GPO 설정을 사용하여 사용자가 Windows 10의 루트 디렉터리에 폴더와 파일을 생성하지 못하도록 차단하고 싶습니다. 인터넷에서 검색하여 설정을 찾았습니다.
컴퓨터 구성 -> 정책 -> Windows 설정 -> 보안 설정 -> 파일 시스템
여기서 인증된 사용자가 있는 %SystemDrive%\에 대한 항목을 만들었습니다.부인하다" 에게 "파일 생성/데이터 쓰기" 그리고 "폴더 생성/데이터 추가", "에 적용됨이 폴더만".
GPO를 저장하고 연결한 후 워크스테이션을 재부팅하여 새 정책을 가져왔지만 설정으로 인해 아무 것도 차단되지 않습니다.
무엇이 잘못되었을지 아시나요? 동일한 결과를 얻기 위한 다른 제안이 있습니까?
정말 감사합니다.
답변1
나쁜 생각. 거기 가지 마세요.
모든 시스템이 완전히 잠겨 있지 않는 한 누구도 아무것도 설치할 필요가 없습니다.
시스템 드라이브 루트에서 폴더/파일 생성을 차단하면 많은 소프트웨어, 특히 드라이브 루트에서 직접 작업 폴더를 생성하는 장치 드라이버용 설치 프로그램이 손상됩니다.
또한 Windows 10 InPlace 업그레이드(및 기타 Windows 업데이트도 가능)는 루트 폴더에 기록해야 합니다.
그리고 Hibernate와 같은 일부 시스템 프로세스도 아마도 이것을 좋아하지 않을 것입니다.
그리고 일부 사람들이 다른 답변에서 제안한 것처럼 "인증된 사용자 거부"는 관리자에게도 거부입니다. DENY는 모든 것을 무시합니다. 관리자는 취소할 수 있지만 WindowsUpdate 등에서는 할 수 없는 수동 개입이 필요합니다.
SCCM과 같은 관리 소프트웨어 환경에서는 모든 설치 프로그램 주위에 래퍼로 무언가를 엮을 수 있지만 이는 많은 작업이 필요합니다.
또는 SCCM에 로컬(비도메인) 관리자 계정을 사용하고 "도메인 사용자"에 대한 폴더 액세스를 제한할 수 있습니다. 그러나 이는 설정이 어렵고 보안 위험이 있을 수도 있습니다. (모든 컴퓨터에서 해당 계정에 대한 개별 비밀번호를 설정하고 SCCM에서 사용할 수 있도록 어딘가에 저장해야 합니다. 하나가 손상되었을 때 모든 곳에서 동일한 비밀번호를 사용하면 모든 컴퓨터가 손상됩니다.)
사실: 제가 일하는 회사에서는 실제로 그렇게 합니다 . 모든 컴퓨터(약 200,000개 시스템)의 SCCM 및 개별 로컬 관리자 계정을 사용하는 것과 같지만 루트 드라이브를 잠글 만큼 미친 것은 아닙니다. 모든 종류의 이상한 부작용/문제를 일으킬 가능성이 너무 높습니다.
답변2
아래와 같이 문제 해결을 시도할 수 있습니다.
- Windows 10이 도메인 환경이라면? 도메인에 있는 경우 Windows 10에서 gpresult 보고서를 실행하여 정책이 적용되었는지 확인할 수 있습니다. 적용되었으나 폴더 및 파일 생성을 차단할 수 없는 경우 2단계로 이동하세요.
- 그룹 정책을 성공적으로 적용할 수 있는지 확인하려면 루트 디렉터리의 다른 폴더를 차단하세요. 가능하다면 시스템 루트 디렉토리의 권한을 설정하지 못할 수도 있습니다.
- Windows 10이 도메인 환경에 없는 경우 이 프로세스는 그룹 정책 관리 기능을 실행하는 서버가 있는 도메인에서만 사용할 수 있다는 점을 명심하십시오. 독립 실행형 시스템과 작업 그룹은 여전히 이러한 권한을 수동으로 할당해야 합니다! 따라서 권한을 수동으로 설정해 볼 수 있습니다.
참조:
그룹 정책을 통해 파일 및 폴더 권한 할당
https://www.linkedin.com/pulse/sign-file-folder-permissions-via-group-policy-farid-soltani
파일 시스템 보안 GPO 만들기
https://library.netapp.com/ecmdocs/ECMP1401220/html/GUID-A8D101D3-729F-4299-A591-4AC55A5DD12E.html
그룹 정책 – GPResult 예
https://blog.thesysadmins.co.uk/group-policy-gpresult-examples.html