728x90

그룹 정책: IE 보안 강화 구성(IE ESC) 사용 안 함

2016년 2월 19일 윈도우 서버+가상화 5,915 조회 수

Internet Explorer Enhanced Security Configuration (ESC)

테스트 환경에서 매번 직접 IE ESC를 끄는 불편함을 해소. 운영 환경에서는 서버에서 웹 브라우징을 하지 않아야 하겠지만.

IE 보안 강화 구성은 기본으로 [사용]으로 되어 있다.

IE 보안 강화 구성에 관하여…

Internet Explorer 보안 강화 구성 사용
사용자 서버에서 현재 Internet Explorer 보안 강화 구성을 사용하고 있습니다. 이 설정은 사용자가 인터넷 및 인트라넷 웹 사이트 검색 방법을 정의하는 다양한 보안 설정을 구성합니다. 또한 보안의 위험성이 있는 웹 사이트에 사용자 서버가 노출되는 것을 줄입니다. 이 구성의 자세한 보안 설정 목록을 보려면 Internet Explorer 보안 강화 구성 효과를 참조하십시오.

이런

이런 경고를 보고 싶지 않다면…

—– 도메인 환경에서 위 기능을 일괄적으로 사용하지 않는 방법 —–

컴퓨터 구성 -> 기본 설정 -> Windows 설정 -> 레지스트리

레지스트리 항목 새로 만들기

For administrators:
Key Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}
For users:
Key Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}
출처: <https://4sysops.com/archives/disable-internet-explorer-enhanced-security-configuration-ie-esc-with-group-policy/>

위 경로를 찾아가 IsInstalled 값을 선택

값 데이터에는 00000000 (Disable)을 입력(00000001 은 Enable)

이렇게 지정됨.(필자는 두 값 모두를 Disable 함)

  • {A509B1A7-37EF-4b3f-8CFC-4F3A74704073} (admin)
  • {A509B1A8-37EF-4b3f-8CFC-4F3A74704073} (user)

정책 업데이트가 끝나면

이렇게 바뀜.

728x90
728x90

개요

Active Directory 그룹 정책 중 소프트웨어 제한 정책을 사용하여 사용자의 컴퓨터에 설치된 특정 프로그램의 실행을 제한하는 방법을 설명합니다.

이 가이드에서는 경로 정책을 사용하여 uTorrent.exe의 실행을 차단합니다. 경로 정책은 정책에서 지정한 경로에 존재하는 실행 파일의 실행을 차단합니다.

OS 버전과 비트(x64, x86)에 따라 설치되는 경로가 다를 수 있습니다. 이러한 것을 감안하여 경로를 여러 개 지정할 수 있습니다.

 

그룹 정책 생성
  1. Active Directory 그룹 정책 관리 콘솔에서 적절한 이름의 그룹 정책을 만듭니다.
    (예제에서는 C-Block Torrent 라는 이름의 정책 생성)

     

  2. 생성된 정책을 오른쪽 버튼 클릭하고 편집을 선택합니다.
     

     

  3. 컴퓨터 구성 – 정책 – Windows 설정 - 보안 설정 – 소프트웨어 제한 정책 오른쪽 버튼 클릭 – 새 소프트웨어 제한 정책
     

     

  4. 추가 규칙 오른쪽 버튼 클릭 – 새 경로 규칙 만들기 선택
     

     

  5. 차단할 프로그램이 있는 경로 입력
    OS 버전 및 비트에 따라 설치되는 경로가 다른 경우, 그러한 경로들을 다 확인해서 등록합니다. 또한 경로에 %AppData%, %WinDir%, %ProgramFiles% 등과 같은 환경 변수를 사용할 수도 있습니다.
    Ex) %appdata%\uTorrent\uTorrent.exe

 

정책 적용

만들어진 정책을 컴퓨터가 속한 OU에 적용합니다. 이 가이드에서는 컴퓨터 정책으로 생성하였으므로 컴퓨터가 속한 OU에 적용해야 합니다. 사용자가 속한 OU에 걸면 아무 소용 없습니다.

 

클라언트 컴퓨터에서 확인

클라이언트 컴퓨터에서 해당 프로그램을 실행해봅니다.

아래와 같은 오류 메시지가 뜨면 정책이 정상 적용된 것입니다.



728x90
728x90

개요

Active Directory 그룹 정책 중 IP 보안 정책 (IPSec)을 사용하면 네트워크 연결에 대한 제한을 설정할 수 있습니다.

예를 들어 외부로 나가는 80포트를 차단하여 인터넷 사용을 차단한다거나, 특정 IP에 대해서만 원격 데스크톱 연결을 허용한다거나…

 

시나리오

이 가이드에서는 특정 IP 대역에 대해서만 80 포트를 허용하고, 외부로 나가는 나머지 모든 IP 대역에 대하여 80포트를 차단함으로써 인터넷 연결을 제한하는 방법을 소개합니다.

  • 80포트 허용 IP 대역 – 192.168.20.0/24
  • 나머지 IP 대역은 내/외부를 막론하고 80포트 차단

  

 

그룹 정책 생성

    1. Active Directory 그룹 정책 관리 콘솔에서 적절한 이름의 그룹 정책을 만듭니다.
      (예제에서는 C-Block Internet (IPSec) 이라는 이름의 정책 생성)
       

       

    2. 생성된 정책을 오른쪽 버튼 클릭하고 편집을 선택합니다.
       

       

    3. 컴퓨터 구성 – 정책 – Windows 설정 – 보안 설정 – IP 보안 정책 오른쪽 버튼 클릭 – IP 보안 정책 만들기
       

       

    4. IP 보안 정책 마법사 - 다음
       

       

    5. IP 보안 정책 이름 – 적절히 입력 후 다음 (예제에서는 인터넷 차단 이라는 이름 사용)
       

       

    6. 보안 통신 요청 – 다음
       

       

    7. IP 보안 정책 마법사 완료 – 속성 편집 체크 – 마침
       

       

    8. 규칙 탭 – 추가 버튼 클릭
       

       

    9. 보안 규칙 만들기 마법사 시작 – 다음 
       

       

    10. 터널 끝점 – 다음 
       

       

    11. 네트워크 종류 – 모든 네트워크 연결 선택 – 다음
       

       

    12. IP 필터 목록 – 추가 버튼 클릭
       

       

    13. 이름을 적절히 입력 후 추가 버튼 클릭 (예제에서는 80포트 차단이라는 이름 사용)
       

       

    14. IP 필터 마법사 시작 – 다음
       

       

    15. 설명란에 적절한 내용 입력 후 다음
       

       

    16. 원본 주소에 내 IP 주소 선택 후 다음
       

       

    17. 대상 주소에 모든 IP 주소 선택 후 다음
       

       

    18. 프로토콜에서 TCP 선택 후 다음
       

       

    19. 모든 포트에서 선택 – 이 포트로 선택 – 80 입력 – 다음
       

       

    20. IP 필터 마법사 완료 – 마침
       

       

    21. 확인 버튼 클릭
       

       

    22. 80포트 차단 선택 – 다음
       

       

    23. 필터 동작 – 추가 버튼 클릭
       

       

    24. IP 보안 필터 동작 마법사 시작 – 다음
       

       

    25. 이름 입력란에 적절한 이름 입력 후 다음 (예제에서는 거부라는 이름 사용)
       

       

    26. 필터 동작 일반 옵션 – 거부 선택 – 다음
       

       

    27. IP 보안 필터 동작 마법사 완료 – 마침
       

       

    28. 필터 동작 – 거부 선택 – 다음
       

       

    29. 보안 규칙 마법사 완료 – 마침
       

       

    30. 추가 버튼 클릭
       

       

    31. IP 보안 규칙 만들기 마법사 시작 – 다음
       

       

    32. 터널 끝점 – 다음
       

       

    33. 모든 네트워크 연결 선택 – 다음
       

       

    34. 추가 버튼 클릭
       

       

    35. 이름 입력란에 적절한 이름 입력 후 추가 버튼 클릭 (예제에서는 80포트 허용 목록이라는 이름 사용)
       

       

    36. IP 필터 마법사 시작 – 다음
       

       

    37. 설명 입력란에 적절히 입력 후 다음
       

       

    38. 원본 주소에서 내 IP 주소 선택 – 다음
       

       

    39. 대상 주소에서 특정 IP 주소 또는 서브네트 선택
       

       

    40. IP 주소 또는 서브네트 입력란에 원하는 IP 대역 입력 후 다음 (예제에서는 192.168.20.0/24 사용)
       

       

    41. 프로토콜 종류 선택에서 TCP 선택 후 다음
       

       

    42. 모든 포트에서 – 이 포트로 – 80 – 다음
       

       

    43. IP 필터 마법사 완료 – 다음
       

       

    44. 확인
       

       

    45. 80포트 허용 목록 선택 후 다음
       

       

    46. Permit 선택 – 다음
       

       

    47. 보안 규칙 마법사 완료 – 마침
       

       

    48. 80포트 허용 목록, 80포트 차단 체크 후 확인
       

       

    49. 방금 생성한 정책 오른쪽 버튼 클릭 – 할당


 

정책 적용

만들어진 정책을 컴퓨터가 속한 OU에 적용합니다. 이 가이드에서는 컴퓨터 정책으로 생성하였으므로 컴퓨터가 속한 OU에 적용해야 합니다. 사용자가 속한 OU에 걸면 아무 소용 없습니다.

 

클라이언트 컴퓨터에서 확인

정책을 적용하기 전에는 웹 페이지 접속이 가능합니다..

 

정책을 적용한 후에는 웹 페이지 접속이 안됩니다.

 

하지만 예외로 등록했던 IP 대역(192.168.20.0/24)의 웹 페이지는 접속 가능합니다.

      

 



728x90
728x90

개요

Active Directory 그룹 정책 – 사용자 정책 중 드라이브 맵을 사용하여 네트워크 드라이브를 연결하는 방법을 소개합니다.

사용자 정책이므로 사용자가 속한 OU에 적용하셔야 합니다.

시나리오에서는 R 드라이브를 연결하는 방법을 소개합니다.

파일 서버에 존재하는 공유 폴더를 네트워크 드라이브로 연결하는 방법을 소개하며, 공유 폴더 생성 및 권한 부여에 대한 설명은 생략합니다.

 

1. 그룹 정책 생성

  1. Active Directory 그룹 정책 관리 콘솔에서 적절한 이름의 그룹 정책을 만듭니다.
    (예제에서는 U-Drive Mapping (R) 이라는 이름의 정책 생성)
     

     

  2. 생성된 정책을 오른쪽 버튼 클릭하고 편집을 선택합니다.
     

     

  3. 사용자 구성 – 기본 설정 – Windows 설정 – 드라이브 맵 오른쪽 버튼 클릭 – 새로 만들기 – 매핑된 드라이브 선택
     

     

  4. 일반 탭 
    동작에서 삭제 선택
    드라이브 문자 영역에서 다음부터 모두 삭제 선택 후 삭제할 네트워크 드라이브 레터 시작 알파벳 지정 후 확인
    (예를 들어, F 드라이브부터 Z 드라이브까지 지운다면 F 지정, R 드라이브부터 Z 드라이브 까지 지운다면 R을 지정)
     

     

  5. 드라이브 맵 오른쪽 버튼 클릭 – 새로 만들기 – 매핑된 드라이브 선택
     

     

  6. 일반 탭 
    동작에서 바꾸기 선택
    위치 입력란에 네트워크 공유 경로 입력
    다시 연결 체크, 지정할 레이블에 적절한 이름 입력
    드라이브 문자 사용 선택 후 적절한 드라이브 레터 선택
    연결 계정(옵션)은 필요한 경우 입력 (Ex. WORKGROUP 혹은 타 도메인의 경우에 주로 사용)
     

     

  7. 생성된 정책 확인
     

     

2. 정책 적용

만들어진 정책을 사용자가 속한 OU에 적용합니다. 사용자 정책으로 생성하였으므로 사용자가 속한 OU에 적용해야 합니다. 컴퓨터가 속한 OU에 걸면 아무 소용 없습니다.

 

 

3. 클라이언트 컴퓨터에서 확인

윈도우 탐색기에서 네트워크 드라이브가 연결된 것을 확인할 수 있습니다..

  • 정책 적용 후
     

 



728x90
728x90

개요
Active Directory 환경에서는 그룹 정책을 사용하여 소프트웨어를 사용자에게 배포할 수 있습니다.
주의하셔야 할 것은, 모든 소프트웨어를 배포할 수 있는게 아니라 .msi 확장자를 가진 파일만 배포할 수 있습니다. 즉 .exe 파일은 배포할 수 없습니다.

 

소프트웨어 배포는 할당(Assigning)과 게시(Publishing)로 나뉩니다.

 

할당
할당은 사용자와 컴퓨터 개체에 적용할 수 있습니다.
사용자에게 할당한 소프트웨어는 시작 메뉴에 표시되며, 사용자가 클릭할 때 설치됩니다.
컴퓨터에게 할당한 소프트웨어는 컴퓨터가 시작될 때 설치됩니다.

 

게시
게시는 사용자 개체에만 적용할 수 있습니다.
프로그램 추가/제거 – 네트워크에서 프로그램 설치 메뉴에 표시되고, 사용자가 필요할 때 설치할 수 있습니다.

 

이 가이드에서는 소프트웨어 게시를 사용하여 7zip을 배포하는 방법에 대해서 설명합니다.

 

1. 배포 지점 만들기
공유 폴더 생성 후 배포할 파일을 저장합니다. 공유 권한은 파일을 배포할 사용자에게 읽기 권한을 부여합니다. (이 가이드에서는 기본, 즉 everyone에 읽기 권한을 부여합니다.)


 

2. 그룹 정책 생성

1. Active Directory 그룹 정책 관리 콘솔에서 적절한 이름의 그룹 정책을 만듭니다.
(예제에서는 U-Software Deployment (Publishing)이라는 이름의 정책 생성)


 

2. 그룹 정책 편집 – 사용자 구성 – 소프트웨어 설정 – 소프트웨어 설치 오른쪽 버튼 클릭 – 새로 만들기 – 패키지


 

3. UNC 경로를 사용하여 배포 지점의 파일 선택 (*주의 - .msi 만 배포할 수 있습니다.)
(\\FileServer\SoftwareDploymentFolder\7Zip\7z920-x64.msi)

 

 

4. 소프트웨어 배포 – 게시 선택 후 확인

 

 

5. 게시된 소프트웨어 확인

 

 

 

3. 정책 적용
만들어진 정책을 사용자가 속한 OU에 적용합니다. 사용자 정책으로 생성하였으므로 사용자가 속한 OU에 적용해야 합니다. 컴퓨터가 속한 OU에 걸면 아무 소용 없습니다.

 

 

 


 

4. 게시된 소프트웨어 확인


1. 제어판 - 프로그램 추가/제거 – 네트워크에서 프로그램 설치 메뉴를 선택합니다.

 


 

2, 게시된 소프트웨어가 보이는지 확인합니다.

 


 

728x90
728x90

(그룹 정책) 이동식 디스크(USB) 차단 정책

 

 

by megapain

essay333@naver.com

2015-01-30

 

개요

Active Directory 그룹 정책을 활용하면 USB, CD 등의 이동식 미디어의 읽기 및 쓰기를 제한할 수 있습니다. 이 정책은 사용자 구성과 컴퓨터 구성 모두 존재합니다.

 

1. 그룹 정책 생성

  1. 적절한 이름으로 정책을 만듭니다.
    (예제에서는 U-Drive Mapping (R) 이라는 이름의 정책 생성)
     

     

  2. 생성된 정책을 오른쪽 버튼 클릭하고 편집을 선택합니다.
     

     

  3. 컴퓨터에 적용할 정책으로 구성할 경우,
    컴퓨터 구성 – 정책 – 관리 템플릿 – 시스템 – 이동식 저장소 액세스 
    선택


    사용자에 적용할 정책으로 구성할 경우,
    사용자 구성 – 정책 – 관리 템플릿 – 시스템 – 이동식 저장소 액세스 선택
     

     

  4. 이동식 디스크 : 실행 권한 거부 - 사용 
    이동식 디스크 : 읽기 권한 거부 – 사용
    이동식 디스크 : 쓰기 권한 거부 - 사용


2. 정책 적용

만들어진 정책을 사용자 혹은 컴퓨터가 속한 OU에 적용합니다.

 

3. 클라이언트 컴퓨터에서 확인

정책이 올바로 적용됐는지 확인해봅니다.

  • 정책 적용 후


728x90
728x90

그룹 정책으로 Print Screen 키 사용을 차단하는 방법을 설명합니다.
Print Screen 키 사용만 차단되고 다른 화면 캡처 도구를 사용한 화면 캡처는 차단되지 않습니다.


1.Active Directory 그룹 정책 관리 콘솔에서 적절한 이름의 그룹 정책을 만듭니다.
(예제에서는 C-Block PrintScreen 라는 이름의 정책 생성)

 


 
2.생성된 정책을 오른쪽 버튼 클릭하고 편집을 선택합니다.

 


3.컴퓨터 구성 – 기본 설정 – Windows 설정 – 레지스트리를 오른쪽 버튼 클릭하고 새로 만들기 – 레지스트리 항목을 선택합니다.

 


4.동작 – 업데이트
하 이브 – HKEY_LOCAL_MACHINE
키 경로 - SYSTEM\CurrentControlSet\Control\Keyboard Layout
값 이름 : Scancode Map
값 형식 : REG_BINARY
값 데이터 : 0000000000000000040000002AE037E0000037E00000540000000000

 

 

 

 

5.만들어진 정책을 컴퓨터가 속한 OU에 적용합니다.

728x90
728x90

누가 언제 계정을 삭제 했는지 확인 해 달라는 경우가 있습니다.

GPO를 이용한 계정 감사를 해보았습니다.

   

계정 관리 감사 활성화 방법입니다.

  • 그룹 정책 관리 -> Default Domain Policy -> 편집 -> 컴퓨터 구성 -> Windows 설정 -> 보안 설정 -> 로컬 정책 -> 감사 정책

  • 계정 관리 감사 정책 활성화

  • 실행 -> cmd -> gpupdate /force 실행

       

    상위와 같이 계정 관리 감사 정책을 활성화 하면 계정 생성 및 삭제 된 정보가 이벤트 로그에 남게 됩니다.

       

  • 계정 생성 테스트

    계정을 생성하게 되면 하기와 같이 4738 이벤트가 발생

  • 계정 삭제 테스트

    계정을 삭제하면 하기와 같이 4726 이벤트가 발생

                

       


728x90

+ Recent posts