'gpupdate'에 해당되는 글 2건

  1. 2012.11.16 윈도우 보안 구성 작업 자동화
  2. 2010.04.13 그룹정책(GPO) - 유용한 정책 항목 설정하기
2012.11.16 20:07

윈도우 보안 구성 작업 자동화

배치 파일 또는 자동 작업 스케줄러의 명령 프롬프트에서 Secedit.exe 도구를 호출하면 템플릿을 자동으로 만들고 적용하며 시스템 보안을 분석하는 데 사용할 수 있습니다. 또한 명령 프롬프트에서 동적으로 실행할 수도 있습니다.

Secedit.exe는 여러 컴퓨터에서 보안을 분석하거나 구성하고 컴퓨터를 사용하지 않는 시간에 다음과 같은 작업을 수행해야 할 때 유용합니다.

  • secedit.exe 도구를 사용하여 보안 작업을 수행하는 방법의 절차는 Secedit를 참조하십시오.
  • 보안 템플릿 정의에 대한 자세한 내용은 보안 템플릿을 참조하십시오.
  • 보안 구성 및 분석에 대한 자세한 내용은 보안 구성 및 분석을 참조하십시오.

참고

  • secedit /refreshpolicy 명령이 gpupdate 명령으로 대체되었습니다. 보안 설정을 새로 고치는 방법에 대한 자세한 내용은 Gpupdate를 참조하십시오. 


Trackback 0 Comment 0
2010.04.13 14:39

그룹정책(GPO) - 유용한 정책 항목 설정하기

☞ 아웃룩 익스프레스에서 첨부 파일 열 수 없게 하기

사용자들이 아웃룩 익스프레스를 사용할 때 바이러스가 있다고 의심되는 첨부 파일을 열어 볼 수 없도록 강제 설정하는 정책이다.

- 첨부 파일 차단 정책 적용하기

① 그룹 정책 개체 편집기를 열고 [사용자 구성]에서 [관리 템플릿] - [Windows 구성 요소] - [Internet Explorer]폴더를 차례로 선택한 후 오른쪽 창에서 'Outlook Explorer구성'을 더블 클릭한다.

 

② [사용]을 선택하고 '바이러스가 포함된 가능성이 있는 첨부 파일 차단'을 선택 한 후 <확인>을 클릭한다.

☞ 인터넷 익스플로러 설정 변경하지 못하게 하기

사용자들이 인터넷 익스플로러에서 시작 페이지를 변경하거나 옵션을 변경하지 못하도록 한다. 이 정책을 받은 사용자들은 인터넷 익스플로러의 [도구] - [인터넷 옵션]에서 설정 탭들을 선택 할 수 없다.

- 인터넷 옵션 변경 차단 정책 적용 하기

① 그룹 정책 편집기를 열고, [사용자 구성]에서 [관리 템플릿] - [Windows 구성 요소] - [Internet Explorer] - [인터넷 제어판]폴더의

    '일반 페이지 사용 안 함'을 더블 클릭한다.

② '사용'을 선택하고 <다음 설정>을 클리간다.

③ 다음 설정이 활성화가 되지 않을때 까지 '사용'을 선택하고 <다음 설정>을 클릭한다. <확인>을 클릭한다.

 

☞ 인터넷 익스플로러 시작 페이지 지정하기

지정된 시작 페이질로 사용자의 인터넷 익스플로러 설정을 변경한다. 사용자는 웹 사이트를 열기 위해 인터넷 익스플로러를 실행하면 처음에 무조건 지정된 페이지가 열린다. 이 설정으로 인터넷 익스플로러를 시작했을 때 사내 공지 페이지가 열리도록 구성할 수 있다.

① '그룹 정책 개체 편집기'창을 열어 [사용자 구성]에서 [Windows 설정]를 열고 [Internet Explorer 유지 /보수]를 클릭 [URL폴더]를

     선택한다. 오른쪽 창에서 [중요한 URL]항목을 더블 클릭한다.

② '홈 페이지 URL 사용자 지정'을 선택한 후 시작 페이지의 줏를 입력하고 <확인>을 클릭한다.

 

☞ 인터넷 익스플로러의 제목과 로고 변경하기

사용자들이 인터넷 익스플로러를 열었을 때 위쪽의 제목 표시줄에 제목을 설정한 것으로 보이게 하고 오른쪽 창 조절 버튼 아래에 있는 익스플로러 로고를 정책에 지정한 로고로 변경 할 수 있다.

- 제목 및 로고 변경 정책 적용하기

① '그룹 정책 개체 편집기' 창을 열어 [사용자 구성]에서 [Windows 설정]폴더를 열고 [Internet Explorer 유지 /보수]를 클릭한뒤 [브라

     우저 사용자 인터페이스]폴더를 선택한다. 오른쪽 창에서 [브라우저 제목]을 더블 클릭한다.

② '제목 표시줄 사용자 지정'을 선택하고 제목 표시줄에 표시할 내용을 입력한 후 <확인>을 클릭한다.

③ 다음은 사용자 로고를 변경한다. '사용자 지정 로고'항목을 더블 클릭한다.

 

④ '일반 로고 비트맵 사용자 지정'을 선택하고 첫 번째 <찾아보기>를 클릭한다.

⑤ 로고로 사용할 이미지를 찾아 선택한 후 <열기>를 클릭한다.

⑥ 마찬가지 방법으로 큰 비트맵 이미지도 추가 할수 있다.

⑦ 비트맵 이미지를 지정 했으면 <확인>을 클릭한다.

☞ 소프트웨어 제한 정책 사용하기

클라이언트들이 특정 소프트웨어를 사용할 수 없도록 강제로 제한 하는 강력한 정책이다.

소프트웨어 제한 정책 가운데 레지스터트리를 제한 하는 방법을 이용하면 레지스트리에 등록하여 사용하는 거의 모든 윈도우 프로그램에 대해 실행을 제한할 수 있다.

- 소프트웨어 제한 정책 적용하기(Media Player) 

①  먼저 클라이언트 컴퓨터에서 Media Player레지스트리 등록 위치를 알아내기 위해  [시작] - [실행]을 클릭하여 [regedit]를 입력하고

    <확인>을 클릭한다.

② '레지스트리 편집기' 창이 열리면 <HKEY_LOCAL_MACHINE>폴더를 열고 <SOFTWARE> - <Microsoft>폴더를 차례대로 클릭한다.

③ 스크롤바를 아래로 내리다 보면 <MediaPlayer>폴더를 찾아서 클릭한다. 클릭하면 편집기 창 아래 표시줄에 표시된 경로와 오른쪽에서 MediaPlayer 설치 경로를 나타내는 'InstallationDirectory'까지 메모해 둔다.

④ 이제 도메인 컨트롤러 컴퓨터에서 '그룹 정책 개체 편집기'창을 열고 '컴퓨터 구성'에서 <Windows 설정>폴더의  '보안 설정'에서 <소프트웨어 제한 정책>폴더를 마우스 오른쪽 버튼으로 클릭하고 [새 소프트웨어 제한 정책]을 선택한다.

⑤ <소프트웨어 제한 정책>폴더 아래에 <보안 수준>과 <추가 규칙>폴더가 자동으로 만들어진다. 여기서 <추가 규칙>폴더를 마우스 오른쪽 버튼으로 클릭하고 [새 경로 규칙 만들기]를 선택 한다.

⑥ '새 경로 규칙 만들기' 창이 열리면 '경로' 난에 클라이언트 컴퓨터에서 메모해둔 레지스트리 경로와 설치 디렉터리 키 값인 'InstallationDirectory'까지 입력한후 %를 입력하고 그 뒤에 *exe를 추가 입력한다. (%*exe는 MediaPlayer 설치 폴더에 있는 모든 exe 확장자 파일을 실행하지 못하도록 한다. ) '보안 수준' 항목은 '허용 안 함' / '설명'은 나중에 무엇을 제한하는 정책인지 알아보기 쉽도록 내용을 입력한 후 <확인>을 클릭한다.

⑦ <확인>을 클릭하면 다음과 같이 정책이 만들어진것을 볼 수 있다.

※ 그룹 정책 변경 후 바로 정책을 적용하는 방법

모든 그룹 정책 항목들은 설정하자마자 바로 시스템에 적용되는 것이 아니라, 보통 수 분에서 몇 십분 이상 지나야 전파된다. 도메인 컨트롤러 컴퓨터를 다시 시작하는 것은 정책을 다시 불러와서 적용하기 때문에 가장 빠른 정책 적용 방법이기는 하지만, 정책이 변경할 때 마다 서버 컴퓨터를 다시 시작하는 것은 무리 이다.

그렇기 때문에 윈도우 서버에서 정책을 바로 업데이트할 수 있는 방법은 명령 프롬프트를 열고 [gpupdate]라고 입력하기만 하면 컴퓨터 구성 정책과 사용자 구성 정책이 모두 업데이트가 된다.


출처 : http://blog.naver.com/darkangelo

Trackback 0 Comment 0