매체제어

Posted by 이안케이 Microsoft/GPO : 2008. 8. 8. 16:52

   

USB의 제어 부분 입니다.

USB 드라이버를 이미 설치한 경우와 설치하지 않은 경우 두 가지 경우가 있습니다.

USB제어를 위한 설정 파일 위치는 아래와 같습니다.

   

%systemroot%\inf\usbstor.pnf

%systemroot%\inf\usbstor.inf

   

위의 파일을 수정하시면 USB에 대한 제어가 가능하며, 자세한 내용은 아래의 링크를 참고 하시기 바랍니다.

   

USB 저장 장치의 사용을 해제하는 방법

http://support.microsoft.com/kb/823732/ko

   

그리고 AD의 소프트웨어 제한 정책의 경로 정책을 통해서 해당 파일을 제어할 수 있습니다.

그룹정책>사용자구성>소프트웨어 제한정책>추가규칙에서 새 경로 규칙 만들기 하셔서 가능합니다.

   

   

   

소프트웨어 제한 정책 및 경로규칙에 대한 자세한 내용은 아래의 링크를 참고 하시기 바랍니다.

   

소프트웨어 제한 정책

http://technet2.microsoft.com/WindowsServer/ko/Library/697cf804-36ae-4925-a56a-bc91b44dfcd91042.mspx?mfr=true

   

경로 규칙 만들기

http://technet2.microsoft.com/WindowsServer/ko/Library/91f5d2f1-508f-40d5-ad40-e7394a53f0f51042.mspx

   

그리고 이미 USB 드라이버를 설치한 경우라면, KB에 나와 있는 경우 처럼 start 레지스트리 값을 4로 변경하시면 되고, 도메인 환경이므로 레지스트리를

로그온 스크립트를 통해서 일괄 적용하실 수 있습니다.

방법은 전에 드린 사용자캐시 정보 제거하는 것과 같습니다.

   

그리고 USB, CD-ROM, Floppy에 대한 제어에 대한 내용도 아래를 참고 하시기 바랍니다.

   

Use Group Policy to disable USB, CD-ROM, Floppy Disk and LS-120 drivers

http://support.microsoft.com/?kbid=555324

   

위의 링크를 보면 USB, CD-ROM, Floppy 등이 사용하는 레지스트리 경로가 나와 있으면 이 정보를 담고 있는

정책 파일인 adm 파일이 있을 것으로 보이지만 현재 MS 확인 결과 이 정책을 적용할 수 있게 해주는 별도의 adm파일 없다고 합니다.

위의 링크는 USB, CD-ROM, Floppy의 레지스트리 경로만 참고 하시면 될 것 같습니다.

   

그리고 아래의 스크립트는 전에 사용자로그온 캐시 정보 제거하는 방법과 유사한 것으로 아래의 스크립트가 들어간 cmd 파일을 만들어서

로그온 스크립트를 활용하면 클라이언트의 CD-ROM관련 레지스트리가 바뀝니다.

참고 하시기 바랍니다.

   

CD-ROM의 Read 기능만 활성화 시키는 레지스트리 설정 값

------------------------------------------------------------------------------------------------------------

@echo off

reg add HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /v WriteProtect /t REG_DWORD /d 1 /f

------------------------------------------------------------------------------------------------------------

CD-ROM의 Write 기능 활성화 시키는 레지스트리 설정 값

------------------------------------------------------------------------------------------------------------

@echo off

reg add HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /v WriteProtect /t REG_DWORD /d 0 /f

------------------------------------------------------------------------------------------------------------

   

*특정 드라이버나 레지스트리 수정을 통한 방법은 Legacy 드라이버를 사용하지 않고 별도의 드라이버를 이용할 경우 완벽하게 차단할 수 없음을 고려하셔야만 합니다.

   

'Microsoft > GPO' 카테고리의 다른 글

계정 잠금 정책  (0) 2008.07.25
탐색기의 네트워크 환경 삭제 정책  (0) 2008.07.25
첨부파일 관리자 관리  (0) 2008.07.25
잠금 해제를 위해 도메인 인증을 설정하는 방법  (0) 2008.07.25
그룹정책을 통해 신뢰할 수 있는 사이트 등록  (0) 2008.07.25
  

티스토리툴바