이 글은 ActiveDirectory가 구축된 회사에서 웜 확산을 초기에 막는데 도움이 됩니다. ^^ ActiveDirectory는 비용이 별로 들지않으면서 회사내의 수많은 시스템을 효과적으로 관리할수있는 좋은 인프라라고 할 수있습니다. 저희 회사에선 AD를 사용하고 있는 중이구요.. AD인프라를 사용하는 회사가 늘어나고 있으므로 이런 회사들에 있어서 초기에 웜 확산을 저지하는데 사용할 수있는 소프트웨어 차단 정책을 소개합니다. 이 정책을 이용하면 한번의 작업으로 회사내의 모든 PC에서 지정한 웜파일의 실행을 차단할 수 있습니다.
1. AD 관리툴인 “Active Directory 사용자및 컴퓨터”를 실행합니다. (명령: dsa.msc)
– 차단하고자 하는 PC OU에 마우스를 올리고 우클릭 합니다.
– 등록정보창에서 Group Policy 탭으로 이동한후 Open을 클릭합니다.
– 그룹정책 관리를 위해 GPMC를 설치할 것을 강력히 권합니다.
GPMC 다운로드 받기 <<jaewook.net의 포스팅 >> << MS에서 다운로드받기 >>
2. GPMC를 이용에서 파일 실행 제한을 위한 그룹정책을 만들어보겠습니다.
– 원하는 PC OU에 마우스 커서를 위치한후 마우스 우클릭하여 메뉴를 나타나게합니다.
– Create and Link a GPO Here..를 클릭합니다.
3. Policy_restriced_SW라는 이름의 정책을 만듭니다.
– 만들어진 정책에 마우스를 올린후 Edit 클릭
4. 그룹정책 개체 편집기를 이용하여 새 소프트웨어 제한 정책을 만듭니다.
– 컴퓨터구성/ Windows 설정/ 보안설정 / 소프트웨어 제한정책 트리로 이동합니다.
– 팝업메뉴에서 새 소프트웨어 제한 정책을 클릭합니다.
5. 새 경로규칙 만들기를 선택하여 차단하고자 하는 파일 정보를 입력합니다.
– 웜이 사용하는 주 실행 프로세스들을 입력해줍니다.
– 20090707 발생한 Mydoom 계열의 Ddos바이러스가 이용하는 실행파일들은 아래와 같습니다.
msiexec2.exe , msiexec1.exe 

자 이제 모든 창을 닫고 나오면 되겠습니다.
▶ 주의사항
1. 테스트 필요
이런 실행차단 정책은 사전에 테스트가 필수입니다. 잘못입력하여 정상파일을 차단하기라도 하면 큰일입니다.
처음엔 테스트OU에서만 적용하여 정상 작동을 확인한 후 전체 AD에 적용해야합니다.
2. 배포시간 고려
AD의 인프라를 이용하기 때문에 배포하는데 약간의 시간이 걸립니다. 시간상으로 10-30분 정도가 소요되고 이 정책을 적용받으려면 실제적으론 PC가 리부팅되어야 합니다. 소프트웨어 제한 정책은 컴퓨터 계정에 적용되는 정책이기 때문에 pc가 리부팅될때 적용받을수있습니다. 회사에서 pc사용시간을 고려하면 적용되기 원하는 전날 저녁에 정책을 적용한 것이 적당하다 하겠습니다.