그룹 정책을 사용하여 장치 설치 및 사용을 제어하는 단계별 가이드
이 단계별 가이드에서는 관리 중인 컴퓨터에서 장치 설치 및 사용을 제어하는 방법에 대해 설명합니다. 특히 Microsoft® Windows Server® 코드 이름 "Longhorn" 및 Windows Vista™의 경우 컴퓨터 정책을 적용하면 다음과 같은 결과를 얻을 수 있습니다.
| • | 장치를 설치하지 못하도록 방지 |
| • | "승인" 목록에 있는 장치만 설치할 수 있도록 허용. 장치가 목록에 없으면 해당 장치를 설치할 수 없습니다. |
| • | "금지" 목록에 있는 장치를 설치하지 못하도록 방지. 장치가 목록에 없으면 해당 장치를 설치할 수 있습니다. |
| • | 그 자체가 이동식 미디어이거나 이동식 미디어를 사용하는 CD/DVD 버너, 플로피 디스크 드라이브, 외장 하드 드라이브 및 미디어 플레이어, 스마트 폰, Pocket PC 장치 같은 휴대용 장치에 대한 읽기 또는 쓰기 액세스 거부 |
이 가이드에서는 장치 설치 프로세스에 대해 설명하고 Windows가 컴퓨터에서 사용할 수 있는 장치 드라이버 패키지 중에서 특정 장치에 맞는 드라이버 패키지를 찾는 데 사용하는 확인 문자열을 소개합니다. 또한 이 가이드에서는 장치 설치를 제어하는 세 가지 방법을 설명합니다. 각 시나리오에서는 특정 장치나 장치 클래스의 설치를 허용하거나 금지하는 데 사용할 수 있는 한 가지 방법을 단계별로 설명합니다. 네 번째 시나리오에서는 이동식 장치이거나 이동식 미디어를 사용하는 장치에 대한 읽기 또는 쓰기 액세스를 거부하는 방법을 보여 줍니다.
이 시나리오에 사용되는 장치의 예는 USB 저장 장치입니다. 다양한 장치에서 이 가이드의 단계를 실행할 수 있지만 다른 장치를 사용하는 경우 가이드의 지침이 컴퓨터에 나타나는 사용자 인터페이스와 정확하게 일치하지 않을 수 있습니다.
중요:
이 가이드에서 설명하는 단계는 테스트 환경에서 사용하도록 만들어졌습니다. 이 단계별 가이드는 함께 제공되는 설명서 없이 Windows Server 기능을 배포할 때 대신 사용하는 가이드가 아니므로 단계별 가이드만을 사용할 때는 신중을 기해야 합니다.
누가 이 가이드를 사용해야 합니까?
이 가이드는 다음을 대상으로 합니다.
| • | Windows Vista 및 Windows Server "Longhorn"을 평가하고 있는 IT 기획자 및 분석가 |
| • | 기업의 IT 기획자 및 설계자 |
| • | 조직에 신뢰할 수 있는 컴퓨팅 환경을 구현해야 하는 보안 설계자 |
| • | 새로운 기술에 익숙해지려는 관리자 |
그룹 정책을 사용한 장치 설치 제어의 이점
사용자가 설치할 수 있는 장치를 제한하면 다음과 같은 이점이 있습니다.
| • | 데이터 도난 위험 감소. 컴퓨터에 이동식 미디어를 지원하는 인증되지 않은 장치를 설치할 수 없게 하면 기업 데이터의 무단 복사본을 만들기 어렵습니다. 예를 들어 CD-R 장치를 설치할 수 없으면 기록 가능한 CD로 기업 데이터 복사본을 만들 수 없습니다. 이 기능으로 데이터 도난 위험을 제거할 수 없지만 데이터를 이동식 미디어에 무단으로 복사하기 어렵게 만드는 보호 장벽을 제공할 수 있습니다. 또한 이동식 장치이거나 이동식 미디어를 사용하는 장치에 대한 사용자의 쓰기 액세스를 거부하는 그룹 정책을 사용하여 데이터 도난 위험을 줄일 수 있습니다. 그룹 정책을 사용하면 그룹 단위로 액세스를 허용할 수 있습니다. |
| • | 지원 비용 절감. 사용자는 지원 부서에서 이미 충분한 교육을 통해 지원 준비를 끝낸 장치만 설치할 수 있습니다. 따라서 지원 비용과 사용자 불만을 줄일 수 있습니다. |
시나리오 개요
이 가이드에 제공되는 시나리오에서는 관리 중인 컴퓨터에서 장치 설치 및 사용을 제어하는 방법을 설명합니다. 이 시나리오에서는 테스트 환경에서 사용하는 절차를 단순화하기 위해 로컬 컴퓨터에서 그룹 정책을 사용한다고 가정합니다. 여러 대의 클라이언트 컴퓨터를 관리하는 환경에서는 Active Directory로 배포된 그룹 정책을 사용하여 이러한 설정을 적용해야 합니다. Active Directory로 배포된 그룹 정책을 사용하면 도메인이나 도메인 조직 단위의 구성원인 모든 컴퓨터에 설정을 적용할 수 있습니다. 그룹 정책을 사용하여 클라이언트 컴퓨터를 관리하는 데 대한 자세한 내용은 Microsoft 웹 사이트에서 "Group Policy"(http://go.microsoft.com/fwlink/?linkid=55625 (영문))를 참조하십시오.
이 가이드에서는 다음과 같은 시나리오를 제공합니다.
| • | 모든 장치의 설치 금지 이 시나리오에서는 표준 사용자는 장치를 설치하지 못하고 관리자는 장치를 설치하거나 업데이트할 수 있도록 정책을 구성합니다. 이 시나리오를 완료하려면 두 가지 컴퓨터 정책을 구성해야 합니다. 첫 번째 컴퓨터 정책은 모든 사용자의 장치 설치를 금지하고 두 번째 정책은 관리자를 이 제한에서 제외합니다. |
| • | 승인된 장치만 설치할 수 있도록 허용 이 시나리오에서는 사용자가 승인 장치 목록에 포함된 장치만 설치할 수 있도록 정책을 구성합니다. 이 시나리오는 첫 번째 시나리오를 기초로 하므로 이 시나리오를 구현하기 전에 첫 번째 시나리오를 완료해야 합니다. 이 시나리오를 완료하려면 사용자가 지정된 장치만 설치할 수 있도록 승인 장치 목록을 만들어야 합니다. |
| • | 금지된 장치의 설치 금지 이 시나리오에서는 표준 사용자가 대부분의 장치를 설치할 수 있지만 금지된 장치 목록에 포함된 장치는 설치할 수 없도록 정책을 구성합니다. 이 시나리오를 완료하려면 처음 두 시나리오에서 만든 정책을 제거해야 합니다. 해당 정책을 제거한 후에는 지정된 장치를 제외한 모든 장치를 설치할 수 있도록 금지된 장치 목록을 만들어야 합니다. |
| • | 이동식 미디어 저장 장치의 사용 제어 이 시나리오에서는 표준 사용자가 이동식 저장 장치 또는 USB 메모리 드라이브, CD나 DVD 버너 등과 같이 이동식 미디어를 사용하는 장치에 데이터를 쓰지 못하도록 정책을 구성합니다. 이 시나리오를 완료하려면 샘플 장치와 컴퓨터에 있는 CD 또는 DVD 버너에 대해 읽기 액세스는 허용하고 쓰기 액세스는 거부하는 컴퓨터 정책을 구성해야 합니다. |
기술 검토
다음 단원에서는 이 가이드에서 다루는 핵심 기술에 대해 간략히 설명합니다.
Windows의 장치 설치
장치는 Windows와 상호 작용하여 특정 기능을 수행하는 하드웨어입니다. Windows는 장치 드라이버라고 하는 소프트웨어를 통해서만 장치와 통신할 수 있습니다. 장치 드라이버를 설치하기 위해 Windows는 장치를 검색하고 장치 유형을 인식한 다음 해당 장치 유형과 일치하는 장치 드라이버를 찾습니다.
Windows는 두 가지 종류의 식별자를 사용하여 장치 설치와 구성을 제어합니다. Windows Vista 및 Windows Server "Longhorn"의 그룹 정책 설정을 사용하면 이러한 식별자 중에서 허용하거나 차단할 식별자를 지정할 수 있습니다.
두 종류의 식별자는 다음과 같습니다.
장치 확인 문자열
컴퓨터에 설치되어 있지 않은 장치가 발견되면 운영 체제에서는 장치를 쿼리하여 장치 확인 문자열 목록을 검색합니다. 대개 한 장치에는 장치 제조업체에서 지정한 여러 개의 장치 확인 문자열이 있으며 이와 동일한 장치 확인 문자열이 장치 드라이버 패키지의 일부인 .inf 파일에 포함되어 있습니다. Windows는 장치에서 검색된 장치 확인 문자열을 드라이버 패키지에 포함된 장치 확인 문자열과 비교하여 설치할 장치 드라이버 패키지를 선택합니다.
Windows는 각 문자열을 사용하여 장치를 드라이버 패키지에 일치시킵니다. 문자열은 장치의 특정한 단일 제조업체 및 모델과 일치하는 문자열부터 장치의 전체 클래스에 적용할 수 있는 매우 일반적인 문자열에 이르기까지 다양합니다. 장치 확인 문자열에는 두 가지 종류가 있습니다.
| • | 하드웨어 ID. 하드웨어 ID는 장치와 드라이버 패키지 간에 가장 정확하게 일치하는 식별자입니다. 하드웨어 ID 목록의 첫 번째 문자열은 장치의 정확한 제조업체, 모델 및 버전을 나타내기 때문에 장치 ID라고도 합니다. 목록의 다른 하드웨어 ID는 장치의 세부 정보와 일치하는 정도가 다소 떨어집니다. 예를 들어 하드웨어 ID는 장치의 제조업체와 모델을 식별하지만 특정 버전은 식별하지 않을 수 있습니다. 이러한 구성을 통해 Windows는 특정 수정 버전의 드라이버를 찾을 수 없는 경우 장치의 다른 수정 버전에 대한 드라이버를 대신 사용할 수 있습니다. |
| • | 호환 가능 ID. 운영 체제에서 장치 ID나 다른 하드웨어 ID와 일치하는 드라이버를 찾을 수 없는 경우 Windows는 이 식별자를 사용하여 장치 드라이버를 선택합니다. 호환 가능 ID는 적합성이 높은 것부터 순서대로 나열됩니다. 이러한 문자열은 선택 사항이며 제공되는 경우 Disk처럼 매우 일반적인 문자열입니다. 호환 가능 ID를 사용하여 일치하는 드라이버를 찾은 경우 대개 해당 장치의 가장 기본적인 기능만 사용할 수 있습니다. |
프린터, USB 저장 장치 또는 키보드와 같은 장치를 설치할 때 Windows는 설치하려는 장치와 일치하는 드라이버 패키지를 검색합니다. 검색하는 동안 Windows는 일치하는 하드웨어 또는 호환 가능 ID가 하나 이상 검색되는 각 드라이버 패키지에 "순위"를 지정합니다. 이 순위는 드라이버가 장치와 일치하는 정도를 나타내며 순위 번호가 작을수록 드라이버와 장치가 일치하는 정도가 높습니다. 순위 0은 가장 일치하는 드라이버를 나타냅니다. 장치 ID가 일치하는 드라이버 패키지는 다른 하드웨어 ID 중 하나가 일치하는 경우보다 우선 순위가 더 높습니다. 마찬가지로 하드웨어 ID가 일치하는 드라이버가 호환 가능 ID가 일치하는 드라이버보다 순위가 높습니다. Windows는 모든 드라이버 패키지의 순위를 지정한 후 전체 순위 번호가 가장 작은 드라이버를 설치합니다. 드라이버 패키지의 순위 지정과 선택에 대한 자세한 내용은 Microsoft 웹 사이트에서 "How Setup Selects Drivers"(http://go.microsoft.com/fwlink/?LinkId=54881 (영문))를 참조하십시오. 장치 드라이버 설치 프로세스에 대한 자세한 내용은 Microsoft 웹 사이트에서 "Step-by-Step Guide to Device Driver Signing and Staging"(http://go.microsoft.com/fwlink/?LinkID=69208 (영문))의 "Technology review" 단원을 참조하십시오.
일부 물리적 장치는 설치될 때 하나 이상의 논리적 장치를 만듭니다. 각각의 논리적 장치가 물리적 장치의 일부 기능을 처리할 수 있습니다. 예를 들어 스캐너/팩스/프린터가 하나로 통합된 다기능 장치의 경우 각 기능별로 다른 장치 확인 문자열이 있을 수 있습니다.
장치 설치 제한 정책을 사용하여 논리적 장치를 사용하는 장치의 설치를 허용하거나 금지하는 경우 해당 장치의 모든 장치 확인 문자열을 허용하거나 금지해야 합니다. 예를 들어 사용자가 다기능 장치를 설치하려는 경우 물리적 장치와 논리적 장치의 모든 확인 문자열이 허용되거나 금지되어 있지 않으면 설치할 때 예상하지 못한 결과가 발생할 수 있습니다. 하드웨어 ID에 대한 자세한 내용은 Microsoft 웹 사이트에서 "Device Identification Strings"(http://go.microsoft.com/fwlink/?linkid=52665 (영문))를 참조하십시오.
장치 설치 클래스
장치 설치 클래스는 다른 종류의 확인 문자열입니다. 제조업체는 장치의 장치 드라이버 패키지에 장치 설치 클래스를 지정합니다. 장치 설치 클래스는 같은 방식으로 설치되고 구성되는 장치를 그룹화합니다. 예를 들어 모든 CD 드라이브는 CDROM 장치 설치 클래스에 속하고 설치될 때 공동의 설치 관리자를 사용합니다. GUID(Globally Unique Identifier)라고 하는 긴 숫자가 각 장치 설치 클래스를 나타냅니다. Windows를 시작하면 검색된 모든 장치의 GUID로 메모리 내부에 트리 구조가 만들어집니다. 장치 자체의 장치 설치 클래스에 대한 GUID와 함께 Windows는 장치가 연결된 버스의 장치 설치 클래스 GUID를 트리에 삽입해야 합니다.
장치 설치 클래스를 사용하여 장치 드라이버 설치를 허용하거나 금지할 경우 장치의 모든 장치 설치 클래스에 대한 GUID를 지정해야 합니다. 그렇지 않으면 원하는 결과를 얻지 못할 수 있습니다. 예를 들면 성공해야 하는 설치가 실패하거나 실패해야 하는 설치가 성공할 수 있습니다.
예를 들어 스캐너/팩스/프린터가 하나로 통합된 다기능 장치의 경우 범용 다기능 장치에 대한 GUID, 프린터 기능에 대한 GUID, 스캐너 기능에 대한 GUID 등이 있습니다. 개별 기능의 GUID를 다기능 장치 GUID의 "자식 노드"라고 합니다. 자식 노드를 설치하려면 Windows에서 부모 노드를 설치할 수 있어야 합니다. 즉, 프린터 및 스캐너 기능의 자식 GUID와 함께 다기능 장치의 부모 GUID의 장치 설치 클래스 설치를 허용해야 합니다.
자세한 내용은 Microsoft 웹 사이트에서 "Device Setup Classes"(http://go.microsoft.com/fwlink/?LinkId=52662 (영문))를 참조하십시오.
이 가이드에서는 장치 설치 클래스를 사용하는 시나리오는 설명하지 않습니다. 그러나 이 가이드에서 장치 확인 문자열을 통해 설명한 기본 원리가 장치 설치 클래스에도 적용되기 때문에 장치 확인 문자열의 경우와 마찬가지로 특정 장치의 장치 설치 클래스를 검색한 후 정책에 사용하여 해당 장치 클래스의 설치를 허용하거나 금지할 수 있습니다.
장치 설치를 위한 그룹 정책 설정
장치 설치를 제어할 수 있도록 Windows Vista 및 Windows Server "Longhorn"에는 몇 가지 정책 설정이 도입되었습니다. 이러한 정책 설정은 각 컴퓨터에서 개별적으로 구성하거나 Active Directory 도메인의 그룹 정책을 사용하여 여러 컴퓨터에 적용할 수 있습니다. 그룹 정책을 사용하여 클라이언트 컴퓨터를 관리하는 데 대한 자세한 내용은 Microsoft 웹 사이트에서 "Group Policy"(http://go.microsoft.com/fwlink/?linkid=55625 (영문))를 참조하십시오.
설정을 독립 실행형 컴퓨터에 적용할 것인지 아니면 Active Directory 도메인의 많은 컴퓨터에 적용할 것인지에 관계없이 그룹 정책 개체 편집기를 사용하여 정책 설정을 구성하고 적용합니다. 자세한 내용은 Microsoft 웹 사이트에서 "Group Policy Object Editor Technical Reference"(http://go.microsoft.com/fwlink/?LinkId=56390 (영문))를 참조하십시오.
다음은 이 가이드에서 사용하는 장치 설치 정책 설정의 간략한 설명입니다.
참고:
이러한 정책 설정은 정책 설정이 적용된 컴퓨터에 로그온하는 모든 사용자에게 적용됩니다. 이 중에서 Allow administrators to override device installation policy(관리자가 장치 설치 정책을 다시 정의하도록 허용) 정책을 제외한 정책은 특정 사용자 또는 그룹에 적용할 수 없습니다. 이 정책은 이 단원에서 설명하는 다른 정책 설정을 구성하여 컴퓨터에 적용한 모든 장치 설치 제한에서 로컬 Administrators 그룹의 구성원을 제외합니다.
| • | Prevent installation of devices not described by other policy settings(다른 정책 설정에 지정되지 않은 장치의 설치 금지). 이 정책 설정은 다른 정책 설정에 지정되지 않은 장치의 설치를 제어합니다. 이 정책 설정을 사용하도록 설정하면 Allow installation of devices that match these device IDs(이 장치 ID와 일치하는 장치 설치 허용) 정책 설정이나 Allow installation of devices for these device classes(이 장치 클래스의 장치 설치 허용) 정책 설정에 지정하지 않은 장치의 드라이버를 설치하거나 업데이트할 수 없습니다. 이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않으면 Prevent installation of devices that match these device IDs(이 장치 ID와 일치하는 장치 설치 금지) 정책 설정, Prevent installation of devices for these device classes(이 장치 클래스의 장치 설치 금지) 정책 설정 또는 Prevent installation of removable devices(이동식 장치 설치 금지) 정책 설정에 지정하지 않은 모든 장치의 드라이버를 설치하고 업데이트할 수 있습니다. |
| • | Allow administrators to override device installation policy(관리자가 장치 설치 정책을 다시 정의하도록 허용). 이 정책 설정을 사용하면 로컬 Administrators 그룹 구성원이 다른 정책 설정에 관계없이 모든 장치의 드라이버를 설치하고 업데이트할 수 있습니다. 이 정책 설정을 사용하도록 설정하면 관리자가 하드웨어 추가 마법사나 드라이버 업데이트 마법사를 사용하여 모든 장치의 드라이버를 설치하고 업데이트할 수 있습니다. 이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않으면 장치 설치를 제한하는 모든 정책 설정이 관리자에게도 적용됩니다. |
| • | Prevent installation of devices that match these device IDs(이 장치 ID와 일치하는 장치 설치 금지). 이 정책 설정은 사용자가 설치할 수 없는 장치의 플러그 앤 플레이 하드웨어 ID와 호환 가능 ID 목록을 지정합니다. 이 정책 설정을 사용하도록 설정하면 하드웨어 ID나 호환 가능 ID 중 하나가 이 목록에 있는 ID와 일치하는 장치의 드라이버를 사용자가 설치하거나 업데이트할 수 없습니다. 이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않으면 장치 설치와 관련된 다른 정책 설정에 지정한 장치를 설치하고 해당 드라이버를 업데이트할 수 있습니다. 참고: 이 정책 설정은 사용자가 장치를 설치하도록 허용하는 다른 정책 설정보다 우선 적용됩니다. 즉, 이 정책 설정을 사용하도록 설정하면 장치 설치를 허용하는 다른 정책 설정에 특정 장치가 지정된 경우에도 해당 장치를 설치할 수 없습니다. |
| • | Prevent installation of drivers matching these device setup classes(이 장치 설치 클래스와 일치하는 드라이버 설치 금지). 이 정책 설정은 사용자가 설치할 수 없는 장치의 플러그 앤 플레이 장치 설치 클래스 GUID 목록을 지정합니다. 이 정책 설정을 사용하도록 설정하면 나열된 장치 설치 클래스에 속하는 장치의 드라이버를 사용자가 설치하거나 업데이트할 수 없습니다. 이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않으면 장치 설치와 관련된 다른 정책 설정에 지정한 장치를 설치하고 해당 드라이버를 업데이트할 수 있습니다. 참고: 이 정책 설정은 사용자가 장치를 설치하도록 허용하는 다른 정책 설정보다 우선 적용됩니다. 즉, 이 정책 설정을 사용하도록 설정하면 장치 설치를 허용하는 다른 정책 설정에 특정 장치가 지정된 경우에도 해당 장치를 설치할 수 없습니다. |
| • | Allow installation of devices that match any of these device IDs(이 장치 ID와 일치하는 장치 설치 허용). 이 정책 설정은 사용자가 설치할 수 있는 장치의 플러그 앤 플레이 하드웨어 ID와 호환 가능 ID 목록을 지정합니다. 이 설정은 Prevent installation of devices not described by other policy settings(다른 정책 설정에 지정되지 않은 장치의 설치 금지) 정책 설정을 사용하도록 설정했고, 이 정책 설정이 사용자의 장치 설치를 금지하는 다른 정책 설정보다 우선적으로 적용되지 않을 경우에만 사용해야 합니다. 이 정책 설정을 사용하도록 설정하면 Prevent installation of devices that match these device IDs(이 장치 ID와 일치하는 장치 설치 금지) 정책 설정, Prevent installation of devices for these device classes(이 장치 클래스의 장치 설치 금지) 정책 설정 또는 Prevent installation of removable devices(이동식 장치 설치 금지) 정책 설정에 지정하지 않은 모든 장치에 대해 하드웨어 ID 또는 호환 가능 ID가 이 목록에 있는 ID와 일치하는 장치를 사용자가 설치하고 업데이트할 수 있습니다. 장치 설치를 금지하는 다른 정책 설정에 지정된 장치는 이 정책 설정에 지정하더라도 설치할 수 없습니다. 이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않고 장치가 다른 정책에 지정되지 않은 경우에는 Prevent installation of devices not described by other policy settings(다른 정책 설정에 지정되지 않은 장치의 설치 금지) 정책 설정에 따라 사용자가 장치를 설치할 수 있는지 여부가 결정됩니다. |
| • | Allow installation of devices using drivers for these device classes(이 장치 클래스의 드라이버를 사용하는 장치 설치 허용). 이 정책 설정은 사용자가 설치할 수 있는 장치의 장치 설치 클래스 GUID 목록을 지정합니다. 이 설정은 Prevent installation of devices not described by other policy settings(다른 정책 설정에 지정되지 않은 장치의 설치 금지) 정책 설정을 사용하도록 설정했고, 이 정책 설정이 사용자의 장치 설치를 금지하는 다른 정책 설정보다 우선적으로 적용되지 않을 경우에만 사용해야 합니다. 이 설정을 사용하도록 설정하면 Prevent installation of devices that match these device IDs(이 장치 ID와 일치하는 장치 설치 금지) 정책 설정, Prevent installation of devices for these device classes(이 장치 클래스의 장치 설치 금지) 정책 설정 또는 Prevent installation of removable devices(이동식 장치 설치 금지) 정책 설정에 지정하지 않은 모든 장치에 대해 장치 설치 클래스가 이 목록에 있는 장치 설치 클래스 GUID와 일치하는 장치를 사용자가 설치하고 업데이트할 수 있습니다. 장치 설치를 금지하는 다른 정책 설정에 지정된 장치는 이 정책 설정에 지정하더라도 설치할 수 없습니다. 이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않고 장치가 다른 정책 설정에 지정되지 않은 경우에는 Prevent installation of devices not described by other policy settings(다른 정책 설정에 지정되지 않은 장치의 설치 금지) 정책 설정에 따라 사용자가 장치를 설치할 수 있는지 여부가 결정됩니다. |
이러한 정책 중 일부는 다른 정책보다 우선적으로 적용됩니다. 다음 순서도는 Windows가 정책을 처리하여 사용자가 장치를 설치할 수 있는지 여부를 결정하는 방식을 보여 줍니다.
이동식 저장소 액세스를 위한 그룹 정책 설정
Windows Vista 및 Windows Server "Longhorn"에서 관리자는 그룹 정책을 적용하여 사용자가 이동식 미디어가 있는 장치에서 읽거나 쓸 수 있는지 여부를 제어할 수 있습니다. 이러한 정책을 사용하면 중요하거나 민감한 자료를 이동식 미디어나 저장 장치가 들어 있는 이동식 장치에 기록하여 유출시키는 행위를 방지할 수 있습니다.
이러한 정책 설정은 컴퓨터에 로그온하는 모든 사용자에게 적용되도록 컴퓨터 수준에서 적용할 수 있습니다. 또한 정책 설정을 사용자 수준에서 적용하여 특정 사용자 계정에만 적용되도록 제한할 수도 있습니다. Active Directory 환경에서 그룹 정책을 사용하는 경우 정책 설정을 단일 사용자 계정은 물론 사용자 그룹에 적용할 수 있습니다. 그룹 정책을 사용하면 이러한 정책을 많은 수의 컴퓨터에 효과적으로 적용할 수 있습니다. 그룹 정책을 사용하여 클라이언트 컴퓨터를 관리하는 데 대한 자세한 내용은 Microsoft 웹 사이트에서 "Group Policy"(http://go.microsoft.com/fwlink/?linkid=55625 (영문))를 참조하십시오.
중요:
이러한 이동식 저장소 액세스 정책은 Windows의 ReadyBoost 기술과 같이 시스템 계정 컨텍스트에서 실행되는 소프트웨어에는 적용되지 않습니다. 하지만 현재 사용자의 보안 컨텍스트에서 실행되는 모든 소프트웨어는 이 제한의 영향을 받을 수 있습니다. 예를 들어 Removable Disks: Deny write access(이동식 디스크: 쓰기 액세스 거부) 정책 설정을 사용자가 관리자인 경우에도 적용하면 BitLocker 설치 프로그램이 시작 키를 USB 드라이브에 쓸 수 없습니다. 따라서 로컬 Administrators 그룹이 아닌 사용자와 그룹에만 제한을 적용하는 것이 좋습니다.
Removable Storage Access(이동식 저장소 액세스) 정책 설정에는 관리자가 강제로 다시 부팅하도록 허용하는 설정도 포함됩니다. 장치를 사용 중인 상태에서 제한 정책을 적용하는 경우 컴퓨터를 다시 시작해야만 정책이 적용될 수 있습니다. 사용자가 컴퓨터를 다시 시작할 때까지 기다리지 않으려면 강제로 다시 시작하는 정책 설정을 사용합니다. 컴퓨터를 다시 시작하지 않고 제한 정책을 적용할 수 있는 경우에는 다시 부팅 옵션이 무시됩니다.
정책 설정은 다음의 두 가지 위치에 저장됩니다. Computer Configuration\Administrative Templates\System\Removable Storage Access에 있는 정책 설정은 컴퓨터와 해당 컴퓨터에 로그온하는 모든 사용자에게 적용됩니다. User Configuration\Administrative Templates\System\Removable Storage Access에 있는 정책 설정은 정책 설정이 적용된 사용자와 그룹(Active Directory를 사용하여 그룹 정책을 적용한 경우)에게만 적용됩니다.
다음은 이동식 저장소 드라이브에 대한 읽기 또는 쓰기 액세스를 제어할 수 있는 정책에 대한 간략한 설명입니다. 각 장치 범주는 읽기 액세스를 거부하는 정책과 쓰기 액세스를 거부하는 정책을 각각 하나씩 지원합니다.
| • | Time (in seconds) to force reboot(다시 부팅 제한 시간(초)). 이동식 저장소 장치에 대한 액세스 권한 변경을 적용하기 위해 시스템을 다시 시작할 때까지 기다리는 시간을 초 단위로 설정합니다. 다시 시작해야만 제한 정책을 적용할 수 있는 경우에만 다시 시작이 강제로 실행됩니다. 참고: 장치가 사용 중이기 때문에 시스템을 다시 시작할 수 없어 정책을 적용할 수 없는 경우, 시스템을 다시 시작할 때까지 변경 사항이 적용되지 않습니다. 정책 변경 사항을 여러 장치에 적용하는 경우에는 현재 사용 중이 아닌 모든 장치에 변경 사항이 즉시 반영됩니다. 이때 영향을 받는 장치 중에 사용 중인 장치가 있어 변경 사항을 즉시 실행할 수 없는 경우 관리자가 컴퓨터를 다시 시작하는 이 정책을 사용하도록 설정했다면 해당 정책이 시스템을 자동으로 다시 시작합니다. |
| • | CD and DVD(CD 및 DVD). 이러한 정책 설정을 사용하면 USB로 연결하는 장치를 비롯한 CD 및 DVD 이동식 저장소 클래스의 장치에 대한 읽기 또는 쓰기 액세스를 거부할 수 있습니다. 중요: 일부 타사 CD 및 DVD 버너 소프트웨어는 정책으로 금지할 수 없는 방식으로 하드웨어와 상호 작용합니다. CD 또는 DVD 버너에 대한 모든 쓰기를 금지하려면 해당 소프트웨어 설치를 금지하는 그룹 정책을 적용할 수도 있습니다. |
| • | Custom Classes(사용자 지정 클래스). 이러한 정책 설정을 사용하면 장치 설치 클래스 GUID가 특정 목록에 있는 모든 장치에 대한 읽기 또는 쓰기 액세스를 거부할 수 있습니다. |
| • | Floppy Drives(플로피 드라이브). 이러한 정책 설정을 사용하면 USB로 연결하는 장치를 비롯한 플로피 드라이브 클래스의 장치에 대한 읽기 또는 쓰기 액세스를 거부할 수 있습니다. |
| • | Removable Disks(이동식 디스크). 이러한 정책 설정을 사용하면 USB 메모리 드라이브나 외장 USB 하드 디스크 드라이브와 같이 하드 디스크이거나 하드 디스크를 에뮬레이션하는 이동식 장치에 대한 읽기 또는 쓰기 액세스를 거부할 수 있습니다. |
| • | Tape Drives(테이프 드라이브). 이러한 정책 설정을 사용하면 USB로 연결하는 장치를 비롯한 테이프 드라이브에 대한 읽기 또는 쓰기 액세스를 거부할 수 있습니다. |
| • | WPD Devices(WPD 장치). 이러한 정책 설정을 사용하면 Windows 휴대용 장치 클래스의 장치에 대한 읽기 또는 쓰기 액세스를 거부할 수 있습니다. 이러한 장치에는 미디어 플레이어, 휴대폰, Windows CE 장치와 같은 "스마트" 장치가 포함됩니다. |
| • | All Removable Storage classes: Deny all access(모든 이동식 저장소 클래스: 모든 액세스 거부). 이 정책 설정은 이 목록에 있는 모든 정책 설정보다 우선적으로 적용되며 사용할 경우 이동식 저장소를 사용하는 모든 장치에 대한 읽기 및 쓰기 액세스를 거부합니다. 이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않은 경우에는 이 목록의 다른 정책으로 설정된 제한에 따라 이동식 저장소 클래스에 대한 읽기 및 쓰기 액세스가 허용됩니다. |
시나리오 완료를 위한 요구 사항
각 시나리오를 완료하려면 다음이 필요합니다.
| • | Windows Vista를 실행하는 클라이언트 컴퓨터. 이 가이드에서는 이 컴퓨터를 DMI-Client1이라고 합니다. |
| • | USB 메모리 드라이브. 이 가이드에서 설명하는 시나리오에서는 USB 메모리 드라이브를 예로 들어 사용합니다. 이 장치는 이동식 디스크 드라이브처럼 작동하며 "엄지 드라이브", "플래시 드라이브" 또는 "열쇠 고리 드라이브"라고도 합니다. 대부분의 USB 메모리 드라이브는 제조업체가 제공하는 드라이버 없이 Windows Vista 및 Windows Server "Longhorn"이 제공하는 드라이버로 작동합니다. 참고: 설명에서는 장치에 Windows Vista 및 Windows Server "Longhorn"에서 기본적으로 제공하는 드라이버 이외의 드라이버가 필요하지 않다고 가정합니다. 장치에 제조업체의 드라이버가 필요한 경우 드라이버를 제공하라는 메시지가 나타날 때 해당 드라이버를 제공해야 합니다. 이 단계는 시나리오에 포함되지 않습니다. |
| • | CD 또는 DVD 버너(선택 사항). 마지막 시나리오에서는 이동식 미디어를 사용하는 장치를 읽기 전용으로 만드는 방법을 보여 줍니다. 실제 CD 또는 DVD 버너가 설치되어 있지 않아도 컴퓨터 정책을 설정할 수 있지만 컴퓨터 정책이 제대로 적용되었는지 확인하려면 CD 또는 DVD 버너 장치가 필요합니다. |
| • | DMI-Client1에서 보호된 관리자 계정에 대한 액세스. 이 가이드에서는 이 계정을 TestAdmin이라고 합니다. 이 가이드의 절차를 실행하려면 대부분의 단계에 관리자 권한이 필요합니다. 별도의 설명이 없는 경우 각 절차를 시작할 때 이 관리자 계정을 사용하여 DMI-Client1에 로그온해야 합니다. 참고: Windows Vista 및 Windows Server "Longhorn"에는 보호된 관리자 계정이라는 개념이 도입되었습니다. 이 계정은 Administrators 그룹의 구성원이지만 기본적으로 해당 그룹의 보안 권한을 직접적으로 사용하지 않습니다. 높은 수준의 관리자 권한이 필요한 작업을 실행하려고 하면 해당 작업을 실행할 수 있는 권한을 요청하는 대화 상자가 나타납니다. 이 대화 상자에 대해서는 이 가이드의 뒷부분에 있는 "사용자 계정 컨트롤 페이지 사용" 단원에서 설명합니다. 가능한 경우 기본 제공 Administrator 계정 대신 보호된 관리자 계정을 항상 사용하는 것이 좋습니다. |
| • | DMI-Client1에서 표준 사용자 계정에 대한 액세스. 이 사용자 계정에는 더 높은 수준의 권한을 부여하는 특수한 구성원 자격이 없습니다. 이 가이드에서는 이 계정을 TestUser라고 합니다. 관련 지시가 있는 경우에만 이 계정으로 컴퓨터에 로그온하십시오. 표준 사용자 계정으로 로그인한 경우 높은 수준의 관리자 권한이 필요한 작업을 실행하려고 하면 관리자 권한이 있는 계정의 자격 증명을 요청하는 대화 상자가 나타납니다. 이 대화 상자에 대해서는 이 가이드의 뒷부분에 있는 "사용자 계정 컨트롤 페이지 사용" 단원에서 설명합니다. |
필수 절차
사용자의 장치 설치를 허용하거나 금지하는 정책을 구현하려면 장치의 장치 확인 문자열을 알고 있어야 합니다. 또한 USB 메모리 드라이브와 관련 드라이버를 완전히 제거하는 방법을 알고 있어야 합니다. 다음 절차는 이 가이드의 시나리오를 실행할 수 있는 상태로 컴퓨터를 구성합니다.
사용자 계정 컨트롤 페이지 사용
이 가이드에서는 Administrators 그룹의 구성원만 할 수 있는 작업을 실행하게 됩니다. Windows Vista 및 Windows Server "Longhorn"에서는 관리자 권한이 필요한 작업을 실행하려고 하면 다음과 같은 현상이 나타납니다.
| • | 기본 제공 Administrator 계정으로 로그인한 경우(권장하지 않음) 작업이 즉시 진행됩니다. 기본 제공 관리자 계정은 기본적으로 사용하지 않도록 설정됩니다. |
| • | 기본 제공 Administrator 계정이 아닌 Administrators 그룹의 구성원인 경우 작업을 진행하는 데 필요한 권한을 묻는 User Account Control(사용자 계정 컨트롤) 대화 상자가 나타납니다. Continue(계속)를 클릭하면 작업이 진행됩니다. |
| • | 표준 사용자로 로그온한 경우 작업을 실행하지 못할 수 있습니다. 작업에 따라서는 관리자 계정의 사용자 이름과 암호를 입력할 수 있는 User Account Control(사용자 계정 컨트롤) 페이지가 나타날 수 있습니다. 유효한 자격 증명을 제공하면 사용자가 제공한 관리자 계정의 보안 컨텍스트에서 작업이 실행됩니다. 이러한 자격 증명을 제공할 수 없으면 작업을 실행할 수 없습니다. |
중요:
관리 작업을 실행하기 위해 자격 증명 또는 권한 정보를 제공하기 전에 User Account Control(사용자 계정 컨트롤) 페이지가 자신이 시작한 작업의 결과로 표시된 것인지 확인해야 합니다. 이 페이지가 예기치 않게 나타나면 Details(자세히) 단추를 클릭하여 허용하려는 작업이 맞는지 확인합니다.
이 가이드에서는 절차를 실행할 때 나타날 수 있는 User Account Control(사용자 계정 컨트롤) 대화 상자의 모든 인스턴스를 보여 주지 않고, 관리자 권한으로 특정 권한을 실행하기 위해 특수한 단계가 필요한 경우에만 해당 내용을 설명합니다.
USB 메모리 드라이브의 장치 확인 문자열 확인
다음 단계에 따라 장치의 장치 확인 문자열을 확인할 수 있습니다. 장치의 하드웨어 ID와 호환 가능 ID가 이 가이드에 표시된 것과 일치하지 않으면 사용자 장치에 해당하는 ID를 사용하십시오.
참고:
다음 시나리오에서는 USB 메모리 드라이브를 설치한 다음 제거합니다. 설명에서는 장치에 Windows Vista 및 Windows Server "Longhorn"에서 기본적으로 제공하는 드라이버 이외의 드라이버가 필요하지 않다고 가정합니다. 장치에 제조업체의 드라이버가 필요한 경우 드라이버를 제공하라는 메시지가 나타날 때 해당 드라이버를 제공해야 합니다. 이 단계는 시나리오에 포함되지 않습니다.
장치의 하드웨어 ID와 호환 가능 ID는 두 가지 방법으로 확인할 수 있습니다. 즉, 운영 체제에 포함된 그래픽 도구인 장치 관리자를 사용하거나 DDK(Driver Development Kit)의 일부로 다운로드하여 사용할 수 있는 명령줄 도구인 DevCon을 사용할 수 있습니다. 다음 절차에 따라 USB 메모리 드라이브의 장치 확인 문자열을 표시합니다.
중요:
이러한 절차는 USB 메모리 드라이브에만 해당하므로 다른 유형의 장치를 사용하는 경우에는 해당 장치에 맞게 단계를 조정해야 합니다. 장치 유형 간의 가장 큰 차이는 장치 관리자 계층 구조에서의 장치 위치입니다. Disk Drives(디스크 드라이브) 노드를 찾는 대신 장치에 해당하는 노드를 찾으십시오.
장치 관리자를 사용하여 장치 확인 문자열을 찾으려면
1. | 컴퓨터에 DMI-Client1\TestAdmin으로 로그온합니다. |
2. | USB 메모리 드라이브를 끼운 다음 설치를 완료합니다. |
3. | Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 mmc devmgmt.msc를 입력한 다음 Enter 키를 눌러 장치 관리자를 엽니다. |
4. | User Account Control(사용자 계정 컨트롤) 대화 상자가 나타나면 표시된 작업이 원하는 작업인지 확인하고 Continue(계속)를 클릭합니다.
장치 관리자가 시작되고 컴퓨터에서 검색된 모든 장치를 나타내는 트리가 표시됩니다. 트리의 최상위 노드에는 컴퓨터 이름이 표시됩니다. 그 아래의 노드는 컴퓨터의 장치를 그룹화하는 다양한 하드웨어 범주를 나타냅니다. |
5. | Disk drives(디스크 드라이브)를 두 번 클릭하여 목록을 엽니다.  |
6. | 사용 중인 USB 메모리 드라이브의 항목을 마우스 오른쪽 단추로 클릭하고 Properties(속성)를 클릭합니다. Device Properties(장치 속성) 대화 상자가 나타납니다.  |
7. | Details(자세히) 탭을 클릭합니다. |
8. | Property(속성) 목록에서 Hardware Ids(하드웨어 ID)를 클릭합니다. Value(값) 아래에 표시되는 문자열을 기록해 둡니다.  참고: 텍스트를 선택하고 Ctrl-C를 눌러 문자열을 클립보드에 복사할 수 있습니다. 대부분의 하드웨어 ID에는 여러 개의 밑줄 문자가 있으므로 식별자를 지정해야 할 때 붙여넣을 수 있도록 텍스트 파일에 하드웨어 ID를 복사해 두는 것이 좋습니다. 이렇게 하면 승인 장치나 금지 장치 목록에 특정 식별자를 추가할 때 실수하는 일을 크게 줄일 수 있습니다. |
9. | Property(속성) 목록에서 Compatible Ids(호환 가능 ID)를 클릭합니다. Value(값) 아래에 표시되는 문자열을 기록해 둡니다.  |
10. | OK(확인)를 클릭하여 대화 상자를 닫습니다. |
참고:
DevCon 명령줄 유틸리티를 사용하여 장치 확인 문자열을 확인할 수도 있습니다. DevCon은 Microsoft 도움말 및 지원 사이트에서 다운로드할 수 있습니다. 자세한 내용은 Microsoft 웹 사이트에서 "The DevCon command-line utility functions as an alternative to Device Manager"(http://go.microsoft.com/fwlink/?LinkId=56391)를 참조하십시오.
MSDN(Microsoft Developer Network) 사이트에서 DevCon 유틸리티 및 사용 방법에 자세한 내용을 찾을 수 있습니다. 자세한 내용은 Microsoft 웹 사이트에서 "DevCon"을 참조하십시오.
DevCon을 사용하여 하드웨어 ID를 확인하는 데 필요한 구문도 MSDN에서 볼 수 있습니다. 자세한 내용은 Microsoft 웹 사이트에서 "DevCon HwIDs"를 참조하십시오.
USB 메모리 드라이브 제거
일반적으로 USB 메모리를 사용할 때에는 USB 포트에서 드라이브를 그냥 빼면 됩니다. 그러나 이 가이드에서는 컴퓨터를 적절하게 구성한 상태에서 각 시나리오를 시작할 수 있도록 장치 드라이버를 제거해야 합니다. 여기에 나온 대로 장치를 제거한 후 분리하지 못하면 아래의 시나리오에서 테스트하는 정책이 적용되지 않고 예상된 결과를 얻을 수 없습니다. 이 가이드에서 장치를 제거하고 분리하라는 지침이 나오면 아래의 단계를 실행하십시오.
중요:
마지막 단계를 실행할 때까지 USB 포트에서 장치를 분리하지 마십시오.
USB 메모리 드라이브를 제거하려면
1. | 컴퓨터에 DMI-Client1\TestAdmin으로 로그온합니다. |
2. | Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 mmc devmgmt.msc를 입력한 다음 Enter 키를 눌러 장치 관리자를 엽니다. |
3. | User Account Control(사용자 계정 컨트롤) 대화 상자가 나타나면 표시된 작업이 원하는 작업인지 확인하고 Continue(계속)를 클릭합니다. |
4. | 사용 중인 USB 메모리 드라이브의 항목을 마우스 오른쪽 단추로 클릭하고 Uninstall(제거)을 클릭합니다.  |
5. | Confirm Device Removal(장치 제거 확인) 대화 상자에서 OK(확인)를 클릭하여 설치 제거 프로세스를 완료합니다. |
6. | 설치 제거 프로세스가 완료되면 장치 관리자 트리에서 해당 장치 항목이 제거됩니다. |
7. | USB 포트에서 USB 메모리 드라이브를 분리합니다. |
모든 장치의 설치 금지
이 시나리오는 모든 장치를 설치할 수 없고 기존 장치를 새 장치 드라이버로 업데이트할 수 없는 가장 제한적인 구성을 구현하는 데 필요한 단계를 설명합니다. 이 경우 사용자는 관리자의 개입 없이 장치를 설치하거나 사용할 수 없으며 관리자는 이전과 마찬가지로 필요한 모든 장치를 설치하거나 업데이트할 수 있습니다.
모든 장치의 설치를 금지하기 위한 필수 작업
이 시나리오의 절차를 완료하려면 이 문서 앞부분에 있는 "USB 메모리 드라이브 제거" 단원의 설명에 따라 USB 메모리 드라이브를 제거해야 합니다.
모든 장치의 설치를 금지하는 단계
1단계: 모든 장치의 설치를 금지하는 정책 구성
모든 장치의 설치나 업데이트를 금지하는 정책을 구성하려면
1. | 컴퓨터에 DMI-Client1\TestAdmin으로 로그온합니다. |
2. | Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 mmc gpedit.msc를 입력한 다음 Enter 키를 눌러 Group Policy Object Editor(그룹 정책 개체 편집기)를 엽니다. |
3. | User Account Control(사용자 계정 컨트롤) 대화 상자가 나타나면 표시된 작업이 원하는 작업인지 확인하고 Continue(계속)를 클릭합니다.
|
4. | Group Policy Object Editor(그룹 정책 개체 편집기) 탐색 창에서 Computer Configuration(컴퓨터 구성)을 두 번 클릭하여 엽니다. 그런 다음 Administrative Templates(관리 템플릿), System(시스템), Device Installation(장치 설치), Device Installation Restrictions(장치 설치 제한)를 차례로 엽니다.  |
5. | 세부 정보 창에서 Prevent installation of devices not described by other policy settings(다른 정책 설정에 지정되지 않은 장치의 설치 금지)를 마우스 오른쪽 단추로 클릭하고 Properties(속성)를 클릭합니다. 현재 설정을 보여 주는 정책 대화 상자가 나타납니다. |
6. | Setting(설정) 탭에서 Enabled(사용)를 클릭하여 정책을 활성화합니다. |
7. | OK(확인)를 클릭하여 설정을 저장하고 Group Policy Object Editor(그룹 정책 개체 편집기)로 돌아갑니다. |
2단계: 관리자가 장치 설치 제한을 다시 정의할 수 있도록 허용하는 정책 구성
다음 정책을 사용하면 앞에서 사용하도록 설정한 정책을 비롯하여 다른 장치 설치 정책 설정을 통해 적용한 제한을 관리자가 다시 정의할 수 있습니다.
관리자가 장치 설치 제한을 다시 정의할 수 있도록 허용하는 정책을 구성하려면
1. | 세부 정보 창에서 Allow administrators to override device installation policy(관리자가 장치 설치 정책을 다시 정의하도록 허용)를 마우스 오른쪽 단추로 클릭하고 Properties(속성)를 클릭합니다. 현재 설정을 보여 주는 정책 대화 상자가 나타납니다. |
2. | Setting(설정) 탭에서 Enabled(사용)를 클릭하여 정책을 활성화합니다. |
3. | OK(확인)를 클릭하여 설정을 저장하고 Group Policy Object Editor(그룹 정책 개체 편집기)로 돌아갑니다. 이제 두 정책이 모두 사용 상태로 표시됩니다.  |
4. | Group Policy Object Editor(그룹 정책 개체 편집기)를 닫습니다. |
3단계: 표준 사용자로 로그인하여 제한 설정 테스트
두 정책을 활성화한 후 컴퓨터에 적용하고 장치를 설치하여 제한이 작동하는지 확인할 수 있습니다.
표준 사용자로 로그인하여 제한 설정을 테스트하려면
1. | 장치가 설치되어 있으면 이 문서 앞부분에 있는 "USB 메모리 드라이브 제거" 단원의 단계를 실행하여 장치를 제거한 후 분리합니다. |
2. | Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 gpupdate /force를 입력한 다음 Enter 키를 누릅니다. |
3. | GPUdate 명령이 완료되면 컴퓨터에서 로그오프한 다음 DMI-Client1\TestUser로 로그온합니다. |
4. | Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 mmc devmgmt.msc를 입력한 다음 Enter 키를 눌러 장치 관리자를 엽니다. Device Manager(장치 관리자)에서 변경을 수행할 권한이 없음을 나타내는 메시지가 다음과 같이 나타납니다.  |
5. | OK(확인)를 클릭하여 메시지를 확인합니다. Device Manager(장치 관리자)가 시작되고 컴퓨터의 장치가 표시됩니다. |
6. | USB 메모리 드라이브를 끼웁니다. 설치가 완료될 때까지 장치가 Device Manager(장치 관리자)의 Other devices(기타 장치) 노드 아래에 나타납니다.  |
7. | 현재 관리 권한이 없는 표준 사용자로 로그온하여 장치 설치가 제한되기 때문에 다음 대화 상자가 나타납니다.  |
8. | 일반적인 사용자 응답을 가정하여 Locate and install driver software (recommended)(드라이버 소프트웨어를 찾아 설치하기(권장)를 클릭합니다. 관리 권한이 있는 계정의 사용자 이름과 암호를 묻는 다른 형태의 User Account Control(사용자 계정 컨트롤) 대화 상자가 나타납니다. |
9. | 표준 사용자는 관리자 자격 증명을 가지고 있지 않으므로 Cancel(취소)을 클릭하여 작업을 중단합니다. 장치 드라이버 설치가 실패하고 장치는 사용할 수 없는 상태로 Other devices(기타 장치) 노드에 유지됩니다. |
승인된 장치만 설치하도록 허용
이 시나리오는 모든 장치의 설치를 금지하는 첫 번째 시나리오인 모든 장치의 설치 금지에 기반합니다. 이 시나리오에서는 정책에 허용 장치 목록을 추가하고 USB 메모리 드라이브의 하드웨어 ID를 포함시킵니다.
승인된 장치만 설치하도록 허용하기 위한 필수 작업
이 작업을 완료하려면 먼저 첫 번째 시나리오인 모든 장치의 설치 금지의 모든 단계를 완료해야 합니다.
승인된 장치만 설치하도록 허용하기 위한 단계
이 단원에서는 승인된 장치의 목록을 만들어 모든 장치의 설치 금지에서 적용한 제한에 허용 장치를 추가합니다.
1단계: 승인 장치 목록 만들기
승인된 장치의 목록을 만들려면
1. | 컴퓨터에 DMI-Client1\TestAdmin으로 로그온합니다. |
2. | 장치가 현재 설치되어 있으면 이 문서 앞부분에 있는 "USB 메모리 드라이브 제거" 단원의 단계를 실행하여 장치를 제거한 후 분리합니다. |
3. | Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 mmc gpedit.msc를 입력한 다음 Enter 키를 눌러 Group Policy Object Editor(그룹 정책 개체 편집기)를 엽니다. |
4. | Group Policy Object Editor(그룹 정책 개체 편집기) 탐색 창에서 Computer Configuration(컴퓨터 구성)을 두 번 클릭하여 엽니다. 그런 다음 Administrative Templates(관리 템플릿), System(시스템), Device Installation(장치 설치), Device Installation Restrictions(장치 설치 제한)를 차례로 엽니다. |
5. | 세부 정보 창에서 Allow installation of devices that match any of these device IDs(이 장치 ID와 일치하는 장치 설치 허용)를 마우스 오른쪽 단추로 클릭하고 Properties(속성)를 클릭합니다. 현재 설정을 보여 주는 정책 대화 상자가 나타납니다. |
6. | Setting(설정) 탭에서 Enabled(사용)를 클릭하여 정책을 활성화합니다.  |
7. | Show(표시)를 클릭하여 Show Contents(내용 표시) 대화 상자에 허용 장치 목록을 표시합니다. 이 목록은 기본적으로 비어 있습니다. |
8. | Add(추가)를 클릭하여 Add Item(항목 추가) 대화 상자를 엽니다. |
9. | 장치의 장치 ID(첫 번째 하드웨어 ID)를 입력합니다.  |
10. | OK(확인)를 클릭하여 Show Contents(내용 표시) 대화 상자로 돌아갑니다. 이제 목록에 장치가 나타납니다.  |
11. | OK(확인)를 클릭하여 정책 대화 상자로 돌아갑니다. |
12. | OK(확인)를 클릭하여 새 정책 설정을 저장합니다. |
2단계: 승인 장치 목록 테스트
정책 설정을 활성화한 후 컴퓨터에 적용하고 장치를 설치해 볼 수 있습니다.
승인 장치 목록을 테스트하려면
1. | Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 gpupdate /force를 입력한 다음 Enter 키를 누릅니다. |
2. | gpudate 명령이 완료되면 컴퓨터에서 로그오프한 다음 DMI-Client1\TestUser로 로그온합니다. |
3. | Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 mmc devmgmt.msc를 입력한 다음 Enter 키를 눌러 장치 관리자를 엽니다. Device Manager(장치 관리자)에서 변경을 수행할 권한이 없음을 나타내는 메시지가 다음과 같이 나타납니다. |
4. | OK(확인)를 클릭하여 메시지를 닫습니다. Device Manager(장치 관리자)가 시작되고 컴퓨터의 장치가 표시됩니다. |
5. | USB 메모리 드라이브를 끼웁니다. Windows가 설치를 완료할 때까지 장치가 Device Manager(장치 관리자)의 Other devices(기타 장치) 노드 아래에 나타납니다. |
6. | 설치가 완료되면 장치가 Device Manager(장치 관리자)의 Disk Drives(디스크 드라이브) 노드로 이동하고 제대로 작동합니다. |
금지된 장치의 설치 금지
이 시나리오에서는 장치 설치를 제어하는 다른 방법을 제공합니다. 처음 두 시나리오에서는 승인 장치 목록에 있는 장치를 제외한 모든 장치의 설치를 금지했습니다. 반대로 이 시나리오에서는 금지 장치 목록에 있는 장치를 제외한 모든 장치의 설치를 허용합니다. 또한 관리자도 이 정책의 적용을 받도록 첫 번째 시나리오에서 만든 관리자 예외를 제거합니다.
금지된 장치의 설치를 금지하기 위한 필수 작업
모든 장치의 설치 금지 및 승인된 장치만 설치하도록 허용 단계를 완료한 경우 다음 단계를 실행하여 해당 정책을 사용하지 않도록 설정해야 합니다.
| • | 모든 장치를 설치할 수 있도록 설정합니다. |
| • | Administrators 그룹 구성원의 장치 설치를 허용하는 예외를 제거합니다. |
| • | 승인 장치 목록에서 하드웨어 ID를 제거합니다. |
모든 장치를 설치할 수 있도록 설정하려면
1. | 컴퓨터에 DMI-Client1\TestAdmin으로 로그온합니다. |
2. | Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 mmc gpedit.msc를 입력한 다음 Enter 키를 눌러 Group Policy Object Editor(그룹 정책 개체 편집기)를 엽니다. |
3. | Group Policy Object Editor(그룹 정책 개체 편집기) 탐색 창에서 Computer Configuration(컴퓨터 구성)을 두 번 클릭하여 엽니다. 그런 다음 Administrative Templates(관리 템플릿), System(시스템), Device Installation(장치 설치), Device Installation Restrictions(장치 설치 제한)를 차례로 엽니다. |
4. | 세부 정보 창에서 Prevent installation of devices not described by other policy settings(다른 정책 설정에 지정되지 않은 장치의 설치 금지) 노드를 마우스 오른쪽 단추로 클릭하고 Properties(속성)를 클릭합니다. 현재 설정을 보여 주는 정책 대화 상자가 나타납니다. |
5. | Disabled(사용 안 함)를 클릭하여 정책 설정을 비활성화합니다. |
6. | OK(확인)를 클릭하여 설정을 저장하고 Group Policy Object Editor(그룹 정책 개체 편집기)로 돌아갑니다. |
다음 단계에서는 Administrators 그룹 구성원에게 예외를 부여하는 정책을 제거합니다.
그룹 정책에서 관리자를 위한 예외를 제거하려면
1. | Group Policy Object Editor(그룹 정책 개체 편집기)에서 Allow administrators to override device installation policy(관리자가 장치 설치 정책을 다시 정의하도록 허용)를 마우스 오른쪽 단추로 클릭하고 Properties(속성)를 클릭합니다. 현재 설정을 보여 주는 정책 대화 상자가 나타납니다. |
2. | Setting(설정) 탭에서 Disabled(사용 안 함)를 클릭하여 정책을 비활성화합니다. |
3. | OK(확인)를 클릭하여 설정을 저장하고 Group Policy Object Editor(그룹 정책 개체 편집기)로 돌아갑니다. |
다음 단계에서는 두 번째 시나리오에서 만든 승인 장치 목록에서 하드웨어 ID를 제거합니다.
승인 장치 목록에서 하드웨어 ID를 제거하려면
1. | Group Policy Object Editor(그룹 정책 개체 편집기)에서 Allow installation of devices that match any of these device IDs(이 장치 ID와 일치하는 장치 설치 허용)를 마우스 오른쪽 단추로 클릭하고 Properties(속성)를 클릭합니다. 현재 설정을 보여 주는 정책 대화 상자가 나타납니다. |
2. | Setting(설정) 탭에서 Show(표시)를 클릭하여 승인 장치 목록을 표시합니다. |
3. | Show Contents(내용 표시) 대화 상자에서 USB 메모리 드라이브 이름을 선택한 다음 Remove(제거)를 클릭합니다. 목록에서 장치가 제거됩니다. |
4. | OK(확인)를 클릭하여 Show Contents(내용 표시) 대화 상자를 닫고 정책 대화 상자로 돌아갑니다. |
5. | Disabled(사용 안 함)를 클릭하여 정책 설정을 비활성화합니다. |
6. | OK(확인)를 클릭하여 변경 사항을 저장하고 Group Policy Object Editor(그룹 정책 개체 편집기)로 돌아갑니다. |
금지 장치의 설치를 금지하는 단계
사용자가 특정 장치를 설치하지 못하게 하려면 금지 장치 목록을 만듭니다. 이 단원에서는 다음과 같은 작업을 실행합니다.
1단계: 금지 장치 목록 만들기
금지 장치 목록을 만들려면
1. | 장치가 현재 설치되어 있으면 이 문서 앞부분에 있는 "USB 메모리 드라이브 제거" 단원의 단계를 실행하여 장치를 제거한 후 분리합니다. |
2. | 컴퓨터에 DMI-Client1\TestAdmin으로 로그온합니다. |
3. | Group Policy Object Editor(그룹 정책 개체 편집기)가 실행되고 있지 않으면 지금 실행합니다. Group Policy Object Editor(그룹 정책 개체 편집기)를 시작하려면 Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 mmc gpedit.msc를 입력한 다음 Enter 키를 누릅니다. |
4. | 트리에서 Computer Configuration(컴퓨터 구성)을 두 번 클릭하여 엽니다. 그런 다음 Administrative Templates(관리 템플릿), System(시스템), Device Installation(장치 설치), Device Installation Restrictions(장치 설치 제한)를 차례로 엽니다. |
5. | 세부 정보 창에서 Allow installation of devices that match any of these device IDs(이 장치 ID와 일치하는 장치 설치 금지)를 마우스 오른쪽 단추로 클릭하고 Properties(속성)를 클릭합니다. 현재 설정을 보여 주는 정책 대화 상자가 나타납니다. |
6. | Setting(설정) 탭에서 Enabled(사용)를 클릭하여 정책을 활성화합니다.  |
7. | Show(표시)를 클릭하여 금지 장치 목록을 표시합니다. |
8. | Show Contents(내용 표시) 대화 상자에서 Add(추가)를 클릭합니다. |
9. | Add Item(항목 추가) 대화 상자에서 장치의 장치 ID(첫 번째 하드웨어 ID)를 입력합니다. |
10. | OK(확인)를 클릭하여 Show Contents(내용 표시) 대화 상자로 돌아갑니다. 이제 목록에 장치가 나타납니다.  |
11. | OK(확인)를 클릭하여 정책 대화 상자로 돌아갑니다. |
12. | OK(확인)를 클릭하여 새 정책 설정을 저장합니다. |
2단계: 금지 장치 목록 테스트
이제 장치를 설치해 봅니다. 장치 설치를 금지하는 정책이 더 이상 적용되지 않기 때문에 다른 장치를 설치할 수 있지만 이 장치는 설치할 수 없으며, Administrators 그룹의 구성원으로 로그온한 경우에도 마찬가지입니다.
금지 장치 목록을 테스트하려면
1. | Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 gpupdate /force를 입력한 다음 Enter 키를 누릅니다. |
2. | gpudate 명령이 완료되면 명령 프롬프트를 닫습니다. |
3. | Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 mmc devmgmt.msc를 입력한 다음 Enter 키를 눌러 장치 관리자를 엽니다. |
4. | USB 메모리 드라이브를 끼웁니다. 장치가 Device Manager(장치 관리자)의 Other devices(기타 장치) 노드 아래에 나타납니다. 설치가 완료되지 않고 장치가 작동하지 않습니다. |
5. | Windows 알림 영역에 설치가 실패한 이유를 설명하는 메시지가 나타납니다.  |
6. | 이 제한을 통과하기 위해 장치의 드라이버를 직접 설치해 봅니다. 장치를 마우스 오른쪽 단추로 클릭하고 Update Driver Software(드라이버 소프트웨어 업데이트)를 클릭합니다. |
7. | 장치의 장치 드라이버를 제공하라는 메시지가 나타납니다.  |
8. | 사용자의 반응을 가정하여 Search automatically for updated driver software(업데이트된 드라이버 소프트웨어 자동으로 검색)를 클릭합니다. 드라이버를 찾았지만 설치할 수 없다는 메시지가 나타납니다. 마지막 단락에서는 앞에서 만든 정책으로 인해 설치가 금지되어 설치가 실패했다고 설명합니다.  |
9. | Close(닫기)를 클릭합니다. |
이동식 미디어에 대한 읽기 및 쓰기 권한 제어
이 시나리오에서는 Windows Vista 및 Windows Server "Longhorn"을 실행하는 컴퓨터에서 이동식 장치나 이동식 미디어를 사용하는 장치에 대한 읽기 또는 쓰기 액세스를 제어하는 방법을 보여 줍니다. 이 시나리오에서는 그룹 정책을 설정하여 USB 메모리 드라이브를 읽기 전용으로 만듭니다. 또한 컴퓨터에 연결되어 있는 CD 또는 DVD 버너의 굽기 기능을 사용하지 못하도록 해당 장치를 읽기 전용으로 설정합니다.
이동식 미디어에 대한 읽기 및 쓰기 권한을 제어하기 위한 필수 작업
이 단원의 절차를 실행하려면 먼저 USB 메모리 드라이브의 설치를 금지하는 정책을 사용하지 않도록 설정해야 합니다.
USB 메모리 드라이브의 설치를 금지하는 정책을 사용하지 않도록 설정하려면
1. | 장치가 현재 설치되어 있으면 이 문서 앞부분에 있는 "USB 메모리 드라이브 제거" 단원의 단계를 실행하여 장치를 제거한 후 분리합니다. |
2. | Group Policy Object Editor(그룹 정책 개체 편집기)의 세부 정보 창에서 Allow installation of devices that match any of these device IDs(이 장치 ID와 일치하는 장치 설치 금지)를 마우스 오른쪽 단추로 클릭하고 Properties(속성)를 클릭합니다. 현재 설정을 보여 주는 정책 대화 상자가 나타납니다. |
3. | Setting(설정) 탭에서 Show(표시)를 클릭하여 금지 장치 목록을 표시합니다. |
4. | Show Contents(내용 표시) 대화 상자에서 USB 메모리 드라이브를 클릭한 다음 Remove(제거)를 클릭합니다. |
5. | Setting(설정) 탭에서 Disabled(사용 안 함)를 클릭하여 이 정책 설정을 비활성화합니다. |
6. | OK(확인)를 클릭하여 변경 사항을 저장합니다. |
이동식 미디어에 대한 읽기 및 쓰기 권한을 제어하기 위한 단계
1단계: 특정 이동식 장치 클래스에 대한 쓰기 액세스를 거부하는 컴퓨터 정책 설정
이 절차에서 설정하는 정책은 많은 이동식 저장 장치에 대한 쓰기 액세스를 차단합니다. 하지만 장치에 대한 쓰기 액세스를 차단하는 정확한 컴퓨터 정책은 특정 제조업체와 모델 장치에 따라 달라질 수 있습니다. Custom Classes(사용자 지정 클래스) 정책을 사용할 수도 있지만 이 정책을 사용하려면 개별 장치의 장치 설치 클래스 GUID를 알고 있어야 합니다.
특정 이동식 장치 클래스에 대한 쓰기 액세스를 거부하려면
1. | Group Policy Object Editor(그룹 정책 개체 편집기) 탐색 창에서 Computer Configuration(컴퓨터 구성), Administrative Templates(관리 템플릿), System(시스템), Removable Storage Access(이동식 저장소 액세스)를 차례로 엽니다. |
2. | CD and DVD: Deny write access(CD 및 DVD: 쓰기 액세스 거부)를 마우스 오른쪽 단추로 클릭하고 Properties(속성)를 클릭합니다. |
3. | Properties(속성) 대화 상자에서 Enabled(사용)를 클릭하여 제한을 활성화한 다음 OK(확인)를 클릭합니다. |
4. | 다음 컴퓨터 정책에 대해 2단계와 3단계를 반복합니다. | • | Removable Disks: Deny write access(이동식 디스크: 쓰기 액세스 거부) | | • | Floppy Drives: Deny write access(플로피 드라이브: 쓰기 액세스 거부) | | • | WPD Devices: Deny write access(WPD 장치: 쓰기 액세스 거부) |
|
5. | Group Policy Object Editor(그룹 정책 개체 편집기)를 닫습니다. |
2단계: 컴퓨터 정책 설정 테스트
장치가 사용 중인 경우에는 쓰기 액세스 제한 정책이 즉시 적용되지 않습니다. 컴퓨터 정책을 적용하려면 컴퓨터를 다시 시작해야 합니다.
컴퓨터 정책 설정을 테스트하려면
1. | Start(시작) 단추를 클릭하고 Start Search(검색 시작) 상자에 gpupdate /force를 입력한 다음 Enter 키를 누릅니다. |
2. | gpudate 명령이 완료되면 컴퓨터를 다시 시작합니다. |
3. | 컴퓨터에 DMI-Client1\TestAdmin으로 로그온합니다. |
4. | USB 메모리 드라이브를 끼운 다음 장치가 작동한다는 메시지가 나타날 때까지 기다립니다. |
5. | Start(시작), Computer(컴퓨터)를 차례로 클릭한 다음 USB 메모리 드라이브를 두 번 클릭합니다. |
6. | Windows 탐색기에서 세부 정보 창의 빈 공간을 마우스 오른쪽 단추로 클릭하고 New(새로 만들기), Folder(폴더)를 차례로 클릭합니다. 폴더 만들기가 실패한 이유를 설명하는 오류 메시지가 나타납니다.  |
7. | Continue(계속)를 클릭하여 제한을 무시합니다. |
8. | User Account Control(사용자 계정 컨트롤) 대화 상자가 나타나면 표시된 작업이 원하는 작업인지 확인하고 Continue(계속)를 클릭합니다.
|
9. | Windows 알림 영역에 폴더에 쓸 수 없는 이유를 설명하는 두 번째 메시지가 나타납니다.  |
10. | Cancel(취소)을 클릭하여 대화 상자를 닫습니다. |
결론
이 가이드에서는 실습 환경에서 샘플 장치를 사용하여 사용자의 장치 설치를 허용하거나 금지하는 방법을 배웠습니다. 또한 이동식 저장 장치이거나 이동식 미디어를 사용하는 장치에 대한 액세스를 제한하는 방법도 배웠습니다. 이러한 방식으로 장치 설치와 사용을 제어하면 사용자가 설치할 수 있는 장치를 조직이 승인하고 지원하는 장치로 제한함으로써 보안을 강화하고 지원 부서를 효과적으로 운영할 수 있습니다. 이 문서에서는 다음과 같은 시나리오를 통해 이러한 구성을 살펴보았습니다.
| • | 모든 장치의 설치 금지 이 시나리오에서는 표준 사용자는 장치를 설치하지 못하고 관리자는 장치를 설치하거나 업데이트할 수 있도록 정책을 구성했습니다. |
| • | 승인된 장치만 설치할 수 있도록 허용 이 시나리오에서는 사용자가 승인 장치 목록에 포함된 장치만 설치할 수 있도록 정책을 구성했습니다. |
| • | 금지된 장치의 설치만 금지 이 시나리오에서는 표준 사용자가 대부분의 장치를 설치할 수 있지만 금지된 장치 목록에 포함된 장치는 설치할 수 없도록 정책을 구성했습니다. |
| • | 이동식 미디어 저장 장치의 사용 제어 이 시나리오에서는 표준 사용자가 이동식 저장 장치 또는 USB 메모리 드라이브, CD나 DVD 버너 등과 같이 이동식 미디어를 사용하는 장치에 데이터를 쓰지 못하도록 정책을 구성했습니다. |
추가 리소스
장치 설치에 대한 자세한 내용은 다음을 참조하십시오.
DevCon 도구에 대한 자세한 내용은 다음을 참조하십시오.
Windows Vista의 User Account Control(사용자 계정 컨트롤)에 대한 자세한 내용은 다음을 참조하십시오.
그룹 정책에 대한 자세한 내용은 다음을 참조하십시오.
