그룹 정책을 사용하여 도메인 2016/2012에서 USB 저장 장치를 차단하는 방법.

잡집Dec 19, 2021

이 가이드에는 AD 도메인 2016 또는 2012에서 그룹 정책을 사용하여 전체 도메인 또는 특정 도메인 사용자에서 USB 저장 장치를 차단하는 방법에 대한 단계별 지침이 포함되어 있습니다. 보다 구체적으로, 이 가이드의 지침을 읽은 후 USB 저장 장치(플래시 드라이브, 외부 하드 드라이브, 스마트폰, 태블릿 등), 도메인의 모든 컴퓨터에 연결하거나 특정 도메인 사용자에게만 USB 스토리지 액세스를 거부할 수 있습니다.

오늘날 우리 중 많은 사람들이 USB 저장 장치를 사용하여 데이터를 전송합니다. 그러나 조직의 경우 외부 저장 장치를 사용하는 직원의 능력에는 맬웨어 확산 또는 민감한 데이터 가로채기와 같은 보안 위험이 포함될 수 있습니다. 이러한 위험을 방지하려면 다음 지침을 읽고 그룹 정책을 사용하여 도메인의 모든 사용자 및 컴퓨터 또는 특정 도메인 사용자에게만 USB 저장 장치에 대한 액세스를 차단할 수 있습니다.. *

* 노트:
1.이 포스트에서는 그룹 정책을 통해 USB 드라이브를 차단하기 위해, Active Directory 2016 도메인 컨트롤러를 사용하여 새 그룹 정책을 만들고 Windows 10 Pro 및 Windows 7 Pro 워크스테이션을 사용하여 이를 적용했습니다.
2. "USB 액세스 차단" 정책은 도메인 관리자 또는 USB 키보드, 마우스, 프린터 등과 같은 연결된 다른 USB 장치에 영향을 미치지 않습니다.
3.그룹 정책을 적용한 후에는 사용자가 어떤 유형의 USB 저장 장치에도 액세스할 수 없으며, USB 저장 장치에 액세스하려고 하면 다음 오류 메시지 중 하나가 수신됩니다. PC.

영상영상

그룹 정책을 사용하여 USB 저장 장치에 대한 액세스를 방지하는 방법(Server 2012/2012R2/2016)

  • 1 부. 모든 도메인 사용자에 대한 USB 읽기/쓰기 액세스를 차단합니다.
  • 2 부. 특정 도메인 사용자에 대한 USB 읽기/쓰기 액세스를 차단합니다.

1 부. 전체 도메인에서 USB 저장 장치에 대한 액세스를 차단하는 방법 2016.

도메인의 모든 컴퓨터(사용자)에 연결된 USB 저장 장치에 대한 액세스를 비활성화하려면:

1. Server 2016 AD 도메인 컨트롤러에서 서버 매니저 그리고 나서부터 도구 메뉴, 열기 그룹 정책 관리. *

* 또한 다음으로 이동합니다. 제어판 -> 관리 도구 -> 그룹 정책 관리.

그룹 정책 관리 - 서버 2016

2. 아래에 도메인, 도메인을 선택한 다음 마우스 오른쪽 버튼으로 클릭 ~에 기본 도메인 정책 그리고 선택 편집하다.

기본 도메인 정책 편집

3. '그룹 정책 관리 편집기'에서 다음으로 이동합니다.

  • 사용자 구성 > 정책 > 관리 템플릿 > 시스템 > 이동식 스토리지 액세스

4. 오른쪽 창에서 다음을 두 번 클릭합니다. 이동식 디스크: 읽기 액세스를 거부합니다. *

* 노트:
1. 이 시점에서 많은 자습서는 다음을 제안합니다. 할 수있게하다 '모든 이동식 저장소 클래스: 모든 액세스 거부' 정책이지만 테스트 중에 이 정책이 스마트폰이나 태블릿에 적용(작업)되지 않음을 발견했습니다.
2. USB 쓰기 액세스를 차단하려면 이동식 디스크: 쓰기 액세스를 거부합니다.

그룹 정책을 사용하여 도메인에서 USB 저장 장치를 차단하는 방법

5. 확인하다 활성화됨 클릭 확인.

Windows Server 2016에서 그룹 정책을 통해 USB를 차단하는 방법

6. 닫다 그룹 정책 편집기.
7. 재시작 서버와 클라이언트 머신, 또는 gpupdate /force 서버와 클라이언트 모두에 새 그룹 정책 설정(다시 시작하지 않고)을 적용하는 명령입니다.

2 부. 특정 도메인 사용자의 USB 저장 장치에 대한 액세스를 방지하는 방법.

그룹 정책을 사용하여 특정 사용자에게만 USB 저장 장치에 대한 액세스를 비활성화하려면 USB 저장 장치에 액세스하지 않으려는 사용자로 그룹화한 다음 여기에 새 정책을 적용합니다. 그룹. 하기 위해서:

1 단계. 비활성화된 USB 사용자로 그룹을 만듭니다. *

* 메모: 비활성화된 USB 사용자로 이미 그룹을 생성한 경우 계속하십시오. 2 단계.

1. 열려있는 Active Directory 사용자 및 컴퓨터.
2. "에서 마우스 오른쪽 버튼을 클릭하십시오.사용자" 개체를 왼쪽 창에서 선택하고 새로운 > 그룹

Active Directory - 그룹 생성

3. 새 그룹의 이름(예: "USB 비활성화된 사용자")을 입력하고 확인. *

* 메모: '글로벌' 및 '보안' 옵션은 선택된 상태로 둡니다.

영상

4. 새로 생성된 그룹을 열고 회원 탭 및 클릭 추가하다

영상

5. 이제 USB 저장 장치를 차단할 도메인 사용자를 선택한 다음 확인.

영상

6. 딸깍 하는 소리 확인 그룹 속성을 닫습니다.

영상

2 단계. USB 저장 장치를 비활성화하는 새 그룹 정책 개체를 만듭니다.

1. 열기 그룹 정책 관리.
2. '도메인' 개체 아래에서 도메인을 마우스 오른쪽 버튼으로 클릭하고 이 도메인에서 GPO를 만들고 여기에 연결합니다.

영상

3. 새 GPO의 이름(예: "USB 비활성화됨")을 입력하고 확인.

영상

4. 새 GPO를 마우스 오른쪽 버튼으로 클릭하고 편집하다.

그룹 정책을 통해 특정 사용자에 대한 USB 액세스 비활성화

5. '그룹 정책 관리 편집기'에서 다음으로 이동합니다.

  • 사용자 구성 > 정책 > 관리 템플릿 > 시스템 > 이동식 스토리지 액세스

4. 오른쪽 창에서 다음을 두 번 클릭합니다. 이동식 디스크: 읽기 액세스를 거부합니다. *

* 메모:
1. 이 시점에서 많은 자습서는 다음을 제안합니다. 할 수있게하다 '모든 이동식 저장소 클래스: 모든 액세스 거부' 정책이지만 테스트 중에 이 정책이 스마트폰이나 태블릿에 적용(작업)되지 않음을 발견했습니다.
2. USB 쓰기 액세스를 차단하려면 이동식 디스크: 쓰기 액세스를 거부합니다.

특정 사용자에 대한 USB 저장소 액세스 차단

5. 확인하다 활성화됨 클릭 확인.

이동식 디스크 - 액세스 거부

6. 닫다 그만큼 그룹 정책 관리 편집자 창문.

7. '그룹 정책 관리'로 돌아가서 "USB 비활성화됨" GPO를 선택하고 '범위' 탭에서 추가하다 버튼('보안 필터링' 설정 아래).

AD Server 2016에서 특정 사용자에 대한 USB 차단

8. "USB 비활성화된 사용자" 그룹의 이름(예: 이 게시물의 "USB 비활성화된 사용자")을 입력하고 확인.

영상

9. 완료되면 선택 대표단 탭.

영상

10. '위임' 탭에서 선택하다 그만큼 인증된 사용자 클릭 고급의.

영상

11. 보안 옵션에서 선택하다 그만큼 인증된 사용자 그리고 체크 해제 그만큼 그룹 정책 적용 체크박스. 완료되면 클릭 확인.

영상

6. 닫다 그룹 정책 편집기.
7. 재시작 서버와 클라이언트 머신, 또는 "gpupdate /force" 명령(관리자 권한)을 사용하여 서버와 클라이언트 모두에 새 그룹 정책 설정(다시 시작하지 않고)을 적용합니다.

그게 다야! 이 가이드가 귀하의 경험에 대한 의견을 남기는 데 도움이 되었는지 알려주십시오. 이 가이드를 좋아하고 공유하여 다른 사람들을 도우십시오.