치에 적용하는 경우에는 현재 사용 중이 아닌 모든 장치에 변경 사항이 즉시 반영됩니다. 이때 영향을 받는 장치 중에 사용 중인 장치가 있어 변경 사항을 즉시 실행할 수 없는 경우 관리자가 컴퓨터를 다시 시작하는 이 정책을 사용하도록 설정했다면 해당 정책이 시스템을 자동으로 다시 시작합니다.

CD and DVD(CD 및 DVD). 이러한 정책 설정을 사용하면 USB로 연결하는 장치를 비롯한 CD 및 DVD 이동식 저장소 클래스의 장치에 대한 읽기 또는 쓰기 액세스를 거부할 수 있습니다.

  중요:

일부 타사 CD 및 DVD 버너 소프트웨어는 정책으로 금지할 수 없는 방식으로 하드웨어와 상호 작용합니다. CD 또는 DVD 버너에 대한 모든 쓰기를 금지하려면 해당 소프트웨어 설치를 금지하는 그룹 정책을 적용할 수도 있습니다.

Custom Classes(사용자 지정 클래스). 이러한 정책 설정을 사용하면 장치 설치 클래스 GUID가 특정 목록에 있는 모든 장치에 대한 읽기 또는 쓰기 액세스를 거부할 수 있습니다.

Floppy Drives(플로피 드라이브). 이러한 정책 설정을 사용하면 USB로 연결하는 장치를 비롯한 플로피 드라이브 클래스의 장치에 대한 읽기 또는 쓰기 액세스를 거부할 수 있습니다.

Removable Disks(이동식 디스크). 이러한 정책 설정을 사용하면 USB 메모리 드라이브나 외장 USB 하드 디스크 드라이브와 같이 하드 디스크이거나 하드 디스크를 에뮬레이션하는 이동식 장치에 대한 읽기 또는 쓰기 액세스를 거부할 수 있습니다.

Tape Drives(테이프 드라이브). 이러한 정책 설정을 사용하면 USB로 연결하는 장치를 비롯한 테이프 드라이브에 대한 읽기 또는 쓰기 액세스를 거부할 수 있습니다.

WPD Devices(WPD 장치). 이러한 정책 설정을 사용하면 Windows 휴대용 장치 클래스의 장치에 대한 읽기 또는 쓰기 액세스를 거부할 수 있습니다. 이러한 장치에는 미디어 플레이어, 휴대폰, Windows CE 장치와 같은 "스마트" 장치가 포함됩니다.

All Removable Storage classes: Deny all access(모든 이동식 저장소 클래스: 모든 액세스 거부). 이 정책 설정은 이 목록에 있는 모든 정책 설정보다 우선적으로 적용되며 사용할 경우 이동식 저장소를 사용하는 모든 장치에 대한 읽기 및 쓰기 액세스를 거부합니다. 이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않은 경우에는 이 목록의 다른 정책으로 설정된 제한에 따라 이동식 저장소 클래스에 대한 읽기 및 쓰기 액세스가 허용됩니다.


시나리오 완료를 위한 요구 사항

각 시나리오를 완료하려면 다음이 필요합니다.

Windows Vista를 실행하는 클라이언트 컴퓨터. 이 가이드에서는 이 컴퓨터를 DMI-Client1이라고 합니다.

USB 메모리 드라이브. 이 가이드에서 설명하는 시나리오에서는 USB 메모리 드라이브를 예로 들어 사용합니다. 이 장치는 이동식 디스크 드라이브처럼 작동하며 "엄지 드라이브", "플래시 드라이브" 또는 "열쇠 고리 드라이브"라고도 합니다. 대부분의 USB 메모리 드라이브는 제조업체가 제공하는 드라이버 없이 Windows Vista 및 Windows Server "Longhorn"이 제공하는 드라이버로 작동합니다.

  참고:

설명에서는 장치에 Windows Vista 및 Windows Server "Longhorn"에서 기본적으로 제공하는 드라이버 이외의 드라이버가 필요하지 않다고 가정합니다. 장치에 제조업체의 드라이버가 필요한 경우 드라이버를 제공하라는 메시지가 나타날 때 해당 드라이버를 제공해야 합니다. 이 단계는 시나리오에 포함되지 않습니다.

CD 또는 DVD 버너(선택 사항). 마지막 시나리오에서는 이동식 미디어를 사용하는 장치를 읽기 전용으로 만드는 방법을 보여 줍니다. 실제 CD 또는 DVD 버너가 설치되어 있지 않아도 컴퓨터 정책을 설정할 수 있지만 컴퓨터 정책이 제대로 적용되었는지 확인하려면 CD 또는 DVD 버너 장치가 필요합니다.

DMI-Client1에서 보호된 관리자 계정에 대한 액세스. 이 가이드에서는 이 계정을 TestAdmin이라고 합니다. 이 가이드의 절차를 실행하려면 대부분의 단계에 관리자 권한이 필요합니다. 별도의 설명이 없는 경우 각 절차를 시작할 때 이 관리자 계정을 사용하여 DMI-Client1에 로그온해야 합니다.

  참고:

Windows Vista 및 Windows Server "Longhorn"에는 보호된 관리자 계정이라는 개념이 도입되었습니다. 이 계정은 Administrators 그룹의 구성원이지만 기본적으로 해당 그룹의 보안 권한을 직접적으로 사용하지 않습니다. 높은 수준의 관리자 권한이 필요한 작업을 실행하려고 하면 해당 작업을 실행할 수 있는 권한을 요청하는 대화 상자가 나타납니다. 이 대화 상자에 대해서는 이 가이드의 뒷부분에 있는 "사용자 계정 컨트롤 페이지 사용" 단원에서 설명합니다. 가능한 경우 기본 제공 Administrator 계정 대신 보호된 관리자 계정을 항상 사용하는 것이 좋습니다.

DMI-Client1에서 표준 사용자 계정에 대한 액세스. 이 사용자 계정에는 더 높은 수준의 권한을 부여하는 특수한 구성원 자격이 없습니다. 이 가이드에서는 이 계정을 TestUser라고 합니다. 관련 지시가 있는 경우에만 이 계정으로 컴퓨터에 로그온하십시오. 표준 사용자 계정으로 로그인한 경우 높은 수준의 관리자 권한이 필요한 작업을 실행하려고 하면 관리자 권한이 있는 계정의 자격 증명을 요청하는 대화 상자가 나타납니다. 이 대화 상자에 대해서는 이 가이드의 뒷부분에 있는 "사용자 계정 컨트롤 페이지 사용" 단원에서 설명합니다.

필수 절차

사용자의 장치 설치를 허용하거나 금지하는 정책을 구현하려면 장치의 장치 확인 문자열을 알고 있어야 합니다. 또한 USB 메모리 드라이브와 관련 드라이버를 완전히 제거하는 방법을 알고 있어야 합니다. 다음 절차는 이 가이드의 시나리오를 실행할 수 있는 상태로 컴퓨터를 구성합니다.

1.

사용자 계정 컨트롤 페이지 사용

2.

USB 메모리 드라이브의 장치 확인 문자열 확인

3.

USB 메모리 드라이브 제거

사용자 계정 컨트롤 페이지 사용

이 가이드에서는 Administrators 그룹의 구성원만 할 수 있는 작업을 실행하게 됩니다. Windows Vista 및 Windows Server "Longhorn"에서는 관리자 권한이 필요한 작업을 실행하려고 하면 다음과 같은 현상이 나타납니다.

기본 제공 Administrator 계정으로 로그인한 경우(권장하지 않음) 작업이 즉시 진행됩니다. 기본 제공 관리자 계정은 기본적으로 사용하지 않도록 설정됩니다.

기본 제공 Administrator 계정이 아닌 Administrators 그룹의 구성원인 경우 작업을 진행하는 데 필요한 권한을 묻는 User Account Control(사용자 계정 컨트롤) 대화 상자가 나타납니다. Continue(계속)를 클릭하면 작업이 진행됩니다.

표준 사용자로 로그온한 경우 작업을 실행하지 못할 수 있습니다. 작업에 따라서는 관리자 계정의 사용자 이름과 암호를 입력할 수 있는 User Account Control(사용자 계정 컨트롤) 페이지가 나타날 수 있습니다. 유효한 자격 증명을 제공하면 사용자가 제공한 관리자 계정의 보안 컨텍스트에서 작업이 실행됩니다. 이러한 자격 증명을 제공할 수 없으면 작업을 실행할 수 없습니다.

  중요:

관리 작업을 실행하기 위해 자격 증명 또는 권한 정보를 제공하기 전에 User Account Control(사용자 계정 컨트롤) 페이지가 자신이 시작한 작업의 결과로 표시된 것인지 확인해야 합니다. 이 페이지가 예기치 않게 나타나면 Details(자세히) 단추를 클릭하여 허용하려는 작업이 맞는지 확인합니다.

이 가이드에서는 절차를 실행할 때 나타날 수 있는 User Account Control(사용자 계정 컨트롤) 대화 상자의 모든 인스턴스를 보여 주지 않고, 관리자 권한으로 특정 권한을 실행하기 위해 특수한 단계가 필요한 경우에만 해당 내용을 설명합니다.

USB 메모리 드라이브의 장치 확인 문자열 확인

다음 단계에 따라 장치의 장치 확인 문자열을 확인할 수 있습니다. 장치의 하드웨어 ID와 호환 가능 ID가 이 가이드에 표시된 것과 일치하지 않으면 사용자 장치에 해당하는 ID를 사용하십시오.

  참고:

다음 시나리오에서는 USB 메모리 드라이브를 설치한 다음 제거합니다. 설명에서는 장치에 Windows Vista 및 Windows Server "Longhorn"에서 기본적으로 제공하는 드라이버 이외의 드라이버가 필요하지 않다고 가정합니다. 장치에 제조업체의 드라이버가 필요한 경우 드라이버를 제공하라는 메시지가 나타날 때 해당 드라이버를 제공해야 합니다. 이 단계는 시나리오에 포함되지 않습니다.

장치의 하드웨어 ID와 호환 가능 ID는 두 가지 방법으로 확인할 수 있습니다. 즉, 운영 체제에 포함된 그래픽 도구인 장치 관리자를 사용하거나 DDK(Driver Development Kit)의 일부로 다운로드하여 사용할 수 있는 명령줄 도구인 DevCon을 사용할 수 있습니다. 다음 절차에 따라 USB 메모리 드라이브의 장치 확인 문자열을 표시합니다.

  중요:

이러한 절차는 USB 메모리 드라이브에만 해당하므로 다른 유형의 장치를 사용하는 경우에는 해당 장치에 맞게 단계를 조정해야 합니다. 장치 유형 간의 가장 큰 차이는 장치 관리자 계층 구조에서의 장치 위치입니다. Disk Drives(디스크 드라이브) 노드를 찾는 대신 장치에 해당하는 노드를 찾으십시오.

장치 관리자를 사용하여 장치 확인 문자열을 찾으려면

1.

컴퓨터에 DMI-Client1\TestAdmin으로 로그온합니다.

2.

USB 메모리 드라이브를 끼운 다음 설치를 완료합니다.

3.

Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 mmc devmgmt.msc를 입력한 다음 Enter 키를 눌러 장치 관리자를 엽니다.

4.

User Account Control(사용자 계정 컨트롤) 대화 상자가 나타나면 표시된 작업이 원하는 작업인지 확인하고 Continue(계속)를 클릭합니다.

장치 관리자가 시작되고 컴퓨터에서 검색된 모든 장치를 나타내는 트리가 표시됩니다. 트리의 최상위 노드에는 컴퓨터 이름이 표시됩니다. 그 아래의 노드는 컴퓨터의 장치를 그룹화하는 다양한 하드웨어 범주를 나타냅니다.

5.

Disk drives(디스크 드라이브)를 두 번 클릭하여 목록을 엽니다.

dmi_devmgmt_mainscreen_sShows 장치 관리자의 대표적인 USB 장치

6.

사용 중인 USB 메모리 드라이브의 항목을 마우스 오른쪽 단추로 클릭하고 Properties(속성)를 클릭합니다.

Device Properties(장치 속성) 대화 상자가 나타납니다.

DevicePropertiesGeneralTabArt 이미지

7.

Details(자세히) 탭을 클릭합니다.

8.

Property(속성) 목록에서 Hardware Ids(하드웨어 ID)를 클릭합니다.

Value(값) 아래에 표시되는 문자열을 기록해 둡니다.

dmi_devmgmt_Hardware_IDs_s선택한 장치의 하드웨어 ID

  참고:

텍스트를 선택하고 Ctrl-C를 눌러 문자열을 클립보드에 복사할 수 있습니다. 대부분의 하드웨어 ID에는 여러 개의 밑줄 문자가 있으므로 식별자를 지정해야 할 때 붙여넣을 수 있도록 텍스트 파일에 하드웨어 ID를 복사해 두는 것이 좋습니다. 이렇게 하면 승인 장치나 금지 장치 목록에 특정 식별자를 추가할 때 실수하는 일을 크게 줄일 수 있습니다.

9.

Property(속성) 목록에서 Compatible Ids(호환 가능 ID)를 클릭합니다.

Value(값) 아래에 표시되는 문자열을 기록해 둡니다.

dmi_devmgmt_Compatible_IDs_s선택한 장치의 호환 가능 ID

10.

OK(확인)를 클릭하여 대화 상자를 닫습니다.

  참고:

DevCon 명령줄 유틸리티를 사용하여 장치 확인 문자열을 확인할 수도 있습니다. DevCon은 Microsoft 도움말 및 지원 사이트에서 다운로드할 수 있습니다. 자세한 내용은 Microsoft 웹 사이트에서 "The DevCon command-line utility functions as an alternative to Device Manager"(http://go.microsoft.com/fwlink/?LinkId=56391)를 참조하십시오.

MSDN(Microsoft Developer Network) 사이트에서 DevCon 유틸리티 및 사용 방법에 자세한 내용을 찾을 수 있습니다. 자세한 내용은 Microsoft 웹 사이트에서 "DevCon"을 참조하십시오.

DevCon을 사용하여 하드웨어 ID를 확인하는 데 필요한 구문도 MSDN에서 볼 수 있습니다. 자세한 내용은 Microsoft 웹 사이트에서 "DevCon HwIDs"를 참조하십시오.

USB 메모리 드라이브 제거

일반적으로 USB 메모리를 사용할 때에는 USB 포트에서 드라이브를 그냥 빼면 됩니다. 그러나 이 가이드에서는 컴퓨터를 적절하게 구성한 상태에서 각 시나리오를 시작할 수 있도록 장치 드라이버를 제거해야 합니다. 여기에 나온 대로 장치를 제거한 후 분리하지 못하면 아래의 시나리오에서 테스트하는 정책이 적용되지 않고 예상된 결과를 얻을 수 없습니다. 이 가이드에서 장치를 제거하고 분리하라는 지침이 나오면 아래의 단계를 실행하십시오.

  중요:

마지막 단계를 실행할 때까지 USB 포트에서 장치를 분리하지 마십시오.

USB 메모리 드라이브를 제거하려면

1.

컴퓨터에 DMI-Client1\TestAdmin으로 로그온합니다.

2.

Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 mmc devmgmt.msc를 입력한 다음 Enter 키를 눌러 장치 관리자를 엽니다.

3.

User Account Control(사용자 계정 컨트롤) 대화 상자가 나타나면 표시된 작업이 원하는 작업인지 확인하고 Continue(계속)를 클릭합니다.

4.

사용 중인 USB 메모리 드라이브의 항목을 마우스 오른쪽 단추로 클릭하고 Uninstall(제거)을 클릭합니다.

dmi_devmgmt_Uninstall_sArt 이미지

5.

Confirm Device Removal(장치 제거 확인) 대화 상자에서 OK(확인)를 클릭하여 설치 제거 프로세스를 완료합니다.

6.

설치 제거 프로세스가 완료되면 장치 관리자 트리에서 해당 장치 항목이 제거됩니다.

7.

USB 포트에서 USB 메모리 드라이브를 분리합니다.


모든 장치의 설치 금지

이 시나리오는 모든 장치를 설치할 수 없고 기존 장치를 새 장치 드라이버로 업데이트할 수 없는 가장 제한적인 구성을 구현하는 데 필요한 단계를 설명합니다. 이 경우 사용자는 관리자의 개입 없이 장치를 설치하거나 사용할 수 없으며 관리자는 이전과 마찬가지로 필요한 모든 장치를 설치하거나 업데이트할 수 있습니다.

모든 장치의 설치를 금지하기 위한 필수 작업

이 시나리오의 절차를 완료하려면 이 문서 앞부분에 있는 "USB 메모리 드라이브 제거" 단원의 설명에 따라 USB 메모리 드라이브를 제거해야 합니다.

모든 장치의 설치를 금지하는 단계

1.

모든 장치의 설치를 금지하는 정책 구성

2.

관리자가 장치 설치 제한을 다시 정의할 수 있도록 허용하는 정책 구성

3.

표준 사용자로 로그인하여 제한 설정 테스트

1단계: 모든 장치의 설치를 금지하는 정책 구성

모든 장치의 설치나 업데이트를 금지하는 정책을 구성하려면

1.

컴퓨터에 DMI-Client1\TestAdmin으로 로그온합니다.

2.

Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 mmc gpedit.msc를 입력한 다음 Enter 키를 눌러 Group Policy Object Editor(그룹 정책 개체 편집기)를 엽니다.

3.

User Account Control(사용자 계정 컨트롤) 대화 상자가 나타나면 표시된 작업이 원하는 작업인지 확인하고 Continue(계속)를 클릭합니다.

4.

Group Policy Object Editor(그룹 정책 개체 편집기) 탐색 창에서 Computer Configuration(컴퓨터 구성)을 두 번 클릭하여 엽니다. 그런 다음 Administrative Templates(관리 템플릿), System(시스템), Device Installation(장치 설치), Device Installation Restrictions(장치 설치 제한)를 차례로 엽니다.

dmi_devmgmt_DevinstShown_sArt 이미지

5.

세부 정보 창에서 Prevent installation of devices not described by other policy settings(다른 정책 설정에 지정되지 않은 장치의 설치 금지)를 마우스 오른쪽 단추로 클릭하고 Properties(속성)를 클릭합니다.

현재 설정을 보여 주는 정책 대화 상자가 나타납니다.

6.

Setting(설정) 탭에서 Enabled(사용)를 클릭하여 정책을 활성화합니다.

7.

OK(확인)를 클릭하여 설정을 저장하고 Group Policy Object Editor(그룹 정책 개체 편집기)로 돌아갑니다.

2단계: 관리자가 장치 설치 제한을 다시 정의할 수 있도록 허용하는 정책 구성

다음 정책을 사용하면 앞에서 사용하도록 설정한 정책을 비롯하여 다른 장치 설치 정책 설정을 통해 적용한 제한을 관리자가 다시 정의할 수 있습니다.

관리자가 장치 설치 제한을 다시 정의할 수 있도록 허용하는 정책을 구성하려면

1.

세부 정보 창에서 Allow administrators to override device installation policy(관리자가 장치 설치 정책을 다시 정의하도록 허용)를 마우스 오른쪽 단추로 클릭하고Properties(속성)를 클릭합니다.

현재 설정을 보여 주는 정책 대화 상자가 나타납니다.

2.

Setting(설정) 탭에서 Enabled(사용)를 클릭하여 정책을 활성화합니다.

3.

OK(확인)를 클릭하여 설정을 저장하고 Group Policy Object Editor(그룹 정책 개체 편집기)로 돌아갑니다.

이제 두 정책이 모두 사용 상태로 표시됩니다.

dmi_gpedit_BothPoliciesEnabled_sArt 이미지

4.

Group Policy Object Editor(그룹 정책 개체 편집기)를 닫습니다.

3단계: 표준 사용자로 로그인하여 제한 설정 테스트

두 정책을 활성화한 후 컴퓨터에 적용하고 장치를 설치하여 제한이 작동하는지 확인할 수 있습니다.

표준 사용자로 로그인하여 제한 설정을 테스트하려면

1.

장치가 설치되어 있으면 이 문서 앞부분에 있는 "USB 메모리 드라이브 제거" 단원의 단계를 실행하여 장치를 제거한 후 분리합니다.

2.

Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 gpupdate /force를 입력한 다음 Enter 키를 누릅니다.

3.

GPUdate 명령이 완료되면 컴퓨터에서 로그오프한 다음 DMI-Client1\TestUser로 로그온합니다.

4.

Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 mmc devmgmt.msc를 입력한 다음 Enter 키를 눌러 장치 관리자를 엽니다.

Device Manager(장치 관리자)에서 변경을 수행할 권한이 없음을 나타내는 메시지가 다음과 같이 나타납니다.

dmi_NotEnoughPrivs_sShows 설치 권한이 부족하다는 오류

5.

OK(확인)를 클릭하여 메시지를 확인합니다.

Device Manager(장치 관리자)가 시작되고 컴퓨터의 장치가 표시됩니다.

6.

USB 메모리 드라이브를 끼웁니다.

설치가 완료될 때까지 장치가 Device Manager(장치 관리자)의 Other devices(기타 장치) 노드 아래에 나타납니다.

dmi_devmgmt_PartialInstall_sArt 이미지

7.

현재 관리 권한이 없는 표준 사용자로 로그온하여 장치 설치가 제한되기 때문에 다음 대화 상자가 나타납니다.

dmi_devmgmt_NeedAdminToInstall_sArt 이미지

8.

일반적인 사용자 응답을 가정하여 Locate and install driver software (recommended)(드라이버 소프트웨어를 찾아 설치하기(권장)를 클릭합니다.

관리 권한이 있는 계정의 사용자 이름과 암호를 묻는 다른 형태의 User Account Control(사용자 계정 컨트롤) 대화 상자가 나타납니다.

9.

표준 사용자는 관리자 자격 증명을 가지고 있지 않으므로 Cancel(취소)을 클릭하여 작업을 중단합니다.

장치 드라이버 설치가 실패하고 장치는 사용할 수 없는 상태로 Other devices(기타 장치) 노드에 유지됩니다.

dmi_devmgmt_PartialInstall_sArt 이미지

승인된 장치만 설치하도록 허용

이 시나리오는 모든 장치의 설치를 금지하는 첫 번째 시나리오인 모든 장치의 설치 금지에 기반합니다. 이 시나리오에서는 정책에 허용 장치 목록을 추가하고 USB 메모리 드라이브의 하드웨어 ID를 포함시킵니다.

승인된 장치만 설치하도록 허용하기 위한 필수 작업

이 작업을 완료하려면 먼저 첫 번째 시나리오인 모든 장치의 설치 금지의 모든 단계를 완료해야 합니다.

승인된 장치만 설치하도록 허용하기 위한 단계

이 단원에서는 승인된 장치의 목록을 만들어 모든 장치의 설치 금지에서 적용한 제한에 허용 장치를 추가합니다.

1.

승인 장치 목록 만들기

2.

표준 사용자로 로그인하여 결과 테스트

1단계: 승인 장치 목록 만들기

승인된 장치의 목록을 만들려면

1.

컴퓨터에 DMI-Client1\TestAdmin으로 로그온합니다.

2.

장치가 현재 설치되어 있으면 이 문서 앞부분에 있는 "USB 메모리 드라이브 제거" 단원의 단계를 실행하여 장치를 제거한 후 분리합니다.

3.

Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 mmc gpedit.msc를 입력한 다음 Enter 키를 눌러 Group Policy Object Editor(그룹 정책 개체 편집기)를 엽니다.

4.

Group Policy Object Editor(그룹 정책 개체 편집기) 탐색 창에서 Computer Configuration(컴퓨터 구성)을 두 번 클릭하여 엽니다. 그런 다음 Administrative Templates(관리 템플릿), System(시스템), Device Installation(장치 설치), Device Installation Restrictions(장치 설치 제한)를 차례로 엽니다.

5.

세부 정보 창에서 Allow installation of devices that match any of these device IDs(이 장치 ID와 일치하는 장치 설치 허용)를 마우스 오른쪽 단추로 클릭하고Properties(속성)를 클릭합니다.

현재 설정을 보여 주는 정책 대화 상자가 나타납니다.

6.

Setting(설정) 탭에서 Enabled(사용)를 클릭하여 정책을 활성화합니다.

dmi_devmgmt_AllowListProperties_sArt 이미지

7.

Show(표시)를 클릭하여 Show Contents(내용 표시) 대화 상자에 허용 장치 목록을 표시합니다.

이 목록은 기본적으로 비어 있습니다.

8.

Add(추가)를 클릭하여 Add Item(항목 추가) 대화 상자를 엽니다.

9.

장치의 장치 ID(첫 번째 하드웨어 ID)를 입력합니다.

dmi_devmgmt_AddItemFull_sArt 이미지

10.

OK(확인)를 클릭하여 Show Contents(내용 표시) 대화 상자로 돌아갑니다.

이제 목록에 장치가 나타납니다.

dmi_devmgmt_AllowListShowContentsFull_sArt 이미지

11.

OK(확인)를 클릭하여 정책 대화 상자로 돌아갑니다.

12.

OK(확인)를 클릭하여 새 정책 설정을 저장합니다.

2단계: 승인 장치 목록 테스트

정책 설정을 활성화한 후 컴퓨터에 적용하고 장치를 설치해 볼 수 있습니다.

승인 장치 목록을 테스트하려면

1.

Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 gpupdate /force를 입력한 다음 Enter 키를 누릅니다.

2.

gpudate 명령이 완료되면 컴퓨터에서 로그오프한 다음 DMI-Client1\TestUser로 로그온합니다.

3.

Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 mmc devmgmt.msc를 입력한 다음 Enter 키를 눌러 장치 관리자를 엽니다.

Device Manager(장치 관리자)에서 변경을 수행할 권한이 없음을 나타내는 메시지가 다음과 같이 나타납니다.

dmi_NotEnoughPrivs_sShows 설치 권한이 부족하다는 오류

4.

OK(확인)를 클릭하여 메시지를 닫습니다.

Device Manager(장치 관리자)가 시작되고 컴퓨터의 장치가 표시됩니다.

5.

USB 메모리 드라이브를 끼웁니다.

Windows가 설치를 완료할 때까지 장치가 Device Manager(장치 관리자)의 Other devices(기타 장치) 노드 아래에 나타납니다.

dmi_devmgmt_PartialInstall_sArt 이미지

6.

설치가 완료되면 장치가 Device Manager(장치 관리자)의 Disk Drives(디스크 드라이브) 노드로 이동하고 제대로 작동합니다.

dmi_devmgmt_mainscreen_sShows 장치 관리자의 대표적인 USB 장치

금지된 장치의 설치 금지

이 시나리오에서는 장치 설치를 제어하는 다른 방법을 제공합니다. 처음 두 시나리오에서는 승인 장치 목록에 있는 장치를 제외한 모든 장치의 설치를 금지했습니다. 반대로 이 시나리오에서는 금지 장치 목록에 있는 장치를 제외한 모든 장치의 설치를 허용합니다. 또한 관리자도 이 정책의 적용을 받도록 첫 번째 시나리오에서 만든 관리자 예외를 제거합니다.

금지된 장치의 설치를 금지하기 위한 필수 작업

모든 장치의 설치 금지 및 승인된 장치만 설치하도록 허용 단계를 완료한 경우 다음 단계를 실행하여 해당 정책을 사용하지 않도록 설정해야 합니다.

모든 장치를 설치할 수 있도록 설정합니다.

Administrators 그룹 구성원의 장치 설치를 허용하는 예외를 제거합니다.

승인 장치 목록에서 하드웨어 ID를 제거합니다.

모든 장치를 설치할 수 있도록 설정하려면

1.

컴퓨터에 DMI-Client1\TestAdmin으로 로그온합니다.

2.

Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 mmc gpedit.msc를 입력한 다음 Enter 키를 눌러 Group Policy Object Editor(그룹 정책 개체 편집기)를 엽니다.

3.

Group Policy Object Editor(그룹 정책 개체 편집기) 탐색 창에서 Computer Configuration(컴퓨터 구성)을 두 번 클릭하여 엽니다. 그런 다음 Administrative Templates(관리 템플릿), System(시스템), Device Installation(장치 설치), Device Installation Restrictions(장치 설치 제한)를 차례로 엽니다.

4.

세부 정보 창에서 Prevent installation of devices not described by other policy settings(다른 정책 설정에 지정되지 않은 장치의 설치 금지) 노드를 마우스 오른쪽 단추로 클릭하고 Properties(속성)를 클릭합니다.

현재 설정을 보여 주는 정책 대화 상자가 나타납니다.

5.

Disabled(사용 안 함)를 클릭하여 정책 설정을 비활성화합니다.

6.

OK(확인)를 클릭하여 설정을 저장하고 Group Policy Object Editor(그룹 정책 개체 편집기)로 돌아갑니다.

다음 단계에서는 Administrators 그룹 구성원에게 예외를 부여하는 정책을 제거합니다.

그룹 정책에서 관리자를 위한 예외를 제거하려면

1.

Group Policy Object Editor(그룹 정책 개체 편집기)에서 Allow administrators to override device installation policy(관리자가 장치 설치 정책을 다시 정의하도록 허용)를 마우스 오른쪽 단추로 클릭하고 Properties(속성)를 클릭합니다.

현재 설정을 보여 주는 정책 대화 상자가 나타납니다.

2.

Setting(설정) 탭에서 Disabled(사용 안 함)를 클릭하여 정책을 비활성화합니다.

3.

OK(확인)를 클릭하여 설정을 저장하고 Group Policy Object Editor(그룹 정책 개체 편집기)로 돌아갑니다.

다음 단계에서는 두 번째 시나리오에서 만든 승인 장치 목록에서 하드웨어 ID를 제거합니다.

승인 장치 목록에서 하드웨어 ID를 제거하려면

1.

Group Policy Object Editor(그룹 정책 개체 편집기)에서 Allow installation of devices that match any of these device IDs(이 장치 ID와 일치하는 장치 설치 허용)를 마우스 오른쪽 단추로 클릭하고 Properties(속성)를 클릭합니다.

현재 설정을 보여 주는 정책 대화 상자가 나타납니다.

2.

Setting(설정) 탭에서 Show(표시)를 클릭하여 승인 장치 목록을 표시합니다.

3.

Show Contents(내용 표시) 대화 상자에서 USB 메모리 드라이브 이름을 선택한 다음 Remove(제거)를 클릭합니다.

목록에서 장치가 제거됩니다.

4.

OK(확인)를 클릭하여 Show Contents(내용 표시) 대화 상자를 닫고 정책 대화 상자로 돌아갑니다.

5.

Disabled(사용 안 함)를 클릭하여 정책 설정을 비활성화합니다.

6.

OK(확인)를 클릭하여 변경 사항을 저장하고 Group Policy Object Editor(그룹 정책 개체 편집기)로 돌아갑니다.

금지 장치의 설치를 금지하는 단계

사용자가 특정 장치를 설치하지 못하게 하려면 금지 장치 목록을 만듭니다. 이 단원에서는 다음과 같은 작업을 실행합니다.

1.

금지 장치 목록 만들기

2.

금지 장치 목록 테스트

1단계: 금지 장치 목록 만들기

금지 장치 목록을 만들려면

1.

장치가 현재 설치되어 있으면 이 문서 앞부분에 있는 "USB 메모리 드라이브 제거" 단원의 단계를 실행하여 장치를 제거한 후 분리합니다.

2.

컴퓨터에 DMI-Client1\TestAdmin으로 로그온합니다.

3.

Group Policy Object Editor(그룹 정책 개체 편집기)가 실행되고 있지 않으면 지금 실행합니다. Group Policy Object Editor(그룹 정책 개체 편집기)를 시작하려면 Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 mmc gpedit.msc를 입력한 다음 Enter 키를 누릅니다.

4.

트리에서 Computer Configuration(컴퓨터 구성)을 두 번 클릭하여 엽니다. 그런 다음 Administrative Templates(관리 템플릿), System(시스템), Device Installation(장치 설치), Device Installation Restrictions(장치 설치 제한)를 차례로 엽니다.

5.

세부 정보 창에서 Allow installation of devices that match any of these device IDs(이 장치 ID와 일치하는 장치 설치 금지)를 마우스 오른쪽 단추로 클릭하고Properties(속성)를 클릭합니다.

현재 설정을 보여 주는 정책 대화 상자가 나타납니다.

6.

Setting(설정) 탭에서 Enabled(사용)를 클릭하여 정책을 활성화합니다.

dmi_devmgmt_PreventListProperties_sArt 이미지

7.

Show(표시)를 클릭하여 금지 장치 목록을 표시합니다.

8.

Show Contents(내용 표시) 대화 상자에서 Add(추가)를 클릭합니다.

9.

Add Item(항목 추가) 대화 상자에서 장치의 장치 ID(첫 번째 하드웨어 ID)를 입력합니다.

10.

OK(확인)를 클릭하여 Show Contents(내용 표시) 대화 상자로 돌아갑니다.

이제 목록에 장치가 나타납니다.

dmi_Devmgmt_PreventListShowContentsFull_sArt 이미지

11.

OK(확인)를 클릭하여 정책 대화 상자로 돌아갑니다.

12.

OK(확인)를 클릭하여 새 정책 설정을 저장합니다.

2단계: 금지 장치 목록 테스트

이제 장치를 설치해 봅니다. 장치 설치를 금지하는 정책이 더 이상 적용되지 않기 때문에 다른 장치를 설치할 수 있지만 이 장치는 설치할 수 없으며, Administrators 그룹의 구성원으로 로그온한 경우에도 마찬가지입니다.

금지 장치 목록을 테스트하려면

1.

Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 gpupdate /force를 입력한 다음 Enter 키를 누릅니다.

2.

gpudate 명령이 완료되면 명령 프롬프트를 닫습니다.

3.

Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 mmc devmgmt.msc를 입력한 다음 Enter 키를 눌러 장치 관리자를 엽니다.

4.

USB 메모리 드라이브를 끼웁니다.

장치가 Device Manager(장치 관리자)의 Other devices(기타 장치) 노드 아래에 나타납니다.

설치가 완료되지 않고 장치가 작동하지 않습니다.

dmi_devmgmt_PartialInstall_sArt 이미지

5.

Windows 알림 영역에 설치가 실패한 이유를 설명하는 메시지가 나타납니다.

InstallPreventedByPolicy

6.

이 제한을 통과하기 위해 장치의 드라이버를 직접 설치해 봅니다. 장치를 마우스 오른쪽 단추로 클릭하고 Update Driver Software(드라이버 소프트웨어 업데이트)를 클릭합니다.

7.

장치의 장치 드라이버를 제공하라는 메시지가 나타납니다.

dmi_Devmgmt_PromptForDriver_sArt 이미지

8.

사용자의 반응을 가정하여 Search automatically for updated driver software(업데이트된 드라이버 소프트웨어 자동으로 검색)를 클릭합니다.

드라이버를 찾았지만 설치할 수 없다는 메시지가 나타납니다. 마지막 단락에서는 앞에서 만든 정책으로 인해 설치가 금지되어 설치가 실패했다고 설명합니다.

dmi_Devmgmt_FailureToInstallDriver_sArt 이미지

9.

Close(닫기)를 클릭합니다.


이동식 미디어에 대한 읽기 및 쓰기 권한 제어

이 시나리오에서는 Windows Vista 및 Windows Server "Longhorn"을 실행하는 컴퓨터에서 이동식 장치나 이동식 미디어를 사용하는 장치에 대한 읽기 또는 쓰기 액세스를 제어하는 방법을 보여 줍니다. 이 시나리오에서는 그룹 정책을 설정하여 USB 메모리 드라이브를 읽기 전용으로 만듭니다. 또한 컴퓨터에 연결되어 있는 CD 또는 DVD 버너의 굽기 기능을 사용하지 못하도록 해당 장치를 읽기 전용으로 설정합니다.

이동식 미디어에 대한 읽기 및 쓰기 권한을 제어하기 위한 필수 작업

이 단원의 절차를 실행하려면 먼저 USB 메모리 드라이브의 설치를 금지하는 정책을 사용하지 않도록 설정해야 합니다.

USB 메모리 드라이브의 설치를 금지하는 정책을 사용하지 않도록 설정하려면

1.

장치가 현재 설치되어 있으면 이 문서 앞부분에 있는 "USB 메모리 드라이브 제거" 단원의 단계를 실행하여 장치를 제거한 후 분리합니다.

2.

Group Policy Object Editor(그룹 정책 개체 편집기)의 세부 정보 창에서 Allow installation of devices that match any of these device IDs(이 장치 ID와 일치하는 장치 설치 금지)를 마우스 오른쪽 단추로 클릭하고 Properties(속성)를 클릭합니다.

현재 설정을 보여 주는 정책 대화 상자가 나타납니다.

3.

Setting(설정) 탭에서 Show(표시)를 클릭하여 금지 장치 목록을 표시합니다.

4.

Show Contents(내용 표시) 대화 상자에서 USB 메모리 드라이브를 클릭한 다음 Remove(제거)를 클릭합니다.

5.

Setting(설정) 탭에서 Disabled(사용 안 함)를 클릭하여 이 정책 설정을 비활성화합니다.

6.

OK(확인)를 클릭하여 변경 사항을 저장합니다.

이동식 미디어에 대한 읽기 및 쓰기 권한을 제어하기 위한 단계

1.

특정 이동식 장치 클래스에 대한 쓰기 액세스를 거부하는 컴퓨터 정책 설정

2.

컴퓨터 정책 설정 테스트

1단계: 특정 이동식 장치 클래스에 대한 쓰기 액세스를 거부하는 컴퓨터 정책 설정

이 절차에서 설정하는 정책은 많은 이동식 저장 장치에 대한 쓰기 액세스를 차단합니다. 하지만 장치에 대한 쓰기 액세스를 차단하는 정확한 컴퓨터 정책은 특정 제조업체와 모델 장치에 따라 달라질 수 있습니다. Custom Classes(사용자 지정 클래스) 정책을 사용할 수도 있지만 이 정책을 사용하려면 개별 장치의 장치 설치 클래스 GUID를 알고 있어야 합니다.

특정 이동식 장치 클래스에 대한 쓰기 액세스를 거부하려면

1.

Group Policy Object Editor(그룹 정책 개체 편집기) 탐색 창에서 Computer Configuration(컴퓨터 구성), Administrative Templates(관리 템플릿), System(시스템),Removable Storage Access(이동식 저장소 액세스)를 차례로 엽니다.

2.

CD and DVD: Deny write access(CD 및 DVD: 쓰기 액세스 거부)를 마우스 오른쪽 단추로 클릭하고 Properties(속성)를 클릭합니다.

3.

Properties(속성) 대화 상자에서 Enabled(사용)를 클릭하여 제한을 활성화한 다음 OK(확인)를 클릭합니다.

4.

다음 컴퓨터 정책에 대해 2단계와 3단계를 반복합니다.

Removable Disks: Deny write access(이동식 디스크: 쓰기 액세스 거부)

Floppy Drives: Deny write access(플로피 드라이브: 쓰기 액세스 거부)

WPD Devices: Deny write access(WPD 장치: 쓰기 액세스 거부)

5.

Group Policy Object Editor(그룹 정책 개체 편집기)를 닫습니다.

2단계: 컴퓨터 정책 설정 테스트

장치가 사용 중인 경우에는 쓰기 액세스 제한 정책이 즉시 적용되지 않습니다. 컴퓨터 정책을 적용하려면 컴퓨터를 다시 시작해야 합니다.

컴퓨터 정책 설정을 테스트하려면

1.

Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 gpupdate /force를 입력한 다음 Enter 키를 누릅니다.

2.

gpudate 명령이 완료되면 컴퓨터를 다시 시작합니다.

3.

컴퓨터에 DMI-Client1\TestAdmin으로 로그온합니다.

4.

USB 메모리 드라이브를 끼운 다음 장치가 작동한다는 메시지가 나타날 때까지 기다립니다.

5.

Start(시작), Computer(컴퓨터)를 차례로 클릭한 다음 USB 메모리 드라이브를 두 번 클릭합니다.

6.

Windows 탐색기에서 세부 정보 창의 빈 공간을 마우스 오른쪽 단추로 클릭하고 New(새로 만들기), Folder(폴더)를 차례로 클릭합니다.

폴더 만들기가 실패한 이유를 설명하는 오류 메시지가 나타납니다.

WritePermissionDenied_1

7.

Continue(계속)를 클릭하여 제한을 무시합니다.

8.

User Account Control(사용자 계정 컨트롤) 대화 상자가 나타나면 표시된 작업이 원하는 작업인지 확인하고 Continue(계속)를 클릭합니다.

9.

Windows 알림 영역에 폴더에 쓸 수 없는 이유를 설명하는 두 번째 메시지가 나타납니다.

WritePermissionDenied_2

10.

Cancel(취소)을 클릭하여 대화 상자를 닫습니다.


결론

이 가이드에서는 실습 환경에서 샘플 장치를 사용하여 사용자의 장치 설치를 허용하거나 금지하는 방법을 배웠습니다. 또한 이동식 저장 장치이거나 이동식 미디어를 사용하는 장치에 대한 액세스를 제한하는 방법도 배웠습니다. 이러한 방식으로 장치 설치와 사용을 제어하면 사용자가 설치할 수 있는 장치를 조직이 승인하고 지원하는 장치로 제한함으로써 보안을 강화하고 지원 부서를 효과적으로 운영할 수 있습니다. 이 문서에서는 다음과 같은 시나리오를 통해 이러한 구성을 살펴보았습니다.

모든 장치의 설치 금지

이 시나리오에서는 표준 사용자는 장치를 설치하지 못하고 관리자는 장치를 설치하거나 업데이트할 수 있도록 정책을 구성했습니다.

승인된 장치만 설치할 수 있도록 허용

이 시나리오에서는 사용자가 승인 장치 목록에 포함된 장치만 설치할 수 있도록 정책을 구성했습니다.

금지된 장치의 설치만 금지

이 시나리오에서는 표준 사용자가 대부분의 장치를 설치할 수 있지만 금지된 장치 목록에 포함된 장치는 설치할 수 없도록 정책을 구성했습니다.

이동식 미디어 저장 장치의 사용 제어

이 시나리오에서는 표준 사용자가 이동식 저장 장치 또는 USB 메모리 드라이브, CD나 DVD 버너 등과 같이 이동식 미디어를 사용하는 장치에 데이터를 쓰지 못하도록 정책을 구성했습니다.



출처 : http://www.microsoft.com/korea/technet/

Trackback 0 Comment 1
  1. 2011.06.02 17:21 address edit & del reply

    비밀댓글입니다

2011.06.02 17:06

윈도우 환경 USB 저장매체 제어

1. USB 저장매체를 꽂았을때 필요한 USB 드라이버 로드 차단
 
[설정방법]
위치 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
값 : start
데이터 : 3 (기본값) , 4
 
4로 바꾸면 USB저장매체를 꽂았을때 필요한 드라이버를 로드하지 않으므로 USB장치를 인식할수가 없게 됩니다.
이걸 다시 3으로 바꾸면 사용할수 있게 됩니다.

2. USB에 있는 내용을 읽거나 하드로 복사 할수는 있으나 어떠한 데이터도 USB로 복사 차단
MS Windows XP Service Pack 2에서 USB Bus 제어를 위한 기능이 추가되었음.
USB 장치 중 대용량 저장장치로 인식되는 장치에 대해 처리하는 방식을 사용함.

[설정방법]
위치 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies
값 : WriteProtect
데이터 : 1

기본적으로 없는 값이며 추가로 만들어서 1을 넣어주면 됩니다.
그럼 USB는 읽기전용으로 되어  읽거나 하드로 내용을 복사할수는 있지만,
데이터 삭제라던지 USB로 복사는 할수 없게 됩니다.
다시 USB를 정상적으로 사용하시려면 값을 0으로 바꿔주시면 됩니다.
 
3. Windows Vista USB쓰기관리
XP의 후속작인 Vista역시 이기능을 제공한다. 하지만 레지스트리 위치가 다르다.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"EncryptionContextMenu"=dword:00000001
 
00000000 으로 바꾸면 해제 됩니다.


출처 : http://blog.naver.com/zugm/ , http://blog.naver.com/sikd94/


Trackback 0 Comment 0
2010.07.27 17:07

행안부 공공기관 대상 개인정보보호수준진단 실시


출처 : 소만사

Trackback 0 Comment 0