다음을 통해 공유


그룹 정책 사용하여 디바이스 설치 관리

관리자는 Windows 운영 체제를 사용하여 관리하는 컴퓨터에 설치할 수 있는 디바이스를 결정할 수 있습니다. 이 가이드에서는 디바이스 설치 프로세스를 요약하고 그룹 정책 사용하여 디바이스 설치를 제어하는 몇 가지 기술을 보여 줍니다.

소개

일반

이 단계별 가이드에서는 사용자가 설치할 수 있고 설치할 수 없는 디바이스를 지정하는 등 관리하는 컴퓨터에서 디바이스 설치를 제어하는 방법을 설명합니다. 이 가이드는 Windows 10, 버전 1809 시작하는 모든 Windows 버전에 적용됩니다. 이 가이드에는 다음과 같은 시나리오가 포함되어 있습니다.

  • 사용자가 "금지됨" 목록에 있는 디바이스를 설치하지 못하도록 합니다. 디바이스가 목록에 없으면 사용자가 설치할 수 있습니다.
  • 사용자가 "승인된" 목록에 있는 디바이스만 설치하도록 허용합니다. 디바이스가 목록에 없으면 사용자가 설치할 수 없습니다.

이 가이드에서는 디바이스 설치 프로세스에 대해 설명하고 Windows에서 디바이스를 컴퓨터에서 사용할 수 있는 디바이스 드라이버 패키지와 일치시키는 데 사용하는 디바이스 식별 문자열을 소개합니다. 이 가이드에서는 디바이스 설치를 제어하는 두 가지 방법도 보여 줍니다. 각 시나리오에서는 특정 디바이스 또는 디바이스 클래스의 설치를 허용하거나 방지하는 데 사용할 수 있는 한 가지 방법을 단계별로 보여줍니다.

시나리오에서 사용되는 예제 디바이스는 USB 스토리지 디바이스입니다. 다른 디바이스를 사용하여 이 가이드의 단계를 수행할 수 있습니다. 그러나 다른 디바이스를 사용하는 경우 가이드의 지침이 컴퓨터에 표시되는 사용자 인터페이스와 정확히 일치하지 않습니다.

이 가이드에 제공된 그룹 정책은 사용자/사용자 그룹이 아닌 컴퓨터/컴퓨터 그룹에만 적용된다는 점을 이해하는 것이 중요합니다.

중요

이 가이드에 제공된 단계는 테스트 랩 환경에서 사용하기 위한 것입니다. 이 단계별 가이드는 설명서 없이 Windows Server 기능을 배포하는 데 사용되지 않으며 독립 실행형 문서로 재량에 따라 사용해야 합니다.

이 가이드는 누가 사용해야 하나요?

이 가이드는 다음 대상 그룹을 대상으로 합니다.

  • Windows 10, Windows 11 또는 Windows Server 2022를 평가하는 정보 기술 플래너 및 분석가
  • 엔터프라이즈 정보 기술 플래너 및 디자이너
  • organization 신뢰할 수 있는 컴퓨팅을 구현하는 보안 설계자
  • 기술에 익숙해지려는 관리자

그룹 정책 사용하여 디바이스 설치 제어의 이점

사용자가 설치할 수 있는 디바이스를 제한하면 데이터 도난 위험이 줄어들고 지원 비용이 줄어듭니다.

데이터 도난 위험 줄이기

사용자의 컴퓨터가 이동식 미디어를 지원하는 승인되지 않은 디바이스를 설치할 수 없는 경우 사용자가 회사 데이터의 무단 복사본을 만드는 것이 더 어렵습니다. 예를 들어 사용자가 USB 썸 드라이브 디바이스를 설치할 수 없는 경우 회사 데이터 복사본을 이동식 스토리지에 다운로드할 수 없습니다. 이 혜택은 데이터 도난을 제거할 수는 없지만 무단 데이터 제거에 또 다른 장벽을 만듭니다.

지원 비용 절감

사용자가 기술 지원 팀이 학습되고 지원하도록 갖추어진 디바이스만 설치하도록 할 수 있습니다. 이 혜택은 지원 비용과 사용자 혼란을 줄입니다.

시나리오 개요

이 가이드에 제시된 시나리오에서는 관리하는 컴퓨터에서 디바이스 설치 및 사용량을 제어하는 방법을 보여 줍니다. 시나리오는 로컬 컴퓨터에서 그룹 정책 사용하여 랩 환경의 프로시저 사용을 간소화합니다. 여러 클라이언트 컴퓨터를 관리하는 환경에서는 그룹 정책 사용하여 이러한 설정을 적용해야 합니다. Active Directory에서 배포한 그룹 정책 사용하여 도메인의 구성원 또는 도메인의 조직 구성 단위인 모든 컴퓨터에 설정을 적용할 수 있습니다. 클라이언트 컴퓨터를 관리하기 위해 그룹 정책 개체를 만드는 방법에 대한 자세한 내용은 그룹 정책 개체 만들기를 참조하세요.

시나리오 설명
시나리오 #1: 모든 프린터 설치 방지 이 시나리오에서 관리자는 사용자가 프린터를 설치하지 못하도록 방지하려고 합니다. 따라서 그룹 정책 디바이스 설치 정책의 '방지/허용' 기능을 소개하는 기본 시나리오입니다.
시나리오 #2: 특정 프린터 설치 방지 이 시나리오에서 관리자는 표준 사용자가 특정 프린터를 설치하지 못하도록 하는 동안 모든 프린터를 설치할 수 있도록 허용합니다.
시나리오 #3: 특정 프린터 설치를 허용하면서 모든 프린터 설치 방지 이 시나리오에서는 시나리오 #1과 시나리오 #2 모두에서 배운 내용을 결합합니다. 관리자는 표준 사용자가 다른 모든 프린터의 설치를 방지하면서 특정 프린터만 설치하도록 허용하려고 합니다. 이 시나리오는 보다 현실적인 시나리오이며 디바이스 설치 제한 정책을 이해하는 데 한 걸음 더 나아옵니다.
시나리오 #4: 특정 USB 디바이스 설치 방지 이 시나리오는 시나리오 #2와 비슷하지만 PnP 트리에서 디바이스 연결이 작동하는 또 다른 복잡성 계층을 제공합니다. 관리자는 표준 사용자가 특정 USB 디바이스를 설치하지 못하도록 방지하려고 합니다. 시나리오가 끝나면 디바이스가 PnP 디바이스 연결 트리 아래의 계층에 중첩되는 방식을 이해해야 합니다.
시나리오 #5: 권한 있는 USB 썸 드라이브만 설치하도록 허용하면서 모든 USB 디바이스 설치 방지 이 시나리오에서는 이전의 네 가지 시나리오를 모두 결합하여 모든 권한이 없는 USB 디바이스로부터 컴퓨터를 보호하는 방법을 알아봅니다. 관리자는 다른 USB 디바이스가 설치되지 않도록 하면서 사용자가 권한 있는 작은 USB 디바이스 집합만 설치할 수 있도록 허용하려고 합니다. 또한 이 시나리오에는 컴퓨터에 이미 설치된 기존 USB 디바이스에 'prevent' 기능을 적용하는 방법에 대한 설명이 포함되어 있으며, 관리자는 이러한 디바이스와의 더 먼 상호 작용을 방지하는 것을 좋아합니다(모두 함께 차단). 이 시나리오는 처음 네 가지 시나리오에서 도입한 정책과 구조를 기반으로 하므로 이 시나리오를 시도하기 전에 먼저 이 시나리오를 진행하는 것이 좋습니다.

기술 검토

다음 섹션에서는 이 가이드에서 설명하는 핵심 기술에 대한 간략한 개요를 제공하고 시나리오를 이해하는 데 필요한 배경 정보를 제공합니다.

Windows에서 디바이스 설치

디바이스는 Windows가 일부 기능을 수행하기 위해 상호 작용하는 하드웨어의 일부이거나 더 기술적인 정의에서 Windows 플러그 앤 플레이 하위 시스템의 고유한 표현을 가진 하드웨어 구성 요소의 단일 instance. Windows는 디바이스 드라이버( 드라이버라고도 함)라는 소프트웨어를 통해서만 디바이스와 통신할 수 있습니다. 드라이버를 설치하기 위해 Windows는 디바이스를 검색하고 해당 유형을 인식한 다음 해당 유형과 일치하는 드라이버를 찾습니다.

Windows가 컴퓨터에 설치되지 않은 디바이스를 검색하면 운영 체제는 디바이스를 쿼리하여 디바이스 식별 문자열 목록을 검색합니다. 디바이스에는 일반적으로 디바이스 제조업체에서 할당하는 여러 디바이스 식별 문자열이 있습니다. 드라이버 패키지의 일부인 .inf 파일( INF라고도 함)에 동일한 디바이스 식별 문자열이 포함됩니다. Windows는 디바이스에서 검색된 디바이스 식별 문자열과 드라이버 패키지에 포함된 문자열을 일치시켜 설치할 드라이버 패키지를 선택합니다.

Windows는 네 가지 유형의 식별자를 사용하여 디바이스 설치 및 구성을 제어합니다. Windows에서 그룹 정책 설정을 사용하여 허용하거나 차단할 식별자를 지정할 수 있습니다.

네 가지 유형의 식별자는 다음과 같습니다.

  • 디바이스 인스턴스 ID
  • 디바이스 ID
  • 디바이스 설정 클래스
  • '이동식 디바이스' 디바이스 유형

디바이스 인스턴스 ID

디바이스 instance ID는 시스템에서 디바이스를 고유하게 식별하는 시스템 제공 디바이스 식별 문자열입니다. 플러그 앤 플레이(PnP) 관리자는 시스템의 디바이스 트리에 있는 각 디바이스 노드(devnode)에 디바이스 instance ID를 할당합니다.

디바이스 ID

Windows는 각 문자열을 사용하여 디바이스를 드라이버 패키지와 일치시킬 수 있습니다. 문자열은 디바이스의 단일 메이크 및 모델과 일치하는 특정 모델부터 전체 디바이스 클래스에 적용될 수 있는 일반에 이르기까지 다양합니다. 디바이스 식별 문자열에는 하드웨어 ID와 호환 ID의 두 가지 유형이 있습니다.

하드웨어 ID

하드웨어 ID는 디바이스와 드라이버 패키지 간의 정확한 일치를 제공하는 식별자입니다. 하드웨어 ID 목록의 첫 번째 문자열은 디바이스의 정확한 만들기, 모델 및 수정 버전과 일치하기 때문에 디바이스 ID라고 합니다. 목록의 다른 하드웨어 ID는 디바이스의 세부 정보와 정확히 일치하지 않습니다. 예를 들어 하드웨어 ID는 특정 수정 버전이 아닌 디바이스의 만들기 및 모델을 식별할 수 있습니다. 이 체계를 사용하면 올바른 수정 버전에 대한 드라이버를 사용할 수 없는 경우 Windows에서 디바이스의 다른 수정 버전에 드라이버를 사용할 수 있습니다.

호환되는 ID

Windows는 이러한 식별자를 사용하여 운영 체제가 디바이스 ID 또는 다른 하드웨어 ID와 일치하는 항목을 찾을 수 없는 경우 드라이버를 선택합니다. 호환되는 ID는 적합성을 줄이는 순서대로 나열됩니다. 이러한 문자열은 선택 사항이며 제공된 경우 디스크와 같은 일반 문자열입니다. 호환 ID를 사용하여 일치하는 항목이 만들어지면 일반적으로 디바이스의 가장 기본적인 기능만 사용할 수 있습니다.

프린터, USB 저장 장치 또는 키보드와 같은 디바이스를 설치할 때 Windows는 설치하려는 디바이스와 일치하는 드라이버 패키지를 검색합니다. 이 검색 중에 Windows는 하드웨어 또는 호환 ID와 하나 이상의 일치 항목으로 검색되는 각 드라이버 패키지에 "순위"를 할당합니다. 순위는 드라이버가 디바이스와 얼마나 잘 일치하는지를 나타냅니다. 순위가 낮을수록 드라이버와 디바이스 간의 일치 항목이 더 좋습니다. 0의 순위는 최상의 일치 항목을 나타냅니다. 디바이스 ID와 드라이버 패키지의 하나와 일치하면 다른 하드웨어 ID 중 하나에 대한 일치보다 낮은(더 나은) 순위가 발생합니다. 마찬가지로 하드웨어 ID와 일치하면 호환되는 ID와 일치하는 항목보다 순위가 더 낫습니다. Windows는 모든 드라이버 패키지의 순위를 지정한 후 전체 순위가 가장 낮은 패키지를 설치합니다. 드라이버 패키지의 순위를 지정하고 선택하는 프로세스에 대한 자세한 내용은 Windows에서 디바이스에 대한 드라이버 패키지를 선택하는 방법을 참조하세요.

참고

드라이버 설치 프로세스에 대한 자세한 내용은 드라이버 서명 및 스테이징에 대한 단계별 가이드의 "기술 검토" 섹션을 참조하세요.

일부 물리적 디바이스는 설치될 때 하나 이상의 논리 디바이스를 만듭니다. 각 논리 디바이스는 물리적 디바이스의 기능 일부를 처리할 수 있습니다. 예를 들어 올인원 스캐너/팩스/프린터와 같은 다기능 디바이스에는 각 함수에 대해 다른 디바이스 식별 문자열이 있을 수 있습니다.

디바이스 설치 정책을 사용하여 논리 디바이스를 사용하는 디바이스의 설치를 허용하거나 방지하는 경우 해당 디바이스에 대한 모든 디바이스 식별 문자열을 허용하거나 차단해야 합니다. 예를 들어 사용자가 다기능 디바이스를 설치하려고 시도하고 물리적 및 논리 디바이스 모두에 대한 모든 식별 문자열을 허용하거나 차단하지 않은 경우 설치 시도에서 예기치 않은 결과를 얻을 수 있습니다. 하드웨어 ID에 대한 자세한 내용은 디바이스 식별 문자열을 참조하세요.

디바이스 설정 클래스

디바이스 설정 클래스( 클래스라고도 함)는 또 다른 유형의 식별 문자열입니다. 제조업체는 드라이버 패키지의 디바이스에 클래스를 할당합니다. 클래스는 동일한 방식으로 설치 및 구성된 디바이스를 그룹화합니다. 예를 들어 모든 생체 인식 디바이스는 생체 인식 클래스(ClassGuid = {53D29EF7-377C-4D14-864B-EB3A85769359})에 속하며 설치할 때 동일한 공동 설치 관리자를 사용합니다. GUID(Globally Unique Identifier)라고 하는 긴 숫자는 각 디바이스 설정 클래스를 나타냅니다. Windows가 시작되면 검색된 모든 디바이스에 대한 GUID를 사용하여 메모리 내 트리 구조를 빌드합니다. 디바이스 자체의 클래스에 대한 GUID와 함께 Windows는 디바이스가 연결된 버스 클래스의 GUID를 트리에 삽입해야 할 수 있습니다.

디바이스 클래스를 사용하여 사용자가 드라이버를 설치할 수 있도록 허용하거나 방지하는 경우 디바이스의 모든 디바이스 설정 클래스에 GUID를 지정해야 하거나 원하는 결과를 달성하지 못할 수 있습니다. 설치가 실패하거나(성공하려면) 성공할 수 있습니다(실패하려는 경우).

예를 들어 올인원 스캐너/팩스/프린터와 같은 다기능 디바이스에는 제네릭 다기능 디바이스에 대한 GUID, 프린터 함수의 GUID, 스캐너 함수의 GUID 등이 있습니다. 개별 함수에 대한 GUID는 다기능 디바이스 GUID 아래의 "자식 노드"입니다. 자식 노드를 설치하려면 Windows에서도 부모 노드를 설치할 수 있어야 합니다. 프린터 및 스캐너 함수에 대한 자식 GUID 외에 다기능 디바이스에 대한 부모 GUID의 디바이스 설치 클래스 설치를 허용해야 합니다.

자세한 내용은 디바이스 설치 클래스를 참조하세요.

이 가이드에서는 디바이스 설정 클래스를 사용하는 시나리오를 보여 주지 않습니다. 그러나 이 가이드의 디바이스 식별 문자열을 사용하여 보여 준 기본 원칙은 디바이스 설정 클래스에도 적용됩니다. 특정 디바이스에 대한 디바이스 설정 클래스를 검색한 후 정책에서 이를 사용하여 해당 디바이스 클래스에 대한 드라이버 설치를 허용하거나 방지할 수 있습니다.

다음 두 링크는 디바이스 설정 클래스의 전체 목록을 제공합니다. '시스템 사용' 클래스는 대부분 팩터리의 컴퓨터/컴퓨터와 함께 제공되는 디바이스라고 하며, 'Vendor' 클래스는 대부분 기존 컴퓨터/컴퓨터에 연결할 수 있는 디바이스라고 합니다.

'이동식 디바이스' 디바이스 유형

일부 디바이스는 이동식 디바이스로 분류될 수 있습니다. 디바이스가 연결된 디바이스의 드라이버가 디바이스가 이동식 임을 나타내는 경우 디바이스는 이동식으로 간주됩니다. 예를 들어 USB 디바이스는 디바이스가 연결된 USB 허브에 대한 드라이버에서 이동식으로 보고됩니다.

디바이스 설치에 대한 그룹 정책 설정

그룹 정책 그룹 정책 설정 및 그룹 정책 기본 설정을 통해 사용자 및 컴퓨터에 대한 관리되는 구성을 지정할 수 있는 인프라입니다.

그룹 정책 디바이스 설치 섹션은 컴퓨터에 설치할 수 있거나 설치할 수 없는 디바이스를 제어하는 정책 집합입니다. 독립 실행형 컴퓨터 또는 Active Directory 도메인의 여러 컴퓨터에 설정을 적용하려는 경우 그룹 정책 Object 편집기 사용하여 정책 설정을 구성하고 적용합니다. 자세한 내용은 개체 편집기 그룹 정책 참조하세요.

다음 구절은 이 가이드에서 사용되는 디바이스 설치 정책에 대한 간략한 설명입니다.

참고

디바이스 설치 컨트롤은 Windows OS 디자인의 특성에 따라 사용자('사용자 구성')가 아닌 컴퓨터('컴퓨터 구성')에만 적용됩니다. 이러한 정책 설정은 정책 설정이 적용되는 컴퓨터에 로그온하는 모든 사용자에게 영향을 미칩니다. 관리자가 디바이스 설치 정책을 재정의하도록 허용 정책을 제외하고 특정 사용자 또는 그룹에 이러한 정책을 적용할 수 없습니다. 이 정책은 이 섹션에 설명된 대로 다른 정책 설정을 구성하여 컴퓨터에 적용되는 디바이스 설치 제한에서 로컬 관리자 그룹의 구성원을 제외합니다.

관리자가 디바이스 설치 제한 정책을 재정의하도록 허용

이 정책 설정을 사용하면 로컬 관리자 그룹의 구성원이 다른 정책 설정에 관계없이 모든 디바이스에 대한 드라이버를 설치하고 업데이트할 수 있습니다. 이 정책 설정을 사용하도록 설정하면 관리자가 하드웨어 추가 마법사 또는 드라이버 업데이트 마법사를 사용하여 모든 디바이스에 대한 드라이버를 설치하고 업데이트할 수 있습니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 관리자에게 디바이스 설치를 제한하는 모든 정책 설정이 적용됩니다.

이러한 디바이스 ID와 일치하는 디바이스 설치 허용

이 정책 설정은 사용자가 설치할 수 있는 디바이스를 설명하는 플러그 앤 플레이 하드웨어 ID 및 호환 ID 목록을 지정합니다. 이 설정은 다른 정책 설정 정책 설정에서 설명하지 않는 디바이스 설치 방지 설정이 사용하도록 설정되어 있고 사용자가 디바이스를 설치하지 못하게 하는 정책 설정보다 우선하지 않는 경우에만 사용됩니다. 이 정책 설정을 사용하도록 설정하면 사용자는 이러한 디바이스 ID와 일치하는 디바이스 설치 방지 정책 설정, 이러한 디바이스 클래스에 대한 디바이스 설치 방지 정책 설정에 의해 설치가 방지되지 않은 경우 이 목록의 ID와 일치하는 하드웨어 ID 또는 호환 ID로 모든 디바이스를 설치하고 업데이트할 수 있습니다. 또는 이동식 디바이스 설치 방지 정책 설정입니다. 다른 정책 설정으로 인해 사용자가 디바이스를 설치할 수 없는 경우 이 정책 설정의 값으로도 디바이스가 설명되어 있더라도 사용자가 디바이스를 설치할 수 없습니다. 이 정책 설정을 사용하지 않거나 구성하지 않고 디바이스를 설명하는 다른 정책이 없는 경우 다른 정책 설정 정책 설정에 설명되지 않은 디바이스 설치 방지 정책 설정에 따라 사용자가 디바이스를 설치할 수 있는지 여부가 결정됩니다.

이러한 디바이스 instance ID와 일치하는 디바이스 설치 허용

이 정책 설정을 사용하면 Windows에서 설치할 수 있는 디바이스에 대한 플러그 앤 플레이 디바이스 instance ID 목록을 지정할 수 있습니다. "다른 정책 설정에 설명되지 않은 디바이스 설치 방지" 정책 설정이 설정된 경우에만 이 정책 설정을 사용합니다. 디바이스 설치를 방지하는 다른 정책 설정이 이 설정보다 우선합니다. 이 정책 설정을 사용하도록 설정하면 다른 정책 설정이 해당 설치를 특별히 방지하지 않는 한 Windows에서 플러그 앤 플레이 디바이스 instance ID가 표시되는 디바이스를 설치하거나 업데이트할 수 있습니다(예: "이러한 디바이스 ID와 일치하는 디바이스 설치 방지" 정책 설정, "이러한 디바이스 클래스에 대한 디바이스 설치 방지" 정책 설정) "이러한 디바이스 instance ID와 일치하는 디바이스 설치 방지" 정책 설정 또는 "이동식 디바이스 설치 방지" 정책 설정). 원격 데스크톱 서버에서 이 정책 설정을 사용하도록 설정하면 정책 설정이 원격 데스크톱 클라이언트에서 원격 데스크톱 서버로 지정된 디바이스의 리디렉션에 영향을 줍니다.

이러한 디바이스 설정 클래스와 일치하는 드라이버를 사용하여 디바이스 설치 허용

이 정책 설정은 사용자가 설치할 수 있는 디바이스를 설명하는 디바이스 설정 클래스 GUID 목록을 지정합니다. 이 설정은 다른 정책 설정 정책 설정에서 설명하지 않는 디바이스 설치 방지 설정이 사용하도록 설정되어 있고 사용자가 디바이스를 설치하지 못하게 하는 정책 설정보다 우선하지 않는 경우에만 사용됩니다. 이 설정을 사용하도록 설정하면 사용자는 이러한 디바이스 ID와 일치하는 디바이스 설치 방지 정책 설정, 이러한 디바이스 클래스에 대한 디바이스 설치 방지 정책 설정으로 인해 설치가 방지되지 않은 경우 이 목록의 ID 중 하나와 일치하는 하드웨어 ID 또는 호환 ID로 디바이스를 설치하고 업데이트할 수 있습니다. 또는 이동식 디바이스 설치 방지 정책 설정입니다. 다른 정책 설정으로 인해 사용자가 디바이스를 설치할 수 없는 경우 이 정책 설정의 값으로도 디바이스가 설명되어 있더라도 사용자가 디바이스를 설치할 수 없습니다. 이 정책 설정을 사용하지 않거나 구성하지 않고 디바이스를 설명하는 다른 정책 설정이 없는 경우 다른 정책 설정 정책 설정에 설명되지 않은 디바이스 설치 방지 정책 설정에 따라 사용자가 디바이스를 설치할 수 있는지 여부가 결정됩니다.

이러한 디바이스 ID와 일치하는 디바이스 설치 방지

이 정책 설정은 사용자가 설치할 수 없는 디바이스에 대한 플러그 앤 플레이 하드웨어 ID 및 호환 ID 목록을 지정합니다. 이 정책 설정을 사용하도록 설정하면 하드웨어 ID 또는 호환 ID가 이 목록의 ID와 일치하는 경우 사용자는 디바이스에 대한 드라이버를 설치하거나 업데이트할 수 없습니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 사용자는 디바이스 설치에 대한 다른 정책 설정에서 허용하는 대로 디바이스를 설치하고 드라이버를 업데이트할 수 있습니다. 참고: 이 정책 설정은 사용자가 디바이스를 설치할 수 있도록 허용하는 다른 정책 설정보다 우선합니다. 이 정책 설정은 해당 디바이스의 설치를 허용하는 다른 정책 설정과 일치하는 경우에도 사용자가 디바이스를 설치할 수 없도록 합니다.

이러한 디바이스 instance ID와 일치하는 디바이스 설치 방지

이 정책 설정을 사용하면 Windows에서 설치할 수 없는 디바이스에 대한 플러그 앤 플레이 디바이스 instance ID 목록을 지정할 수 있습니다. 이 정책 설정은 Windows에서 디바이스를 설치할 수 있는 다른 정책 설정보다 우선합니다. 이 정책 설정을 사용하도록 설정하면 Windows에서 만든 목록에 디바이스 instance ID가 표시되는 디바이스를 설치할 수 없습니다. 원격 데스크톱 서버에서 이 정책 설정을 사용하도록 설정하면 정책 설정이 원격 데스크톱 클라이언트에서 원격 데스크톱 서버로 지정된 디바이스의 리디렉션에 영향을 줍니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 디바이스를 설치하고 다른 정책 설정에 의해 허용되거나 차단된 대로 업데이트할 수 있습니다.

이러한 디바이스 설정 클래스와 일치하는 드라이버를 사용하여 디바이스 설치 방지

이 정책 설정은 사용자가 설치할 수 없는 디바이스에 대한 플러그 앤 플레이 디바이스 설정 클래스 GUID 목록을 지정합니다. 이 정책 설정을 사용하도록 설정하면 사용자는 나열된 디바이스 설정 클래스에 속하는 디바이스를 설치하거나 업데이트할 수 없습니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 사용자는 디바이스 설치에 대한 다른 정책 설정에서 허용하는 대로 디바이스를 설치하고 업데이트할 수 있습니다. 참고: 이 정책 설정은 사용자가 디바이스를 설치할 수 있도록 허용하는 다른 정책 설정보다 우선합니다. 이 정책 설정은 해당 디바이스의 설치를 허용하는 다른 정책 설정과 일치하더라도 사용자가 디바이스를 설치할 수 없도록 합니다.

모든 디바이스 일치 기준에서 디바이스 설치 허용 및 방지 정책에 대해 계층화된 평가 순서 적용

이 정책 설정은 지정된 디바이스에 둘 이상의 설치 정책 설정을 적용할 수 있는 경우 허용 및 방지 정책 설정이 적용되는 평가 순서를 변경합니다. 이 정책 설정을 사용하도록 설정하여 보다 구체적인 일치 조건이 덜 구체적인 일치 조건을 대체하는 설정된 계층 구조에 따라 겹치는 디바이스 일치 조건이 적용되도록 합니다. 디바이스 일치 조건을 지정하는 정책 설정에 대한 계층적 평가 순서는 다음과 같습니다.

디바이스 instance ID>디바이스 ID>디바이스 설정 클래스>이동식 디바이스

참고

이 정책 설정은 "다른 정책 설정에 설명되지 않은 디바이스 설치 방지" 정책 설정보다 더 세부적인 제어를 제공합니다. 이러한 충돌하는 정책 설정을 동시에 사용하도록 설정하면 "모든 디바이스 일치 기준에서 디바이스 설치 허용 및 방지 정책에 대해 계층화된 평가 순서 적용" 정책 설정이 사용하도록 설정되고 다른 정책 설정은 무시됩니다.

이 정책 설정을 사용하지 않거나 구성하지 않으면 기본 평가가 사용됩니다. 기본적으로 모든 "설치 방지..." 정책 설정은 Windows에서 디바이스를 설치할 수 있는 다른 정책 설정보다 우선합니다.

이러한 정책 중 일부는 다른 정책보다 우선합니다. 다음 순서도는 Windows에서 이를 처리하여 사용자가 디바이스를 설치할 수 있는지 여부를 결정하는 방법을 보여 줍니다.

디바이스 설치 정책 흐름 차트.
디바이스 설치 정책 흐름 차트

시나리오를 완료하기 위한 요구 사항

일반

각 시나리오를 완료하려면 다음이 있는지 확인합니다.

  • Windows를 실행하는 클라이언트 컴퓨터입니다.
  • USB 썸 드라이브. 이 가이드에 설명된 시나리오에서는 USB 썸 드라이브를 예제 디바이스("이동식 디스크 드라이브", "메모리 드라이브", "플래시 드라이브" 또는 "키링 드라이브"라고도 함)로 사용합니다. 대부분의 USB 썸 드라이브에는 제조업체에서 제공하는 드라이버가 필요하지 않으며, 이러한 디바이스는 Windows 빌드와 함께 제공되는 받은 편지함 드라이버에서 작동합니다.
  • 컴퓨터에 미리 설치된 USB/네트워크 프린터입니다.
  • 테스트 컴퓨터에서 관리자 계정에 액세스합니다. 이 가이드의 절차에서는 대부분의 단계에 대한 관리자 권한이 필요합니다.

'방지' 정책 소급 적용의 의미 이해

모든 '방지' 정책은 정책이 적용되기 전에 컴퓨터에 설치된 이미 설치된 디바이스 디바이스에 블록 기능을 적용할 수 있습니다. 관리자가 컴퓨터의 디바이스 설치 기록을 잘 모르고 정책이 모든 디바이스에 적용되는지 확인하려는 경우 이 옵션을 사용하는 것이 좋습니다.

예를 들어 프린터가 컴퓨터에 이미 설치되어 있으므로 모든 프린터를 설치하지 않으면 설치된 프린터만 사용 가능한 상태로 유지하면서 향후 프린터 설치가 차단됩니다. 블록을 소급 적용하려면 관리자가 "이미 설치된 디바이스에 이 정책 적용" 옵션을 검사 표시해야 합니다. 이 옵션을 표시하면 향후 디바이스 외에도 이미 설치된 디바이스에 액세스할 수 없습니다.

이 옵션은 강력한 도구이지만 신중하게 사용해야 합니다.

중요

중요한 디바이스에 '소급 방지' 옵션을 적용하면 컴퓨터가 쓸모없고 용납될 수 없게 될 수 있습니다. 예: 모든 '디스크 드라이브'를 소급하지 않으면 OS가 부팅되는 디스크에 대한 액세스를 차단할 수 있습니다. 모든 'Net'을 소급하지 않으면 이 컴퓨터가 네트워크에 액세스하지 못하도록 차단하고 관리자가 직접 연결해야 하는 문제를 해결할 수 있습니다.

디바이스 식별 문자열 확인

다음 단계에 따라 디바이스에 대한 디바이스 식별 문자열을 확인할 수 있습니다. 디바이스의 하드웨어 ID 및 호환 ID가 이 가이드에 표시된 ID와 일치하지 않는 경우 디바이스에 적합한 ID를 사용합니다(이 정책은 인스턴스 ID 및 클래스에 적용되지만 이 가이드에서는 예제를 제공하지 않습니다).

두 가지 방법으로 디바이스에 대한 하드웨어 ID 및 호환 ID를 확인할 수 있습니다. 운영 체제에 포함된 그래픽 도구인 장치 관리자 또는 모든 Windows 버전에 사용할 수 있는 명령줄 도구인 PnPUtil을 사용할 수 있습니다. 다음 절차를 사용하여 디바이스에 대한 디바이스 식별 문자열을 확인합니다.

참고

이러한 절차는 Canon 프린터와 관련이 있습니다. 다른 유형의 디바이스를 사용하는 경우 그에 따라 단계를 조정해야 합니다. 중요한 차이점은 장치 관리자 계층 구조에서 디바이스의 위치입니다. 프린터 노드에 있는 대신 적절한 노드에서 디바이스를 찾아야 합니다.

장치 관리자 사용하여 디바이스 식별 문자열을 찾으려면

  1. 프린터가 연결되어 있고 설치되어 있는지 확인합니다.

  2. 장치 관리자 열려면 시작 단추를 선택하고 검색 시작 상자에 mmc devmgmt.msc를 입력한 다음 Enter 키를 누르거나 애플리케이션으로 장치 관리자 검색합니다.

  3. 장치 관리자 시작되고 컴퓨터에서 검색된 모든 디바이스를 나타내는 트리를 표시합니다. 트리 맨 위에는 컴퓨터 이름이 옆에 있는 노드가 있습니다. 하위 노드는 컴퓨터 디바이스가 그룹화되는 다양한 하드웨어 범주를 나타냅니다.

  4. "프린터" 섹션을 찾아 대상 프린터를 찾습니다.

    장치 관리자 프린터를 선택합니다.
    장치 관리자 프린터 선택

  5. 프린터를 두 번 클릭하고 '세부 정보' 탭으로 이동합니다.

    '세부 정보' 탭.
    '세부 정보' 탭을 열어 디바이스 식별자를 찾습니다.

  6. '값' 창에서 가장 자세한 하드웨어 ID를 복사합니다. 정책에서 이 값을 사용합니다.

    HWID.

    호환되는 ID입니다.
    HWID 및 호환 ID

    PnPUtil 명령줄 유틸리티를 사용하여 디바이스 식별 문자열을 확인할 수도 있습니다. 자세한 내용은 PnPUtil - Windows 드라이버를 참조하세요.

PnPUtil을 사용하여 디바이스 식별자 가져오기

pnputil /enum-devices /ids

컴퓨터의 단일 디바이스에 대한 출력의 예는 다음과 같습니다.

<snip>
Instance ID:                PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02\3&103a9d54&0&81
Device Description:         Intel(R) Xeon(R) E7 v3/Xeon(R) E5 v3/Core i7 PCIe Ring Interface - 2F34
Class Name:                 System
Class GUID:                 {4d36e97d-e325-11ce-bfc1-08002be10318}
Manufacturer Name:          INTEL
Status:                     Stopped
Driver Name:                oem6.inf
Hardware IDs:               PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02
                            PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086
                            PCI\VEN_8086&DEV_2F34&CC_110100
                            PCI\VEN_8086&DEV_2F34&CC_1101
Compatible IDs:             PCI\VEN_8086&DEV_2F34&REV_02
                            PCI\VEN_8086&DEV_2F34
                            PCI\VEN_8086&CC_110100
                            PCI\VEN_8086&CC_1101
                            PCI\VEN_8086
                            PCI\CC_110100
                            PCI\CC_1101
<snip>

시나리오 #1: 모든 프린터 설치 방지

이 간단한 시나리오에서는 전체 디바이스 클래스의 설치를 방지하는 방법을 알아봅니다.

환경 설정

다음 단계를 사용하여 시나리오에 대한 환경 설정:

  1. 그룹 정책 편집기 열고 디바이스 설치 제한 섹션으로 이동합니다.

  2. '계층화된 평가 순서 적용'을 제외하고 이전의 모든 디바이스 설치 정책을 사용하지 않도록 설정합니다. 정책이 기본적으로 사용하지 않도록 설정되어 있지만 이 정책은 가장 실용적인 애플리케이션에서 사용하도록 설정하는 것이 좋습니다.

  3. 사용하도록 설정된 정책이 있는 경우 해당 상태 '사용 안 함'으로 변경하면 모든 매개 변수에서 해당 정책이 지워집니다.

  4. 를 사용하여 정책을 테스트할 수 있는 USB/네트워크 프린터가 있어야 합니다.

시나리오 단계 - 금지된 디바이스 설치 방지

설치되지 않도록 올바른 디바이스 식별자를 가져옵니다.

  1. 시스템에 차단하려는 클래스의 디바이스가 있는 경우 이전 섹션의 단계에 따라 장치 관리자 또는 PnPUtil(클래스 GUID)을 통해 디바이스 클래스 식별자를 찾을 수 있습니다.

  2. 시스템에 이러한 디바이스가 설치되어 있지 않거나 클래스 이름을 알고 있는 경우 다음 두 링크를 검사 수 있습니다.

  3. 현재 시나리오에서는 모든 프린터가 설치되지 않도록 하는 데 중점을 두고 있습니다. 예를 들어 시장 내 대부분의 프린터에 대한 클래스 GUID는 다음과 같습니다.

    Printers
    클래스 = 프린터
    ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
    이 클래스에는 프린터가 포함됩니다.

    참고

    앞에서 설명한 것처럼 전체 클래스를 방지하면 시스템 사용을 완전히 차단할 수 있습니다. 클래스를 지정할 때 차단될 디바이스를 이해해야 합니다. 이 시나리오에서는 프린터와 관련된 다른 클래스가 있지만 적용하기 전에 시스템에 중요한 다른 기존 디바이스를 차단하지 않는지 확인합니다.

모든 프린터가 설치되지 않도록 하는 정책 만들기:

  1. 그룹 정책 개체 편집기 시작 단추를 클릭하고 검색 시작 상자에 mmc gpedit.msc를 입력한 다음 Enter 키를 누르거나 Windows 검색 "그룹 정책 편집기"을 입력하고 UI를 엽니다.

  2. 디바이스 설치 제한 페이지로 이동합니다.

    컴퓨터 구성 > 관리 템플릿 > 시스템 > 디바이스 설치 > 디바이스 설치 제한 사항

  3. 모든 정책이 사용하지 않도록 설정되어 있는지 확인합니다('적용된 계층화된 평가 순서' 정책을 사용하도록 설정하는 것이 좋습니다).

  4. 이러한 디바이스 설정 클래스 정책과 일치하는 드라이버를 사용하여 디바이스 설치 방지를 열고 '사용' 라디오 단추를 선택합니다.

  5. 왼쪽 아래의 '옵션' 창에서 '표시...'를 클릭합니다. 상자. 이 옵션을 사용하면 차단할 클래스 식별자를 입력할 수 있는 테이블로 이동합니다.

  6. 중괄호를 사용하여 찾은 프린터 클래스 GUID를 입력합니다. {4d36e979-e325-11ce-bfc1-08002be10318}

    클래스 GUID 방지 목록
    클래스 GUID 방지 목록

  7. '확인'을 클릭합니다.

  8. 정책 창의 오른쪽 아래에서 '적용'을 클릭합니다. 이 옵션은 정책을 푸시하고 이후의 모든 프린터 설치를 차단하지만 기존 설치에는 적용되지 않습니다.

  9. 선택 사항- 기존 설치에 정책을 적용하려는 경우: 이러한 디바이스 설정 클래스 정책과 일치하는 드라이버를 사용하여 디바이스 설치 방지 정책을 다시 엽니다. '옵션' 창에 '이미 설치된 일치하는 디바이스에도 적용됨'이 표시된 확인란이 표시됩니다.

중요

방지 정책(예: 위의 시나리오 #1에서 사용한 정책)을 사용하고 이전에 설치된 모든 디바이스에 적용(9단계 참조)를 사용하면 중요한 디바이스를 사용할 수 없게 만들 수 있습니다. 따라서 주의해서 사용합니다. 예를 들어 IT 관리자가 모든 이동식 스토리지 디바이스가 컴퓨터에 설치되지 않도록 하려는 경우 '디스크 드라이브' 클래스를 사용하여 차단하고 소급 적용하면 내부 하드 드라이브를 사용할 수 없게 되고 컴퓨터를 중단시킬 수 있습니다.

테스트 시나리오 1

  1. 9단계를 완료하지 않은 경우 다음 단계를 수행합니다.

    1. 프린터 제거: 프린터를 장치 관리자 > Canon 프린터 >> 에서 "장치 제거"를 마우스 오른쪽 단추로 클릭합니다.
    2. USB 프린터의 경우 케이블을 분리하고 다시 연결합니다. 네트워크 디바이스의 경우 Windows 설정 앱에서 프린터를 검색합니다.
    3. 프린터를 다시 설치할 수 없습니다.
  2. 위의 9단계를 완료하고 컴퓨터를 다시 시작한 경우 장치 관리자 또는 Windows 설정 앱에서 프린터를 찾아 더 이상 사용할 수 없는지 확인합니다.

시나리오 #2: 특정 프린터 설치 방지

이 시나리오는 시나리오 #1, 모든 프린터 설치 방지를 기반으로 합니다. 이 시나리오에서는 컴퓨터에 설치되지 않도록 특정 프린터를 대상으로 지정합니다.

환경 설정

다음 단계를 사용하여 시나리오에 대한 환경 설정:

  1. 그룹 정책 편집기 열고 디바이스 설치 제한 섹션으로 이동합니다.

  2. '계층화된 평가 순서 적용'을 제외한 모든 이전 디바이스 설치 정책을 사용하지 않도록 설정했는지 확인합니다(이 필수 구성 요소는 이 시나리오를 켜기/끄기 위한 선택 사항임). 정책은 기본적으로 사용하지 않도록 설정되어 있지만 가장 실용적인 애플리케이션에서 사용하도록 설정하는 것이 좋습니다. 시나리오 #2의 경우 선택 사항입니다.

시나리오 단계 - 특정 디바이스 설치 방지

설치되지 않도록 올바른 디바이스 식별자를 가져옵니다.

  1. 프린터의 하드웨어 ID를 가져옵니다. 이 예제에서는 이전에 찾은 식별자를 사용합니다.

    프린터 하드웨어 ID 식별자입니다.
    프린터 하드웨어 ID

  2. 디바이스 ID(이 경우 하드웨어 ID): WSDPRINT\CanonMX920_seriesC1A0;를 적어 씁니다. 보다 구체적인 식별자를 사용하여 프린터 제품군이 아닌 특정 프린터를 차단해야 합니다.

단일 프린터가 설치되지 않도록 하는 정책 만들기:

  1. 그룹 정책 개체 편집기 엽니다.

  2. 디바이스 설치 제한 페이지로 이동합니다.

    컴퓨터 구성 > 관리 템플릿 > 시스템 > 디바이스 설치 > 디바이스 설치 제한 사항

  3. 이러한 디바이스 ID 정책과 일치하는 디바이스 설치 방지를 열고 '사용' 라디오 단추를 선택합니다.

  4. 왼쪽 아래의 '옵션' 창에서 '표시...'를 클릭합니다. 상자. 이 옵션을 사용하면 차단할 디바이스 식별자를 입력할 수 있는 테이블로 연결됩니다.

  5. 위에서 찾은 프린터 장치 ID를 입력합니다 WSDPRINT\CanonMX920_seriesC1A0.

    디바이스 ID 목록을 방지합니다.
    디바이스 ID 목록 방지

  6. '확인'을 클릭합니다.

  7. 정책 창의 오른쪽 아래에서 '적용'을 클릭합니다. 이 옵션은 정책을 푸시하고 향후 설치 시 대상 프린터를 차단하지만 기존 설치에는 적용되지 않습니다.

  8. 필요에 따라 기존 설치에 정책을 적용하려면 이러한 디바이스 ID 정책과 일치하는 디바이스 설치 방지 정책을 다시 엽니다. '옵션' 창에서 '이미 설치된 일치하는 디바이스에도 적용됨'이 표시된 확인란을 표시합니다.

테스트 시나리오 2

위의 8단계를 완료하고 컴퓨터를 다시 시작한 경우 장치 관리자 또는 Windows 설정 앱에서 프린터를 찾아 더 이상 사용할 수 없는지 확인합니다.

8단계를 완료하지 않은 경우 다음 단계를 수행합니다.

  1. 프린터 제거: 프린터를 장치 관리자 > Canon 프린터 >> 에서 "장치 제거"를 마우스 오른쪽 단추로 클릭합니다.

  2. USB 프린터의 경우 케이블을 분리하고 다시 연결합니다. 네트워크 디바이스의 경우 Windows 설정 앱에서 프린터를 검색합니다.

  3. 프린터를 다시 설치할 수 없습니다.

시나리오 #3: 특정 프린터 설치를 허용하면서 모든 프린터 설치 방지

이제 두 이전 시나리오의 지식을 사용하여 단일 프린터를 설치하도록 허용하면서 전체 디바이스 클래스의 설치를 방지하는 방법을 알아봅니다.

환경 설정

다음 단계를 사용하여 시나리오에 대한 환경 설정:

  1. 그룹 정책 편집기 열고 디바이스 설치 제한 섹션으로 이동합니다.

  2. 이전의 모든 디바이스 설치 정책을 사용하지 않도록 설정하고 '계층화된 평가 순서 적용'을 사용하도록 설정합니다.

  3. 사용하도록 설정된 정책이 있는 경우 해당 상태 '사용 안 함'으로 변경하면 모든 매개 변수에서 해당 정책이 지워집니다.

  4. 정책을 테스트할 수 있는 USB/네트워크 프린터가 있어야 합니다.

시나리오 단계 - 특정 프린터를 허용하면서 전체 클래스 설치 방지

프린터 클래스와 특정 프린터 모두에 대한 디바이스 식별자 가져오기 시나리오 #1의 단계에 따라 클래스 식별자 및 시나리오 #2를 찾아 이 시나리오에 필요한 식별자를 가져올 수 있는 디바이스 식별자를 찾습니다.

  • ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
  • 하드웨어 ID = WSDPRINT\CanonMX920_seriesC1A0

먼저 '클래스 방지' 정책을 만든 다음 , '디바이스 허용' 정책을 만듭니다.

  1. 그룹 정책 개체 편집기 시작 단추를 클릭하고 검색 시작 상자에 mmc gpedit.msc를 입력한 다음 Enter 키를 누르거나 Windows 검색 "그룹 정책 편집기"을 입력하고 UI를 엽니다.

  2. 디바이스 설치 제한 페이지로 이동합니다.

    컴퓨터 구성 > 관리 템플릿 > 시스템 > 디바이스 설치 > 디바이스 설치 제한 사항

  3. 모든 정책이 사용하지 않도록 설정되어 있는지 확인합니다.

  4. 이러한 디바이스 설정 클래스 정책과 일치하는 드라이버를 사용하여 디바이스 설치 방지를 열고 '사용' 라디오 단추를 선택합니다.

  5. 왼쪽 아래의 '옵션' 창에서 '표시...'를 클릭합니다. 상자. 이 옵션을 사용하면 차단할 클래스 식별자를 입력할 수 있는 테이블로 연결됩니다.

  6. 중괄호를 사용하여 위에서 찾은 프린터 클래스 GUID를 입력합니다(이 값은 중요합니다.) 그렇지 않으면 작동하지 않습니다. {4d36e979-e325-11ce-bfc1-08002be10318}

    클래스 ID 방지 목록
    클래스 GUID 방지 목록

  7. '확인'을 클릭합니다.

  8. 정책 창의 오른쪽 아래에서 '적용'을 클릭합니다. 이 옵션은 정책을 푸시하고 이후의 모든 프린터 설치를 차단하지만 기존 설치에는 적용되지 않습니다.

  9. 향후 모든 프린터 및 기존 프린터의 적용 범위를 완료하려면 이러한 디바이스 설정 클래스 정책과 일치하는 드라이버를 사용하여 디바이스 설치 방지 정책을 다시 엽니다. '옵션' 창에서 '이미 설치된 일치하는 디바이스에도 적용'이 표시된 확인란을 표시하고 '확인'을 클릭합니다.

  10. 모든 디바이스 일치 조건 정책에서 디바이스 설치 허용 및 방지 정책에 대한 계층화된 평가 순서 적용 정책을 열고 사용하도록 설정하면 특정 디바이스로 '방지' 정책의 광범위한 적용 범위를 재정의할 수 있습니다.

    디바이스 설치 제한 아래의 정책 및 이 단계에서 명명된 정책을 보여 주는 로컬 그룹 정책 편집기 스크린샷

    이 단계에서 명명된 정책의 현재 설정을 보여 주는 이미지,
    계층화된 평가 정책 순서 적용

  11. 이제 이러한 디바이스 ID 정책과 일치하는 디바이스 설치 허용을 열고 '사용' 라디오 단추를 선택합니다.

  12. 왼쪽 아래의 '옵션' 창에서 '표시...'를 클릭합니다. 상자. 이 옵션을 사용하면 허용할 디바이스 식별자를 입력할 수 있는 테이블로 연결됩니다.

  13. 위에서 찾은 프린터 장치 ID WSDPRINT\CanonMX920_seriesC1A0 입력합니다.

    프린터 하드웨어 ID를 허용합니다.
    프린터 하드웨어 ID 허용

  14. '확인'을 클릭합니다.

  15. 정책 창의 오른쪽 아래에서 '적용'을 클릭합니다. 이 옵션은 정책을 푸시하고 대상 프린터를 설치(또는 계속 설치)할 수 있도록 합니다.

테스트 시나리오 3

  1. 장치 관리자 또는 Windows 설정 앱에서 프린터를 찾고 여전히 있고 액세스할 수 있는지 확인합니다. 또는 테스트 문서를 인쇄하기만 하면됩니다.

  2. 그룹 정책 편집기 돌아가기 모든 디바이스 일치 조건 정책에서 디바이스 설치 허용 및 방지 정책에 대해 계층화된 평가 순서 적용을 사용하지 않도록 설정하고 프린터를 다시 테스트합니다. 프린터를 인쇄하거나 프린터에 전혀 액세스할 수 없어야 합니다.

시나리오 #4: 특정 USB 디바이스 설치 방지

이 시나리오는 시나리오 #2, 특정 프린터 설치 방지의 지식을 기반으로 합니다. 이 시나리오에서는 일부 디바이스가 PnP(플러그 앤 플레이) 디바이스 트리에 기본 제공되는 방식을 이해하게 됩니다.

환경 설정

다음 단계를 사용하여 시나리오에 대한 환경 설정:

  1. 그룹 정책 편집기 열고 디바이스 설치 제한 섹션으로 이동합니다.

  2. '계층화된 평가 순서 적용'을 제외한 모든 이전 디바이스 설치 정책을 사용하지 않도록 설정했는지 확인합니다. 이 필수 구성 요소는 이 시나리오를 켜기/끄기 위한 선택 사항입니다. 정책은 기본적으로 사용하지 않도록 설정되어 있지만 가장 실용적인 애플리케이션에서 사용하도록 설정하는 것이 좋습니다.

시나리오 단계 - 특정 디바이스 설치 방지

설치되지 않도록 올바른 디바이스 식별자를 가져오고 PnP 트리에서 해당 위치를 가져옵니다.

  1. USB 썸 드라이브를 컴퓨터에 연결

  2. 장치 관리자 열기

  3. USB 썸 드라이브를 찾아 선택합니다.

    장치 관리자 usb 썸 드라이브 선택
    장치 관리자 usb 썸 드라이브 선택

  4. 보기(위쪽 메뉴)를 '연결별 디바이스'로 변경합니다. 이 보기는 PnP 트리에 디바이스를 설치하는 방법을 나타냅니다.

    장치 관리자 보기를 변경하여 PnP 연결 트리를 확인합니다.
    PnP 연결 트리를 보려면 장치 관리자 보기 변경

    참고

    차단\PnP 트리에서 더 높은 위치에 있는 디바이스를 차단하면 그 아래에 있는 모든 디바이스가 차단됩니다. 예를 들어 "일반 USB 허브"가 설치되지 않도록 하려면 "일반 USB 허브" 아래에 있는 모든 디바이스가 차단됩니다.

    루트에서 중첩된 디바이스 차단
    하나의 디바이스를 차단할 때 아래에 중첩된 모든 디바이스도 차단됩니다.

  5. USB 썸 드라이브를 두 번 클릭하고 '세부 정보' 탭으로 이동합니다.

  6. '값' 창에서 가장 자세한 하드웨어 ID를 복사합니다. 정책에서 이 값을 사용합니다. 이 경우 디바이스 ID = USBSTOR\DiskGeneric_Flash_Disk______8.07

    USB 디바이스 하드웨어 ID.
    USB 디바이스 하드웨어 ID

단일 USB 썸 드라이브가 설치되지 않도록 하는 정책 만들기:

  1. 그룹 정책 개체 편집기 열고 시작 단추를 클릭하고 검색 시작 상자에 mmc gpedit.msc를 입력한 다음 Enter 키를 누르거나 Windows 검색 "그룹 정책 편집기"을 입력하고 UI를 엽니다.

  2. 디바이스 설치 제한 페이지로 이동합니다.

    컴퓨터 구성 > 관리 템플릿 > 시스템 > 디바이스 설치 > 디바이스 설치 제한 사항

  3. 이러한 디바이스 ID 정책과 일치하는 디바이스 설치 방지를 열고 '사용' 라디오 단추를 선택합니다.

  4. 왼쪽 아래의 '옵션' 창에서 '표시' 상자를 클릭합니다. 이 옵션을 사용하면 차단할 디바이스 식별자를 입력할 수 있는 테이블로 연결됩니다.

  5. 위에서 찾은 USB 썸 드라이브 디바이스 ID를USBSTOR\DiskGeneric_Flash_Disk______8.07 입력합니다.

    디바이스 ID 목록을 방지합니다.
    디바이스 ID 목록 방지

  6. '확인'을 클릭합니다.

  7. 정책 창의 오른쪽 아래에서 '적용'을 클릭합니다. 이 옵션은 정책을 푸시하고 향후 설치에서 대상 USB 썸 드라이브를 차단하지만 기존 설치에는 적용되지 않습니다.

  8. 선택 사항 - 기존 설치에 정책을 적용하려면 이러한 디바이스 ID 정책과 일치하는 디바이스 설치 방지 정책을 다시 엽니다. '옵션' 창에서 '이미 설치된 일치하는 디바이스에도 적용됨'이 표시된 확인란을 표시합니다.

테스트 시나리오 4

  1. 8단계를 완료하지 않은 경우 다음 단계를 수행합니다.

    • USB 썸 드라이브 제거: 장치 관리자 > 디스크 드라이브 > 가 대상 USB 썸 드라이브 > 클릭 "장치 제거"를 마우스 오른쪽 단추로 클릭합니다.
    • 디바이스를 다시 설치할 수 없습니다.
  2. 위의 8단계를 완료하고 컴퓨터를 다시 시작한 경우 장치 관리자 디스크 드라이브를 찾아 더 이상 사용할 수 없는지 확인합니다.

시나리오 #5: 권한 있는 USB 썸 드라이브만 설치하도록 허용하면서 모든 USB 디바이스 설치 방지

이제 이전의 네 가지 시나리오 모두에 대한 지식을 사용하여 권한 있는 단일 USB 썸 드라이브를 설치하도록 허용하면서 전체 디바이스 클래스의 설치를 방지하는 방법을 알아봅니다.

환경 설정

다음 단계를 사용하여 시나리오에 대한 환경 설정:

  1. 그룹 정책 편집기 열고 디바이스 설치 제한 섹션으로 이동합니다.

  2. 이전의 모든 디바이스 설치 정책을 사용하지 않도록 설정하고 '계층화된 평가 순서 적용'을 사용하도록 설정합니다 .

  3. 사용하도록 설정된 정책이 있는 경우 해당 상태 '사용 안 함'으로 변경하면 모든 매개 변수에서 해당 정책이 지워집니다.

  4. 정책을 테스트할 수 있는 USB 썸 드라이브가 있어야 합니다.

시나리오 단계 - 권한 있는 USB 썸 드라이브만 허용하면서 모든 USB 디바이스 설치 방지

USB 클래스와 특정 USB 썸 드라이브 모두에 대한 디바이스 식별자를 가져오고 시나리오 #1의 단계에 따라 클래스 식별자 및 시나리오 #4를 찾아 이 시나리오에 필요한 식별자를 가져올 수 있습니다.

  • USB 버스 디바이스(허브 및 호스트 컨트롤러)

    • 클래스 = USB
    • ClassGuid = {36fc9e60-c465-11cf-8056-444553540000}
    • 이 클래스에는 USB 호스트 컨트롤러와 USB 허브가 포함되지만 USB 주변 장치는 포함되지 않습니다. 이 클래스의 드라이버는 시스템이 제공합니다.
  • USB 디바이스

    • 클래스 = USBDevice
    • ClassGuid = {88BAE032-5A81-49f0-BC3D-A4FF138216D6}
    • USBDevice에는 다른 클래스에 속하지 않는 모든 USB 디바이스가 포함됩니다. 이 클래스는 USB 호스트 컨트롤러 및 허브에 사용되지 않습니다.
  • 하드웨어 ID = USBSTOR\DiskGeneric_Flash_Disk______8.07

시나리오 #4에서 설명한 것처럼 단일 USB 썸 드라이브를 사용하도록 설정하기 위해 단일 하드웨어 ID만 사용하도록 설정하는 것만으로는 충분하지 않습니다. IT 관리자는 대상 이전의 모든 USB 디바이스도 차단(허용)되지 않도록 해야 합니다. 이 경우 대상 USB 썸 드라이브도 허용될 수 있도록 다음 디바이스를 허용해야 합니다.

  • "Intel(R) USB 3.0 eXtensible Host Controller - 1.0(Microsoft)" -> PCI\CC_0C03
  • "USB 루트 허브(USB 3.0)" -> USB\ROOT_HUB30
  • "일반 USB 허브" -> USB\USB20_HUB

PnP 트리에 중첩된 USB 디바이스.
PnP 트리에서 서로 중첩된 USB 디바이스

이러한 디바이스는 외부 세계에 대한 USB 포트 연결을 정의하는 컴퓨터의 내부 디바이스입니다. 사용하도록 설정해도 외부/주변 장치가 컴퓨터에 설치되지 않도록 설정해서는 안 됩니다.

중요

시스템의 일부 디바이스에는 시스템에 설치를 정의하는 여러 계층의 연결이 있습니다. USB 썸 드라이브는 이러한 장치입니다. 따라서 시스템에서 차단하거나 허용하려는 경우 각 디바이스에 대한 연결 경로를 이해하는 것이 중요합니다. 시스템에서 일반적으로 사용되며 이러한 경우 '허용 목록'을 빌드하기 위한 좋은 시작을 제공할 수 있는 몇 가지 일반적인 디바이스 ID가 있습니다. 목록은 아래를 참조하세요.

PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST(호스트 컨트롤러용)/ USB\ROOT_HUB30; USB\ROOT_HUB20(USB 루트 허브용)/ USB\USB20_HUB(일반 USB 허브의 경우) /

특히 데스크톱 컴퓨터의 경우 위의 목록에서 키보드와 마우스가 연결된 모든 USB 디바이스를 나열하는 것이 매우 중요합니다. 이렇게 하지 않으면 사용자가 HID 디바이스를 통해 컴퓨터에 액세스하는 것을 차단할 수 있습니다.

다른 PC 제조업체는 때때로 PnP 트리에 USB 장치를 중첩하는 다른 방법이 있지만 일반적으로 이것이 수행되는 방식입니다.

먼저 '클래스 방지' 정책을 만든 다음 , '디바이스 허용' 정책을 만듭니다.

  1. 그룹 정책 개체 편집기 열기: 시작 단추를 클릭하고 검색 시작 상자에 mmc gpedit.msc를 입력한 다음 Enter 키를 누르거나 Windows 검색 "그룹 정책 편집기"을 입력하고 UI를 엽니다.

  2. 디바이스 설치 제한 페이지로 이동합니다.

    컴퓨터 구성 > 관리 템플릿 > 시스템 > 디바이스 설치 > 디바이스 설치 제한 사항

  3. 모든 정책이 사용하지 않도록 설정되어 있는지 확인합니다.

  4. 이러한 디바이스 설정 클래스 정책과 일치하는 드라이버를 사용하여 디바이스 설치 방지를 열고 '사용' 라디오 단추를 선택합니다.

  5. 왼쪽 아래의 '옵션' 창에서 '표시...'를 클릭합니다. 상자. 이 옵션을 사용하면 차단할 클래스 식별자를 입력할 수 있는 테이블로 연결됩니다.

  6. 중괄호를 사용하여 위에서 찾은 두 USB 클래스 GUID를 입력합니다.

    {36fc9e60-c465-11cf-8056-444553540000}/ {88BAE032-5A81-49f0-BC3D-A4FF138216D6}

  7. '확인'을 클릭합니다.

  8. 정책 창의 오른쪽 아래에서 '적용'을 클릭합니다. 이 옵션은 정책을 푸시하고 향후 모든 USB 디바이스 설치를 차단하지만 기존 설치에는 적용되지 않습니다.

    중요

    이전 단계에서는 향후 모든 USB 디바이스가 설치되지 않도록 방지합니다. 다음 단계로 이동하기 전에 키보드 및 마우스를 통해 시스템과 상호 작용하는 것을 방지하기 위해 가능한 한 모든 USB 호스트 컨트롤러, USB 루트 허브 및 일반 USB 허브 디바이스 ID의 전체 목록이 있는지 확인합니다.

  9. 모든 디바이스 일치 조건 정책에서 디바이스 설치 허용 및 방지 정책에 대해 계층화된 평가 순서 적용을 열고 사용하도록 설정합니다. 이 정책을 사용하면 특정 디바이스를 사용하여 '방지' 정책의 광범위한 범위를 재정의할 수 있습니다.

    계층화된 평가 정책 순서를 적용합니다.
    계층화된 평가 정책 순서 적용

  10. 이제 이러한 디바이스 ID 정책과 일치하는 디바이스 설치 허용을 열고 '사용' 라디오 단추를 선택합니다.

  11. 왼쪽 아래의 '옵션' 창에서 '표시...'를 클릭합니다. 상자. 이 옵션을 사용하면 허용할 디바이스 식별자를 입력할 수 있는 테이블로 연결됩니다.

  12. 설치USBSTOR\DiskGeneric_Flash_Disk______8.07 권한을 부여하려는 특정 USB Thumb-drive를 포함하여 위에서 찾은 USB 장치 ID의 전체 목록을 입력합니다.


    허용되는 USB 디바이스 ID 목록

  13. '확인'을 클릭합니다.

  14. 정책 창의 오른쪽 아래에서 '적용'을 클릭합니다.

  15. 현재 설치된 모든 USB 디바이스의 '방지' 적용 범위를 적용하려면 이러한 디바이스 설정 클래스 정책과 일치하는 드라이버를 사용하여 디바이스 설치 방지 정책을 다시 엽니다. '옵션' 창에서 '이미 설치된 일치하는 디바이스에도 적용'이 표시된 확인란을 표시하고 '확인'을 클릭합니다.

테스트 시나리오 5

사용 권한을 부여한 USB 썸 드라이브는 설치할 수 없습니다.