AD그룹정책을 이용하여 사내pc에서 웜파일 실행을 차단하기

  이 글은 ActiveDirectory가 구축된 회사에서  웜 확산을 초기에 막는데  도움이 됩니다. ^^  ActiveDirectory는 비용이 별로 들지않으면서  회사내의 수많은 시스템을 효과적으로 관리할수있는 좋은 인프라라고 할 수있습니다.  저희 회사에선 AD를 사용하고 있는 중이구요..    AD인프라를 사용하는 회사가 늘어나고 있으므로   이런 회사들에 있어서 초기에 웜 확산을 저지하는데  사용할 수있는 소프트웨어 차단 정책을 소개합니다.  이 정책을 이용하면  한번의 작업으로  회사내의 모든 PC에서  지정한 웜파일의 실행을  차단할 수 있습니다.

1. AD 관리툴인 “Active Directory 사용자및 컴퓨터”를 실행합니다. (명령: dsa.msc)
    – 차단하고자 하는 PC OU에 마우스를 올리고 우클릭 합니다.
    – 등록정보창에서  Group Policy 탭으로 이동한후  Open을 클릭합니다.
    – 그룹정책 관리를 위해 GPMC를 설치할 것을 강력히 권합니다.
       GPMC 다운로드 받기 <<jaewook.net의 포스팅 >>  << MS에서 다운로드받기 >>사용자 삽입 이미지
2. GPMC를 이용에서  파일 실행 제한을 위한 그룹정책을 만들어보겠습니다.
    – 원하는 PC OU에 마우스 커서를 위치한후 마우스 우클릭하여 메뉴를 나타나게합니다.
    – Create and Link a GPO Here..를 클릭합니다.
사용자 삽입 이미지
3. Policy_restriced_SW라는 이름의 정책을 만듭니다.
    – 만들어진 정책에 마우스를 올린후  Edit 클릭
사용자 삽입 이미지
4. 그룹정책 개체 편집기를 이용하여  새 소프트웨어 제한 정책을 만듭니다.
   – 컴퓨터구성/ Windows 설정/ 보안설정 / 소프트웨어 제한정책 트리로 이동합니다.
   – 팝업메뉴에서 새 소프트웨어 제한 정책을 클릭합니다.사용자 삽입 이미지
5. 새 경로규칙 만들기를 선택하여  차단하고자 하는 파일 정보를 입력합니다.
    – 웜이 사용하는 주 실행 프로세스들을 입력해줍니다.
    – 20090707 발생한 Mydoom 계열의 Ddos바이러스가 이용하는 실행파일들은 아래와 같습니다.
       msiexec2.exe ,  msiexec1.exe 사용자 삽입 이미지
사용자 삽입 이미지
자 이제 모든 창을 닫고 나오면 되겠습니다.

▶ 주의사항
1. 테스트 필요
  이런 실행차단 정책은 사전에  테스트가 필수입니다.  잘못입력하여 정상파일을 차단하기라도 하면 큰일입니다.
처음엔 테스트OU에서만 적용하여 정상 작동을 확인한 후  전체 AD에 적용해야합니다.
2. 배포시간 고려
  AD의 인프라를 이용하기 때문에 배포하는데 약간의 시간이 걸립니다. 시간상으로 10-30분 정도가 소요되고  이 정책을 적용받으려면  실제적으론 PC가 리부팅되어야 합니다. 소프트웨어 제한 정책은 컴퓨터 계정에 적용되는 정책이기 때문에  pc가 리부팅될때 적용받을수있습니다.  회사에서 pc사용시간을 고려하면 적용되기 원하는 전날 저녁에 정책을 적용한 것이 적당하다 하겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다