누군가 내게 말했다. "닥치고 보드나 타"

USB의 제어 부분 입니다.

USB 드라이버를 이미 설치한 경우와 설치하지 않은 경우 두 가지 경우가 있습니다.

USB제어를 위한 설정 파일 위치는 아래와 같습니다.

%systemroot%\inf\usbstor.pnf

%systemroot%\inf\usbstor.inf

위의 파일을 수정하시면 USB에 대한 제어가 가능하며, 자세한 내용은 아래의 링크를 참고 하시기 바랍니다.

USB 저장 장치의 사용을 해제하는 방법

http://support.microsoft.com/kb/823732/ko

그리고 AD의 소프트웨어 제한 정책의 경로 정책을 통해서 해당 파일을 제어할 수 있습니다.

그룹정책>사용자구성>소프트웨어 제한정책>추가규칙에서 새 경로 규칙 만들기 하셔서 가능합니다.

소프트웨어 제한 정책 및 경로규칙에 대한 자세한 내용은 아래의 링크를 참고 하시기 바랍니다.

소프트웨어 제한 정책

http://technet2.microsoft.com/WindowsServer/ko/Library/697cf804-36ae-4925-a56a-bc91b44dfcd91042.mspx?mfr=true

경로 규칙 만들기

http://technet2.microsoft.com/WindowsServer/ko/Library/91f5d2f1-508f-40d5-ad40-e7394a53f0f51042.mspx

그리고 이미 USB 드라이버를 설치한 경우라면, KB에 나와 있는 경우 처럼 start 레지스트리 값을 4로 변경하시면 되고, 도메인 환경이므로 레지스트리를

로그온 스크립트를 통해서 일괄 적용하실 수 있습니다.

방법은 전에 드린 사용자캐시 정보 제거하는 것과 같습니다.

그리고 USB, CD-ROM, Floppy에 대한 제어에 대한 내용도 아래를 참고 하시기 바랍니다.

Use Group Policy to disable USB, CD-ROM, Floppy Disk and LS-120 drivers

http://support.microsoft.com/?kbid=555324

위의 링크를 보면 USB, CD-ROM, Floppy 등이 사용하는 레지스트리 경로가 나와 있으면 이 정보를 담고 있는

정책 파일인 adm 파일이 있을 것으로 보이지만 현재 MS 확인 결과 이 정책을 적용할 수 있게 해주는 별도의 adm파일 없다고 합니다.

위의 링크는 USB, CD-ROM, Floppy의 레지스트리 경로만 참고 하시면 될 것 같습니다.

그리고 아래의 스크립트는 전에 사용자로그온 캐시 정보 제거하는 방법과 유사한 것으로 아래의 스크립트가 들어간 cmd 파일을 만들어서

로그온 스크립트를 활용하면 클라이언트의 CD-ROM관련 레지스트리가 바뀝니다.

참고 하시기 바랍니다.

CD-ROM의 Read 기능만 활성화 시키는 레지스트리 설정 값

------------------------------------------------------------------------------------------------------------

@echo off

reg add HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /v WriteProtect /t REG_DWORD /d 1 /f

------------------------------------------------------------------------------------------------------------

CD-ROM의 Write 기능 활성화 시키는 레지스트리 설정 값

------------------------------------------------------------------------------------------------------------

@echo off

reg add HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /v WriteProtect /t REG_DWORD /d 0 /f

------------------------------------------------------------------------------------------------------------

*특정 드라이버나 레지스트리 수정을 통한 방법은 Legacy 드라이버를 사용하지 않고 별도의 드라이버를 이용할 경우 완벽하게 차단할 수 없음을 고려하셔야만 합니다.

계정 잠금 시간이 0이면 administrator만 해제할 수 있다.

5번의 로그인 시도 후 실패하면 최소 15분이 소요 되어야 한다.

Windows 탐색기에서 내트워크환경 표시 하지 않음 정책

첨부 파일 관리자를 통해서 메일의 첨부파일을 관리할 수 있다.

위와 같이 설정 하면 클라이언트 컴퓨터가 잠겼을 경우, 반드시 도메인 인증 후 잠금을 해지해야만 한다.

위의 경로로 들어가서 보안 영역 및 개인 정보의 현재 보안 영역 및 개인 정보 설정 가져오기의 설정 수정

위에서 원하는 사이트를 등록한다.

사용자 구성>관리템플릿>네트워크>네트워크연결에서 위의 두 가지를 사용으로 설정하면 가능하다

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon\

   ValueName: CachedLogonsCount

   Data Type: REG_SZ

   Values: 0

[참고 자료]

캐시된 도메인 로그온 정보

http://support.microsoft.com/?kbid=172931

값 0은 캐싱 기능을 해제하고 50 이상의 값은 50개의 로그온 시도만 캐시합니다.

위의 레지스트리 값이 바뀌게 되며 직접 레지스트리 편집이 가능하지만, 아래의 정책에서 일괄 적용하실 수 있습니다.

GPO>컴퓨터구성>Windows 설정>보안설정>로컬정책>보안옵션에서 대화형 로그온:캐시할 로그온의 횟수(도메인 컨트롤러가 사용 불가능할 경우) 의 정책을 변경하시면 됩니다.