깡민쓰~IT Story

(그룹 정책) 이동식 디스크(USB) 차단 정책

by megapain

essay333@naver.com

2015-01-30

개요

Active Directory 그룹 정책을 활용하면 USB, CD 등의 이동식 미디어의 읽기 및 쓰기를 제한할 수 있습니다. 이 정책은 사용자 구성과 컴퓨터 구성 모두 존재합니다.

1. 그룹 정책 생성

1. 적절한 이름으로 정책을 만듭니다.
   (예제에서는 U-Drive Mapping (R) 이라는 이름의 정책 생성)
    

    

2. 생성된 정책을 오른쪽 버튼 클릭하고 편집을 선택합니다.
    

    

3. 컴퓨터에 적용할 정책으로 구성할 경우,
   컴퓨터 구성 – 정책 – 관리 템플릿 – 시스템 – 이동식 저장소 액세스 선택
   
   
   사용자에 적용할 정책으로 구성할 경우,
   사용자 구성 – 정책 – 관리 템플릿 – 시스템 – 이동식 저장소 액세스 선택
    

    

4. 이동식 디스크 : 실행 권한 거부 - 사용 
   이동식 디스크 : 읽기 권한 거부 – 사용
   이동식 디스크 : 쓰기 권한 거부 - 사용
   
   

2. 정책 적용

만들어진 정책을 사용자 혹은 컴퓨터가 속한 OU에 적용합니다.

3. 클라이언트 컴퓨터에서 확인

정책이 올바로 적용됐는지 확인해봅니다.

• 정책 적용 후
  

개요

네트워크 포트가 열려있는지 막혀있는지 확인할 때 쉽고 편하게 사용할 수 있는 GUI 툴이 포트쿼리(PortqryUI.exe) 입니다. 이 가이드에서는 PortqryUI.exe를 사용하여 RPC 포트 (TCP 3389)가 열려있는지 확인하는 방법을 소개합니다.

PortqryUI 준비

1. 아래의 경로에서 PortqryUI를 다운로드합니다.
     http://www.microsoft.com/en-us/download/details.aspx?id=24009

2. 다운로드 받은 파일을 실행하면 압축이 풀립니다. 적당한 위치에 압축을 해제합니다.
   

PortqryUI로 포트 체크 방법

1. PortqryUI 폴더에서 portqueryui.exe 를 더블 클릭하여 실행합니다.
    

    

2. Enter destination IP or FQDN to query 입력란에 대상 컴퓨터의 IP 혹은 FQDN 입력
   Manually input query ports 선택하고 체크할 포트 번호(ex. 3389) 입력
   Protocol 선택 창에서 원하는 프로토콜 선택 (ex. TCP)
   Query 버튼 클릭
   

결과 확인

Query Result 창에서 결과를 확인합니다.

1. 포트가 열린 경우
   Query Result 창에 LISTENING으로 표시된다면 포트가 열려있다는 의미입니다.
    

    

2. 포트가 막힌 경우
   Query Result 창에 FILTERED로 표시된다면 포트가 방화벽 등에 의해 막혀있다는 의미입니다.
   

만약 Windows Server 2003 서버를 도메인 컨트롤러로 사용 중이라면, 상위 버전으로 마이그레이션 하는 것을 권장합니다.

Active Directory 마이그레이션 절차는 아래의 조건에 따라 달라집니다.

1. 기존 도메인 컨트롤러 정보 (도메인 컨트롤러 이름, IP 정보)를 유지할 필요 없는 경우

2. 기존 도메인 컨트롤러 정보 (도메인 컨트롤러 이름, IP 정보)를 그대로 유지해야 하는 경우

기존 도메인 컨트롤러 정보를 유지할 필요 없는 경우라면, 작업이 수월합니다.

기존 도메인 컨트롤러 정보를 유지해야 한다면, 작업 절차가 좀 더 까다롭습니다.

[시나리오 환경]

도메인 : Contoso.com

[기존 도메인 컨트롤러 정보를 유지할 필요 없는 경우]

기존 도메인 컨트롤러 정보를 유지할 필요 없는 경우라면, 아래와 같은 절차로 마이그레이션을 진행합니다.

1. 신규 서버 2대 준비

새로운 도메인 컨트롤러로 사용할 서버 2대를 준비합니다.

서버 명은 원하는 이름으로 설정합니다.

2. 두 서버 모두 도메인에 가입하고 재부팅합니다.

3. ContosoDC03 : 재부팅 후 도메인 Administrator 로 로그온합니다.

4. ContosoDC03 : Active Directory 도메인 서비스를 설치합니다.

5. ContosoDC03 : 도메인 컨트롤러로 승격합니다.

6. ContosoDC03 : 도메인 컨트롤러로 승격 후 서버가 자동으로 재 부팅됩니다.

7. ContosoDC04에서 앞의 3단계 부터 6단계 까지의 작업을 진행합니다.

8. 작업 마스터 역할을 ContosoDC01에서 ContosoDC03으로 전송합니다.

9. ContosoDC01, ContosoDC02 서버에서 도메인 컨트롤러 역할을 제거합니다. (dcpromo.exe )

10. 도메인 기능 수준, 포리스트 기능 수준을 최상 (Windows Server 2012 R2)으로 업그레이드 합니다.

[옵션 작업]

11. SYSVOL 복제 방식을 파일 복제 방식(FRS)에서 분산 복제 방식(DFS-R)으로 변경합니다.

[추가 작업]

도메인 컨트롤러의 IP를 기존 서버와 동일하게 변경합니다.

Active Directory 마이그레이션 작업이 완료되었습니다.

dcdiag.exe, repadmin.exe 등을 활용하여 Active Directory를 점검해봅니다.

[시나리오 환경]

도메인 : Contoso.com

[기존 도메인 컨트롤러 정보를 유지해야 하는 경우]

기존 도메인 컨트롤러 정보를 유지해야 한다면, 아래의 절차로 진행합니다.

1. 작업 마스터 역할을 갖고 있지 않은 도메인 컨트롤러, 즉 ContosoDC02에서 도메인 컨트롤러 역할을 제거합니다.

역할 제거 완료 후 재 부팅합니다.

2. ContosoDC02 재 부팅 후 도메인에서 탈퇴(WORKGROUP)하고 또 재 부팅합니다.

3. 새로운 서버를 준비하고 Windows Server 2012 R2를 설치합니다.

4. 새 Windows Server 2012 R2 서버의 이름 및 IP 정보를 기존 도메인 컨트롤러(ContosoDC02)와 동일하게 설정합니다.

5. ContosoDC02 서버에 Active Directory 도메인 서비스를 설치합니다. 

6. ContosoDC02 서버를 도메인 컨트롤러로 승격합니다.

7. ContosoDC02 : 도메인 컨트롤러로 승격 후 서버가 자동으로 재 부팅됩니다.

8. 작업 마스터 역할을 ContosoDC01에서 ContosoDC02로 전송합니다.

9. ContosoDC01에서 앞의 1단계 부터 8단계 까지의 작업을 진행합니다.

10. 도메인 기능 수준, 포리스트 기능 수준을 최상 (Windows Server 2012 R2)으로 업그레이드 합니다.

[옵션 작업]

11. SYSVOL 복제 방식을 파일 복제 방식(FRS)에서 분산 복제 방식(DFS-R)으로 변경합니다.

Active Directory 마이그레이션 작업이 완료되었습니다.

dcdiag.exe, repadmin.exe 등을 활용하여 Active Directory를 점검해봅니다.

그룹 정책으로 Print Screen 키 사용을 차단하는 방법을 설명합니다.
Print Screen 키 사용만 차단되고 다른 화면 캡처 도구를 사용한 화면 캡처는 차단되지 않습니다.

1.Active Directory 그룹 정책 관리 콘솔에서 적절한 이름의 그룹 정책을 만듭니다.
(예제에서는 C-Block PrintScreen 라는 이름의 정책 생성)

 
2.생성된 정책을 오른쪽 버튼 클릭하고 편집을 선택합니다.

3.컴퓨터 구성 – 기본 설정 – Windows 설정 – 레지스트리를 오른쪽 버튼 클릭하고 새로 만들기 – 레지스트리 항목을 선택합니다.

4.동작 – 업데이트
하 이브 – HKEY_LOCAL_MACHINE
키 경로 - SYSTEM\CurrentControlSet\Control\Keyboard Layout
값 이름 : Scancode Map
값 형식 : REG_BINARY
값 데이터 : 0000000000000000040000002AE037E0000037E00000540000000000

5.만들어진 정책을 컴퓨터가 속한 OU에 적용합니다.

그룹 정책을 사용하여 클라이언트 컴퓨터의 공유 폴더를 해제하고, 접근을 차단하는 방법을 소개합니다.

참고 1 - 공유 폴더 생성을 막지는 못합니다. 생성하더라도 곧 해제되거나 접근을 차단할 수는 있습니다.
참고 2 - 컴퓨터 정책이므로 컴퓨터가 속한 OU에 적용하셔야 합니다.

참고 3 - 테스트 환경에서 충분한 테스트를 거친 후 실제 환경에 적용하셔야 합니다.

1. 그룹 정책 개체를 새로 만들고 편집합니다.

2. 컴퓨터 구성 – 기본 설정 – 네트워크 공유 – 새로 만들기 – 네트워크 공유 선택

3. 작업 – 삭제 선택 
작업 한정자에서 적절히 체크 후 확인
(굳이 설명 드리지 않아도 무슨 뜻인지 아실 듯 하여 각 항목에 대한 설명은 생략합니다.)

4. 컴퓨터 구성 – 정책 – 관리 템플릿 – 네트워크 – 네트워크 연결 – 도메인 프로필 – Windows 방화벽 : 인바운드 파일 및 프린터 공유 예외 허용을 사용 안 함으로 설정

5. 컴퓨터 구성 – 정책 – 관리 템플릿 – 네트워크 – 네트워크 연결 – 표준 프로필 – Windows 방화벽 : 인바운드 파일 및 프린터 공유 예외 허용을 사용 안 함으로 설정

위 정책을 클라이언트 컴퓨터가 속한 OU에 적용하시면 됩니다.

참고로, 위 절차에서 3단계까지만 적용하면, 클라이언트 컴퓨터의 공유 폴더들이 해제됩니다. 하지만 사용자가 다시 공유 폴더를 생성하면 다음 정책이 적용될 때까지(약 60분) 다른 사용자들이 공유 폴더에 접속할 수 있습니다.
4~5단계를 적용하면 파일 공유에 관련된 포트를 차단함으로써, 사용자가 새로운 공유를 생성하더라도 다른 사용자들이 접속할 수 없습니다.

위 정책은 테스트 환경에서 충분한 테스트를 거친 후 실제 환경에 적용하셔야 합니다.

특히 관리 드라이브 공유까지 제거하는 경우에는 더 신경 쓰셔야 합니다. 만약 관리 드라이브 공유를 사용하는 솔루션을 사용 중이라면 문제가 발생할 수도 있습니다.

Windows Server 2012 (R2)에 KMS 서비스를 설치하고 라이선스 키를 등록하는 방법을 소개합니다.

KMS 서비스 설치

1. 서버 관리자 – 관리 – 역할 및 기능 추가 

2. 역할 및 기능 추가 마법사 – 다음 

3. 설치 유형 – 역할 기반 또는 기능 기반 설치 

4. 서버 선택 – 현재 서버 선택 후 다음 

5. 볼륨 정품 인증 서비스 선택 

기능 추가 

다음 

6. 기능 선택 – 다음  

7. 다음 

8. 설치 

9. 설치 완료 – 닫기 

Windows Server 2012 KMS Key 등록

*참고 - Windows Server 2012 KMS 라이선스 키로 Windows 8, 7 도 인증됩니다.

1. 작업 세부 정보 – 볼륨 정품 인증 도구 선택 

2. KMS 키 관리 서비스 선택 – 다음 

3. KMS 호스트 키 입력 – 커밋 

4. 예 선택 

5. 제품 정품 인증 선택 - 다음 

6. 온라인 정품 인증 선택 – 커밋 

7. 정품 인증 성공 – 다음 

8. 방화벽 예외 모두 체크, 내부 DNS FQDN 추가 - 커밋 

9. 구성 완료 – 닫기 

-끝-

Windows Server 2012 (R2) 서버에 Office 2013 KMS 인증 서비스를 구성하는 방법을 소개합니다.

참고 URL

Volume activation of Office 2013 - https://technet.microsoft.com/en-us/library/ee705504.aspx

Plan volume activation of Office 2013 - https://technet.microsoft.com/en-us/library/ee624358.aspx

구성 절차

1. Office 2013 볼륨 라이선스 팩 다운로드
http://www.microsoft.com/ko-KR/download/details.aspx?id=35584

Office 2013 클라이언트 제품의 볼륨 라이선스 에디션에는 정품 인증이 필요합니다. IT 관리자는 이 다운로드를 실행하여 KMS(키 관리 서비스)를 설치하거나 Active Directory 기반 정품 인증에 대해 도메인을 구성할 수 있습니다. 이러한 볼륨 정품 인증 방법은 조직 네트워크에 연결된 모든 Office 2013 클라이언트를 로컬로 정품 인증할 수 있습니다.

2. Office 2013 볼륨 라이선스 팩 설치 

3. 사용권 동의 – 계속 

4. 실행 중 

5. 소개 – 다음 

6. 정품 인증 유형 – KMS 선택 후 서버 명 입력 – 다음 

7. 제품 키 관리 - KMS 호스트 키 설치 선택 – Office 2013 KMS Key 입력 – 커밋 

8. 제품 키 관리 - 제품 정품 인증 선택 – 다음 

9. 온라인 정품 인증 선택 – 커밋 

예 

11. 다음 

12. 구성 - 기본값 사용 – 커밋 

13. 기존 구성을 덮어씁니다. – 예 

14. 닫기 

참고 사항 1 - Office 2013 KMS 정품 인증 개수 확인 방법

Office KMS 호스트에서 아래 명령 실행

slmgr /dli 2E28138A-847F-42BC-9752-61B03FFF33CD

현재 수가 정품 인증 개수 입니다. 

참고 사항 2 - Office KMS 인증은 최소 5개 이상의 클라이언트에서 정품 인증을 요청해야 정상적으로 인증됩니다.

forfiles /p Path /s /m * /d -30 /c "cmd /c rd @path /q /s"

위 명령에서 Path를 실제 삭제할 폴더의 경로로 수정해야 합니다.

예를 들어, E: 하위의 만든지 30일 이상된 모든 폴더와 파일을 삭제하고자 한다면 아래와 같이 사용합니다.

forfiles /p E: /s /m * /d -30 /c "cmd /c rd @path /q /s"

위 명령을 배치 파일로 만들고 작업 스케줄러에 등록해서 사용하면 편리합니다.

참고 사이트
http://ccm.net/faq/9378-batch-script-to-delete-file-older-than-30-days
http://www.sevenforums.com/tutorials/55721-folder-delete-command-prompt.html

인증서를 신뢰할 수 있는 루트 인증 기관에 추가

certutil -addstore "Root" "인증서 경로"

사용 예) certutil -addstore "Root" "D:\TestCertificate.cer"

인증서를 개인용에 추가

certutil -addstore "My" "인증서 경로"

사용 예) certutil -addstore "My" "D:\TestCertificate.cer"

인증서를 중간 인증 기관에 저장

certutil -addstore "CA" "인증서 경로"

사용 예) certutil -addstore "CA" "D:\TestCertificate.cer"

참고 URL

Certutil - https://technet.microsoft.com/en-us/library/cc732443(v=ws.11).aspx
Import Certificate to Trusted Root but not to Personal [Command Line] -http://stackoverflow.com/questions/23869177/import-certificate-to-trusted-root-but-not-to-personal-command-line

Fyi...

컴퓨터 인증서 MMC 실행 명령

Certificate Local Machine

-> certlm.msc

사용자 인증서 MMC 실행 명령

Certificate Manager

-> certmgr.msc