2008년 11월 17일 월요일

CD 자동 실행 (Autorun, Autoplay) 설정/해제 하기

CD-ROM을 드라이브에 넣으면 자동으로 내용을 보여주거나 해당 작업을 실행해주는 "자동 실행 (Auto Run)"의 설정 방법이다.

Windows NT/2000/XP 계열의 시스템을 기준으로 작성되었다.

자동 실행과 관련해서 문제가 생기면 이 문서를 참조하여 사용자가 원하는대로 작동을 설정/해제하거나 원래대로 복구 할 수 있다.


[기본 설정] - 기본 UI로 접근 할 수 있는 자동 실행 설정
1. 자동실행: [내 컴퓨터]-"[해당 드라이브 아이콘] 오른쪽 버튼 클릭"-[속성]-[자동 실행]탭을 누른후, 컨텐트 유형별 "작업"항목을 설정한다.


[고급]
1. 레지스트리 설정

a. 시스템 디바이스 레벨

Comment: Win9x 계열의 [장치관리자]에서 [CDROM]에 대한 설정 중 [자동 삽입 통지]에 해당하는 설정으로서 Windows XP에서는 [장치관리자]를 통해서 설정할 수는 없고 레지스트리를 편집을 통해 할 수 밖에 없다.

설정방법:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000001
을 확인한다. "1"은 자동 실행을 사용. "0"은 사용하지 않음.


b. 로컬/사용자 단위 정책 설정

Comment: 사용자 단위 정책은 Explorer의 정책을 따른다. 보통 CD-ROM과 관련된 소프트웨어를 설치하면 이 설정이 변경되고, Uninstall할 때 설정이 복구 되지 않기 때문에 "자동 실행" 기능이 동작하지 않는 경우가 많다.

설정방법:
다음에서 경우에 일치하는 항목을 골라 값을 설정하면 된다.

(1) 로컬 시스템 단위 정책
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

(2) 로그인한 사용자 정책
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

(3) 다른 사용자에 대한 정책
HKEY_USERS\(해당 사용자의 스트림)\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

(4) 새로운 사용자에게 기본적으로 제시할 정책
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

(설정값)
"NoDriveTypeAutoRun"=dword:00000091 (자동 실행 설정/기본값)
"NoDriveTypeAutoRun"=dword:00000000 (자동 실행 설정)
"NoDriveTypeAutoRun"=dword:000000ff (자동 실행 해제)

0x1

알 수 없는 형식의 드라이브에 대해 AutoRun 해제.

0x4

이동식 드라이브에 대해 AutoRun 해제.

0x8

고정식 드라이브에 대해 AutoRun 해제.

0x10

네트워크 드라이브에 대해 AutoRun 해제.

0x20

CD-ROM 드라이브에 대해 AutoRun 해제.

0x40

RAM 드라이브에 대해 AutoRun 해제.

0x80

알 수 없는 드라이브 형식에 대해 AutoRun 해제.

0xFF

모든 드라이브 형식에 대해 AutoRun 해제.




2. 그룹 정책 (gpedit.msc) 설정
그룹 정책 MMC 스넵인을 사용하여 그룹정책 설정을 확인해볼 필요가 있다.
[시작]-[실행]-"실행"에 "gpedit.msc"을 입력후 확인-[로컬 컴퓨터 정책]-[관리 템플릿]-[시스템]에서
[자동 실행 사용 안 함]이 어떻게 설정되어 있는지 확인한다. 필요하다면,
[시작]-[실행]-"실행"에 "gpedit.msc"을 입력후 확인-[사용자 구성]-[관리 템플릿]-[시스템]의
[자동 실행 사용 안 함]이 어떻게 설정되어 있는지 확인.

2008년 10월 27일 월요일

Limited Account 사용자가 시스템 루트 (ex. C:)를 사용할 수 없도록 하기

일반적으로 Windows 플랫폼에서 제한된 계정 사용자는 시스템 루트에 임의로 하위 폴더를 생성하고 그곳에 파일을 얼마든지 생성할 수 있다. 이는 일부 트로잔 프로그램이 자신을 숨길 수 있는 여지를 남긴다. 예를 들어, USB로 전파되는 트로잔 프로그램이 자신을 숨기는데 주로 애용하는 디렉토리가 C:\RESTORE 이다. 따라서 제한된 계정 사용자 그룹 (BUILTIN\Users)에 대해 시스템 루트에 폴더를 만들거나 기존에 생성된 하위 폴더에 임의로 파일을 추가할 수 없게끔 미리 부여된 ACE(add_subdir, add_file)를 제거하는 것이 좋다.

다만 이렇게 하면, 새로 생성되는 계정은 C:\RECYCLER에 해당 계정용으로 휴지통 폴더를 생성할 수 없기 때문에 파일 삭제시 휴지통으로 이동되지 않고 바로 삭제된다. 이 경우, C:\RECYCLER에 사용자 권한을 잠시 부여해서 계정용 휴지통을 생성(임의 파일을 휴지통으로 이동)한 다음, C:\RECYCLER에 부여한 사용자 권한을 제거하고 생성된 휴지통 폴더를 함부로 삭제할 수 없도록 삭제 거부 (DELETE-Deny) ACE를 부여해놓는다. (이 방법은 시스템이 휴지통 폴더를 제대로 제어할 수 없도록 만듦으로서 로그오프 후 다시 로그인하거나 시스템을 다시 시작한 후, 휴지통을 손상된 것으로 인식하게만드는 것으로 확인됐다.)

위의 문제는 C:\RECYCLER 에 ACE(add_subdir, add_file)를 Grant 해놓으면 문제가 해결된다. 그러나 제한된 권한 계정을 사용하는 컴퓨터는 주로 공용 컴퓨터 임을 가정하면, 굳이 Users에 대해 권한을 부여하지 않는게 오히려 이롭다. 왜냐하면 휴지통 기능을 사용하지 않도록 설정하는 것이 보안상 유리하기 때문이다.

첨부:
제한된 계정 사용자가 시스템 루트를 사용할 수 없도록 하는 ACL 자동 편집 스크립트