Active Directory Group Policy Objects(GPO)를 사용하여 USB 저장 장치의 쓰기 권한을 차단하고 읽기 권한만 허용하는 보안 정책을 구현할 수 있습니다. 이는 데이터 유출 방지와 악성코드 감염 차단에 효과적인 보안 조치입니다.
방법 1: 컴퓨터 구성을 통한 GPO 설정
단계별 설정 과정
- Group Policy Management Console 열기
- 도메인 컨트롤러에서
gpmc.msc실행 - 새 GPO 생성 또는 기존 GPO 편집
- 도메인 컨트롤러에서
- GPO 정책 경로 이동
Computer Configuration > Policies > Administrative Templates > System > Removable Storage Access - USB 쓰기 차단 정책 설정
Removable Disks: Deny write access정책을 찾아 더블클릭- Enabled로 설정
- Apply > OK 클릭
설정 가능한 정책 옵션
| 정책명 | 기능 | 권장 설정 |
|---|---|---|
Removable Disks: Deny write access |
USB 쓰기 권한 차단 | Enabled |
Removable Disks: Deny read access |
USB 읽기 권한 차단 | Disabled |
Removable Disks: Deny execute access |
USB 실행 파일 차단 | Enabled (보안 강화) |
All Removable Storage classes: Deny all access |
모든 이동식 저장장치 차단 | 필요시 |
GPO 적용 및 연결
- OU에 GPO 연결
- 대상 OU 우클릭 → “Link an Existing GPO”
- 생성한 GPO 선택
- 정책 강제 업데이트
gpupdate /force
방법 2: 사용자 구성을 통한 GPO 설정
설정 경로
User Configuration > Policies > Administrative Templates > System > Removable Storage Access
컴퓨터 구성 vs 사용자 구성 비교
| 구분 | 컴퓨터 구성 | 사용자 구성 |
|---|---|---|
| 적용 범위 | 해당 컴퓨터의 모든 사용자 | 특정 사용자 (어떤 컴퓨터든) |
| 우선순위 | 높음 | 낮음 |
| 관리 복잡도 | 낮음 | 높음 |
| 권장 사용 | 일반적인 보안 정책 | 사용자별 차등 적용 |
방법 3: 레지스트리를 통한 직접 설정
레지스트리 키 위치
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices
수동 레지스트리 설정
regedit실행- 위 경로로 이동 (키가 없으면 생성)
- DWORD 값 생성:
| 값 이름 | 데이터 | 기능 |
|---|---|---|
Deny_Write |
1 | USB 쓰기 차단 |
Deny_Read |
0 | USB 읽기 허용 |
Deny_Execute |
1 | 실행 파일 차단 |
방법 4: 특정 사용자/그룹 예외 처리
보안 필터링 설정
- 예외 그룹 생성
- Active Directory Users and Computers에서 새 보안 그룹 생성
- 예: “USB_Access_Allowed”
- GPO 보안 필터링 구성
- GPO 선택 → Security Filtering 섹션
- “USB_Access_Allowed” 그룹 추가
- Delegation 탭 → Advanced 클릭
- 해당 그룹에 “Apply group policy” 권한을 Deny로 설정
권한 설정 표
| 그룹 | Read | Apply Group Policy | 결과 |
|---|---|---|---|
| Authenticated Users | Allow | Allow | 정책 적용됨 |
| USB_Access_Allowed | Allow | Deny | 정책 적용 안됨 |
| Domain Computers | Allow | – | 정책 읽기만 |
방법 5: BitLocker 보호된 드라이브만 허용
정책 설정
Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Removable Data Drives
Deny write access to removable drives not protected by BitLocker활성화- BitLocker로 암호화된 USB만 쓰기 허용
설정 확인 및 테스트
정책 적용 확인
# 현재 적용된 정책 확인
gpresult /r
# 특정 정책 상세 정보
gpresult /h report.html
동작 테스트
- USB 장치 연결
- 파일 복사 시도
- 예상 결과:
- 읽기: 정상 동작
- 쓰기: “액세스가 거부되었습니다” 오류 또는 “관리자 권한이 필요합니다” 메시지
자주 접하는 문제 및 해결 방법
정책이 적용되지 않는 경우
| 문제 | 해결 방법 |
|---|---|
| GPO가 적용되지 않음 | Authenticated Users에 Read 권한 확인 |
| 일부 사용자만 적용 안됨 | Security Filtering 설정 재확인 |
| 즉시 적용되지 않음 | gpupdate /force 실행 후 재부팅 |
레지스트리 키 생성 오류
- StorageDevicePolicies 키가 없는 경우 수동으로 생성 필요
- 관리자 권한으로 실행 확인
관련 링크
- Microsoft Docs – Group Policy Management
- Microsoft Docs – Removable Storage Access
- Group Policy Administrative Templates