Korea CIM City KCIM's Diary Tip & Tech BIM Story Event Education 신기능

Windows 로컬 그룹 정책으로 특정 응용 프로그램 실행 차단

당사 블로그 "CAD 파일을 삭제하는 악성코드 내용 및 임시 조치 방법"에서 설명 드린 악성 코드는 "VBS" 파일이므로 "Wscript.exe"와 "Cscript.exe"를 실행하여 감염을 하는 것으로 판단이 됩니다.

"Wscript.exe"와 "Cscript.exe" 응용 프로그램을 실행하지 못하게 차단을 하면 악성 코드 감염 및 실행이 안될 것입니다(곰돌이 추측).

바이러스, 악성코드 등의 특정 응용 프로그램을 실행을 차단하는 방법에 대하여 알아보도록 하겠습니다.

 

Windows 로컬 그룹 정책을 이용하여 특정 응용 프로그램 실행을 차단하는 방법은 다음과 같습니다.

 

1. 사용자 시스템에서 "gpedit.msc"를 실행하여 "로컬 그룹 정책 편집기"을 실행합니다.

2. 로컬 그룹 정책 편집기의 "로컬 컴퓨터 정책 -> 사용자 구성 -> 관리 템플릿 -> 시스템"을 클릭하여 우측 창에서 "지정된 Windows 응용 프로그램 실행 안 함"을 더블 클릭합니다.

 

3. "지정된 Windows 응용 프로그램 실행 안 함" 설정 화면에서 "사용(E)"을 클릭 체크한 후 "옵션:" 항목의 "표시…" 버튼을 클릭합니다.

 

4. "내용 표시" 화면의 "" 항목에 "Wscript.exe"과 "Cscript.exe"를 순차적으로 등록 후 "확인" 버튼을 클릭합니다.

 

5. "지정된 Windows 응용 프로그램 실행 안 함" 설정 화면에서 "확인" 버튼을 클릭하여 적용한 후 로컬 그룹 정책 편집기를 종료합니다.

6. 등록한 응용 프로그램을 실행하면 다음과 같이 "이 작업은 시스템 제한 때문에 취소되었습니다"라는 메시지가 나타납니다.

 

참고 사항:

로컬 그룹 정책 편집기에서 "지정된 Windows 응용 프로그램 실행 안 함"을 설정하면 레지스트리에 다음과 같이 설정이 됩니다.

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" 항목에 "DisallowRun" Dword(32비트)의 "1"값이 생성됩니다.

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" 항목에 아래 그림과 같이 사용자가 설정한 내용이 설정됩니다. 이름은 1부터 순차적으로 증가하여 등록한 응용 프로그램 만큼 설정됩니다.

 

Windows Server AD 그룹 정책으로 특정 응용 프로그램을 차단하는 방법을 다음에 알아 보겠습니다.

Posted by kcim

댓글을 달아 주세요