USB 메모리 를 컴퓨터에 삽입하고 내 컴퓨터 (내 PC) 에 접속해 보면 아래와 같이 USB 드라이브 라는 이름으로 USB를 이용할 수 있습니다. 하지만 환경적인 사정에 의해서 USB 접근을 막아야 할 상황이 종종 발생합니다.
예를 들면 네트워크에 바이러스가 퍼지는 것을 막기 위해 라든지 아니면 PC에 담긴 기술자료 유출을 막기 위한 상황이 바로 그런건데요.
오늘은 간단한 정책 편집으로 USB 사용을 제한할 수 있는 방법에 대해서 알아보도록 하겠습니다.
이 글의 목차
로컬 그룹 정책 편집기 에서 USB 엑세스 제한하기
USB 사용을 제한하기 위해서는 “로컬 그룹 정책 편집기“를 사용해야 합니다. 참고로 로컬 그룹 정책 편집기는 관리자 권한을 가지고 있는 윈도우 계정에서만 실행됩니다.
또한 윈도우 홈 버전에서는 로컬 그룹 정책 편집기가 내장되어 있지 않으니 윈도우 홈 사용자는 아래의 글을 참고하시어 로컬 그룹 정책 편집기를 설치 후 시도해 주시기 바랍니다.
“Win+R” 을 눌러 실행 창을 띄운 후 “gpedit” 를 입력합니다.
로컬 그룹 정책 편집기 왼쪽 사이드바 에서 아래의 경로까지 이동해 주세요.
컴퓨터 구성 -> 관리 템플릿 -> 시스템 -> 이동식 저장소 엑세스
그러면 여러 항목 중 “이동식 저장소 클래스 : 모든 권한 거부” 라는 옵션이 있습니다. 이 옵션을 더블 클릭합니다.
기본 값 “구성되지 않음” 에서 “사용” 으로 변경하고 확인 버튼을 클릭합니다.
이것이 끝 입니다.
더 이상 설정 필요 없습니다. 재부팅도 필요하지 않구요.
설정 변경 후 내 PC 를 열고 USB 드라이브에 접속 시도하면 위와 같이
“위치를 사용할 수 없습니다”
라는 경고창과 함께 더 이상 USB에 엑세스 할 수 없게 됩니다.
USB 선택적 엑세스 제한
이동식 저장소 엑세스 관련하여 부분적으로 USB를 제한할 수 있는 방법도 있습니다.
위 이미지 처럼 선택적으로 USB의 실행 거부, 읽기 거부, 쓰기 거부 등을 할 수 있습니다.
외부로부터 들어오는 USB 바이러스가 걱정된다면 읽기 권한 거부를
내부에서 나가는 보안 데이터 유출이 걱정된다면 쓰기 권한 거부를
오토런 바이러스가 걱정된다면 실행 권한 거부를 통해 부분적 엑세스 제한을 할 수 있습니다.
다만 컴퓨터의 보안이 목적이라면 USB의 선택적 거부 보다는 전체 거부 하는 것이 정석적인 방법입니다. 그냥 이런 것도 있다고 설명 드리는 것이니 참고만 하시면 되겠습니다.
일반 사용자가 로컬 그룹 정책 편집기 사용 못하게 하기
근데요. 내가 로컬 그룹 정책 편집기로 USB 제한을 걸어 놨다고 해도 사용자가 이를 해제하면 아무런 소용 없는거 아니겠습니까?
이럴때는 일반 사용자가 로컬 그룹 정책 편집기를 열 수 없게 하면 됩니다. 방법은 두 가지가 있습니다.
레지스트리를 이용한 방법
레지스트리 수정은 로컬 그룹 정책 편집기를 제한하는 가장 쉬운 방법입니다. 아래의 링크 파일을 다운로드 받아서 실행만 시키면 됩니다.
다운로드 : 로컬 그룹 정책 편집기 사용금지, 허용 레지스트리.zip |
▼ 로컬 그룹 정책 편집기 실행 제한 레지스트리
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}]
"Restrict_Run"=dword:00000001
▼ 로컬 그룹 정책 편집기 실행 허용 레지스트리
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}]
"Restrict_Run"=-
레지스트리 수정 후 재부팅 하지 않아도 됩니다. gpedit 실행하면 위와 같은 오류 창이 뜨면서
아무런 권한이 없는 로컬 그룹 정책 편집기 화면이 뜰 것입니다.
다만 이 방법도 완벽한 방법은 아닙니다. 단순히 레지스트리로 실행 권한을 막아둔 것이기 때문에 사용자가 레지스트리 편집을 통해 다시 실행 허용 시킨다면 무력화 됩니다.
그렇지만 사용자가 레지스트리 까지 건들 수고할 사람은 많지 않으리라 판단됩니다.
[gad]
윈도우 계정 “표준 사용자”를 이용한 방법
사실 이 방법이 가장 정석적이고 보안 적으로 완벽한 방법 입니다.
일반 컴퓨터 사용자에게 관리자 계정을 회수 하고 시스템에 접근하지 못하는 제한된 표준 사용자 계정을 만들어 제공 하는 것이 이 방법의 핵심입니다.
표준 사용자 계정은 레지스트리 편집기, 로컬 그룹 정책 편집기, 윈도우 시스템 폴더 접근 모두 허용되지 않습니다.
설정 -> 계정 -> 기타 사용자 로 이동하면 다른 사용자 추가를 진행합니다.
그리고 해당 계정의 “계정 유형 변경“을 클릭합니다.
관리자 -> 표준 사용자 로 변경하고 확인 버튼을 클릭합니다.
또는 netplwiz 에서 계정 유형을 users로 하여 새로운 계정을 추가해 주시면 됩니다.
윈도우 계정을 로컬 계정으로 만들고자 한다면 netplwiz 에서 진행해 주세요. 윈도우 설정에서 만드는 윈도우 계정은 반드시 마이크로소프트 온라인 계정이 필요 합니다.
윈도우 로컬 계정 생성에 관한 자세한 내용은 아래의 글을 참고해 주세요.
관리자 권한의 윈도우 계정을 회수하고 표준 사용자 계정으로 로그인 했을 때의 gpedit 실행결과 입니다. 위 이미지 처럼 그룹 정책 편집기가 아예 실행조차 되지 않습니다.
오늘은 여기까지 입니다. 수고 하셨습니다.