파일 및 프린터 공유 서비스는 네트워크 환경에서 유용한 기능이지만, 보안상 위험요소가 될 수 있습니다. 특히 기업 환경에서는 중앙집중식 관리를 통해 이 서비스를 체계적으로 제어해야 합니다. Active Directory Group Policy Object(GPO)를 활용하면 도메인 내 모든 컴퓨터에 일관된 보안 정책을 적용할 수 있습니다.
1. 파일 및 프린터 공유 서비스 비활성화 방법
1.1. GPO를 통한 Windows Firewall 설정 (권장 방법)
가장 효과적이고 안전한 방법으로, Windows Firewall을 통해 파일 및 프린터 공유를 제어합니다.
1.1.1. 설정 경로
Computer Configuration
└── Administrative Templates
└── Network
└── Network Connections
└── Windows Firewall
└── Domain Profile
1.1.2. 상세 설정 절차
| 단계 | 작업 내용 |
|---|---|
| 1 | Group Policy Management Console 실행 |
| 2 | 대상 OU 선택 후 새 GPO 생성 또는 기존 GPO 편집 |
| 3 | Computer Configuration > Administrative Templates > Network > Network Connections > Windows Firewall > Domain Profile 이동 |
| 4 | “Windows Firewall: Allow file and printer sharing exception” 정책 더블클릭 |
| 5 | “Disabled” 선택 |
| 6 | Apply > OK 클릭 |
| 7 | GPO 링크 및 배포 |
1.1.3. 영향받는 포트
- TCP 139: NetBIOS 세션 서비스
- TCP 445: SMB over TCP
- UDP 137: NetBIOS 이름 서비스
- UDP 138: NetBIOS 데이터그램 서비스
1.2. 서비스 비활성화를 통한 방법
1.2.1. GPO를 통한 서비스 제어
| 설정 경로 | 설정 내용 |
|---|---|
| Computer Configuration > Windows Settings > Security Settings > System Services | Server 서비스를 Disabled로 설정 |
| Computer Configuration > Windows Settings > Security Settings > System Services | Workstation 서비스 설정 (필요시) |
1.2.2. 명령줄을 통한 서비스 제어
# Server 서비스 중지 및 비활성화
sc stop lanmanserver
sc config lanmanserver start= disabled
# Workstation 서비스 제어 (필요시)
sc stop lanmanworkstation
sc config lanmanworkstation start= disabled
1.3. 레지스트리를 통한 방법
GPO 배포 스크립트나 자동화에 활용할 수 있는 레지스트리 설정입니다.
1.3.1. 레지스트리 키 위치
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer
1.3.2. 설정 값
| 값 이름 | 데이터 타입 | 설정 값 | 설명 |
|---|---|---|---|
| Start | REG_DWORD | 4 | 서비스 비활성화 (4=Disabled) |
1.3.3. PowerShell 스크립트 예시
# Server 서비스 비활성화
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer" -Name "Start" -Value 4
# 변경사항 확인
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer" -Name "Start"
1.4. 네트워크 어댑터별 바인딩 해제
특정 네트워크 어댑터에서만 파일 및 프린터 공유를 비활성화하려는 경우 사용합니다.
1.4.1. nvspbind 도구 활용
# 네트워크 어댑터 GUID 확인
wmic nicconfig get description,settingid
# 특정 어댑터에서 파일 및 프린터 공유 해제
nvspbind.exe /d {어댑터GUID} ms_server
2. 정책 검증 및 확인 방법
2.1. GPO 적용 확인
# GPO 강제 업데이트
gpupdate /force
# 적용된 정책 확인
gpresult /r
# RSoP(Resultant Set of Policy) 확인
rsop.msc
2.2. 서비스 상태 확인
# 서비스 상태 조회
sc query lanmanserver
# 방화벽 규칙 확인
netsh advfirewall firewall show rule name="파일 및 프린터 공유"
2.3. 포트 상태 확인
# 열린 포트 확인
netstat -an | findstr ":445\|:139\|:137\|:138"
# 특정 포트 리스닝 확인
netstat -an | findstr "LISTENING" | findstr ":445"
3. 권장 설정 및 주의사항
3.1. 권장 접근 방법
| 방법 | 권장도 | 이유 |
|---|---|---|
| Windows Firewall GPO | ★★★★★ | 안전하고 중앙집중 관리 가능 |
| 서비스 비활성화 GPO | ★★★★☆ | 효과적이나 일부 기능에 영향 가능 |
| 명령줄/스크립트 | ★★★☆☆ | 자동화에 유용하나 관리 복잡 |
| 수동 설정 | ★★☆☆☆ | 소규모 환경에만 적합 |
3.2. 주의사항
- 도메인 컨트롤러: 도메인 컨트롤러에는 SYSVOL 및 NETLOGON 공유가 필요하므로 주의깊게 설정
- 서버 시스템: 파일 서버나 프린터 서버 역할을 하는 시스템은 제외 필요
- 관리 도구 영향: PSExec, WMI, Remote Registry 등 관리 도구 사용에 영향 가능
- 백업 및 롤백: 정책 적용 전 테스트 환경에서 충분한 검증 수행
4. 예외 설정 및 특수 상황 대응
4.1. 특정 IP 대역 허용
Windows Firewall GPO 설정에서 “Allow unsolicited incoming messages from” 필드에 허용할 IP 주소 입력:
- 모든 IP 허용:
* - 특정 IP 허용:
192.168.1.100,192.168.1.101 - 대역 허용:
192.168.1.0/24
4.2. OU별 차등 적용
├── Servers OU (파일 공유 허용)
├── Workstations OU (파일 공유 차단)
└── Admin OU (관리자용 예외 설정)