저는 회사의 관리자이며 최근에 Windows Server 2012 R2 및 Windows 7 컴퓨터를 클라이언트로 사용하여 Active Directory를 만들었습니다. USB 저장소(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR)를 비활성화하는 모든 사용자에 대한 그룹 정책이 있습니다. 나는 상사가 그렇게 하라고 했기 때문에 그렇게 했습니다. 사무실에 있는 한 남자가 나에게 파일을 전송할 수 있도록 자신의 PC에 있는 USB의 잠금을 해제해 달라고 요청했지만 나는 상사의 말을 거역할 수 없다고 말했습니다. 그는 USB 포트를 활성화하는 방법을 알고 있지만 그것이 무엇인지는 말할 수 없다고 나에게 말했습니다. 또한 클라이언트가 자신의 드라이브에 액세스하는 것을 허용하지 않는 다른 GPO가 있기 때문에 클라이언트가 내 컴퓨터에 액세스할 수 없습니다. 나는 그것에 대해 분노하고 걱정됩니다(그 사람이 USB 저장소를 활성화할 수 있다면). 클라이언트가 자신의 USB 저장소에 액세스하고 파일을 전송할 수 있는 다른 방법이 있습니까? 최근에 우리는 이전 파일을 새 PC로 전송했습니다. 누군가가 .exe 등을 전송했는지 모르겠습니다. 어떤 조언이라도 도움이 될 것입니다. 감사해요
답변1
IT 구현을 우회할 수 있다고 생각하는 '고급 사용자'가 항상 있을 것이므로 걱정하지 마십시오. 특히 고위 직원의 요청에 따라.
그러니 실사를 하고 그것에 대해 걱정하고 있다는 사실이 당신에게 좋은 결과를 가져올 것입니다. 좋습니다. 그가 회사 정책에 어긋난다는 사실(존재하고 일반적으로 징계 조치를 취하는 경우) 외에도 귀하의 입장을 확고히 하기 위해 귀하가 할 수 있는 일이 몇 가지 있습니다. 아래 조합 중 하나:
- 필요한 경우가 아니면 그가 로컬 관리자가 되는 것을 허용하지 마십시오.
- Regmon 애플리케이션에 대한 액세스를 허용하지 않음 - 레지스트리 변경 모니터링
- Windows 시스템에서 Regedit32 또는 Regedit를 허용하지 마십시오. 도메인 관리자 등만 사용해야 합니다.
- 특정 exe를 비활성화하려면 sophos 등을 사용하십시오.
- 어떤 방식으로든 제한하는 방법을 살펴보세요. BIOS 설정에서 기기의 USB를 비활성화하세요.
- 특정 유형의 하드웨어만 연결하도록 허용하려면 Sophos 또는 동급 제품을 사용하세요.
이는 물리적 측면을 어느 정도 커버해야 하지만, 드롭박스 및 이에 상응하는 위협도 있다는 것을 잊지 마십시오. 따라서 정책 입안자로부터 몇 가지 사항을 알아보는 것이 가장 좋습니다.
- 제한의 목적은 무엇입니까?
- 누군가가 이에 반대한다면 그 의미는 무엇입니까(누가 책임을 져야 하는지 아니면 잘못이 있는지)
그가 사용할 수 있는 잠재적인 공격을 시도하고 테스트할 수 있는 링크는 다음과 같습니다. https://blogs.technet.microsoft.com/markrussinovich/2005/04/30/circumventing-group-policy-settings/
도움이 되길 바랍니다.