안녕하세요.
사내 사용자 PC들에 대하여, 허가된 소프트웨어 외 추가 신규 소프트웨어 설치를 차단하고 싶습니다.
혹시 비슷하게 운영 중인 곳이 있다면 어떻게 신규 설치를 제한하는지 알 수 잇을까요??
블랙리스트 방식으로 특정 프로그램에 대하여 실행을 차단할 수는 있지만,
사용자가 설치하는 프로그램을 전부 알 수가 없다보니, 전체 신규 설치를 차단하고, 필요한 프로그램한 설치를 허용하는 방식으로 가야할 듯합니다.
신규 설치를 차단하는 것이 가능할까요?
10개의 답변이 있습니다.
통제는 힘들거 갔구요~~DLP나DRM솔루션 아니면 소프트웨어 관리 솔루션을 알아보셔야 할듯합니다.
설치를 제한하기 위한 가장 확실한 방법은 사용자에게 admin 권한을 주지 않는 관리가 제일 안정적인 것 같습니다.
현업과 IT에 모두 장단점이 존재하고 사용자들의 인식 개선 활동도 병행되어져서 자연스럽게 정착하거나 아님 Topdown 방식으로 가거나 해야 겠죠. (후자 선호 )
일단 모든 사용자는 admin 권한이 없어 설치 불가입니다. IT 관리자만 설치 가능합니다.
이를 통해 인증/허가 되지 않는 소프트 웨어는 설치 불가 합니다.
설치 필요시 승인 절차를 추가해 Ticket관리 합니다.
장점은 라이센스/보안 관리 /PC관리 측면에서 좋습니다.
단점은 일부 update나 인증서등 IT가 반드시 해주어야 합니다.
어떤 솔루션도 장단점 있더라고요.
IT 측면에서는 장점이 더 부각되며 현재와 같은 외부의 다양한 위험(?) 에서 좀더 효과적으로 보호하게 해 주는 것 같습니다. 단점은 부가적인 업무가 생기고 사용자의 불평 발생한다는 점. 이 또한 익숙해져서 당연하게 생각하게 만들어 지더라고요.
회사라면 통제/관리는 필요하다고 생각하는 1인 입니다.
낭만생선 | 약 2년 전
저희도 사용자들 계정 권한을 낮추려다가
미허가 소프트웨어 통제하는 공수보다
말씀 하신 인증서 ActiveX, 각종 보안 프로그램들 설치에 대한 공수가 더 많이 들어서 하지 않았는데
실제로 적용하신건가요?
처음이 힘들고 "익숙해져서 당연하게 생각하게 만들어 지더라고요." 단계까지 가셨다면 저희도 도전 해볼만한 가치가 있겠네요.
소프트웨어 관리차원뿐아니로 보안에 위배되는 소프트웨어들에 대한 통제도 될것 같아요.
말씀하신 내용의 소프트웨어가 있는지는 모르겠지만요
사전 처리 보다는
사후 처리가 중요한거 같습니다.
자산관리 소프트웨어로
인가받지 않은 소프트웨어 설치자에게 경고 하시는게 좋을 듯 합니다
자산관리 솔루션, DLP 솔루션도 비슷한 기능이
있습니다
불법소프트웨어 문제로 관리 하려면 그에 해당하는
솔루션이 필요하죠
내부 공지를 통해 회사 방침을 전달하고 문제시
상응조치에 대해서도 알려줘야합니다
개복치 | 약 2년 전
DLP도 한번 확인을 해봐야겠군요 ㅎㅎ 감사합니다.
모든 S/W 설치를 제한하는 기능을 사용하면 문제가 될 가능성이 커 보이네요.
업무를 하다 보면 작은 프로그램이라도 이거저거 설치해야 할 것들이 조금씩 생기는데,
그때마다 제한이 걸린다면 개인도 업무에 차질을 빚을 것이고,
IT팀도 업무 부하가 올 것으로 보이네요.
개복치 | 약 2년 전
폐쇠망에서 사용하는 PC이고, 현재 구축 중에 있습니다. 구축 완료 전 필요한 것들 미리 설치하고, 실제 작업은 망연계 솔루션을 통하여 파일 가져와 하게 되기에 큰 문제는 없을꺼 같아요
자산관리 시스템을 수시로 가동하여 개인별 설치 프로그램을 관리하는 방법이 제일 좋습니다.
조금 힘들기는 해도 어떨떄는 가져온 정보가 틀릴때도 있구요
시스템은 100% 만족을 하기 힘듭니다. 가끔은 아날로그 방식 적용도 필요함.
같은 용도로 자산관리를 써봤는데 설치를 원천 차단하지는 못했습니다.
설치후에 원격에서 강제삭제할 수 는 있는데 이것도 모든 SW에서 다 가능한건 아니었고요
낭만생선 | 약 2년 전
저희도 여러솔루션들을 혼합해서 관리하고 있네요.
심지어 자산관리를 위한 Row 데이터도 한가지 솔루션의 데이터만으로 정합성이 100%가 안되더라구요.
저희가 AD GPO로 막고는 있는데 이게 손이 많이 갑니다.(이건 아주 극히 일부)
프로그램명으로 막는게 아니라 셋업파일이나 실행파일의 해쉬 값으로 인지를 하기 때문에
예를들어 카카오톡의 설치를 막는다면 버전업이 되면 신규 버전이 나올때마다 등록을 해줘야 합니다.
실행차단도 마찬가지구요.
그러니깐 이건 블랙 리스트 방식이라 막아 놓은 소프트웨어 외에는 다 설치가 된다는 단점이 있죠.
아래 wansoo 님이 제안 해주신 방법은 예전 저희가 검토 할때 없던 내용인것 같은데.
테스트를 실제 해봐야 하겠지만 응용하면 좋은 솔루션이될수 있겠네요.
윈도우 인스톨러 자체를 막는것이니 전체 설치 차단을 하는 효과가 있겠네요.
예전에 불법 소프트웨어 이슈가 한참일때 사용자 계정의 권한을 일반 user로 낮추는 방법을 검토한적이 있습니다.
실제 서양 기업들은 권한 관리가 철저해서, 사용자들의 계정을 Administrators로 주지 않는다고 하더군요.
이렇게 철저히 차단을 하면 좋을것 같은데
치명적인 단점이 있습니다.
첫째로 프로그램 설치가 필요할 경우 IT 관리 부서에서 전부 대응을 해줘야 한다.
보통일이 아닙니다. 배포 솔루션이 있고 모든 소프트웨어들이 배포로 설치가 된다면 다행인데 이게 또 쉽지가 않거든요.
둘째로 Administrators에서 users로 내리는것은 이괄로 가능한데, 이걸 다시 올리는것은 전부 수동으로 해야 한다는 치명적인..
저희도 실행하기 하루전에 이 사실을 알게 되어서 시겁 한적이 있네요.
그밖에도 일괄 차단 정책을 하게 되면, 인터넷의 엑티브 엑스 설치 같은것 조차도 막히기때문에
정말 All 차단이 확실하지 않은 이상 유지하기가 쉽지 않습니다.
결과적으로 저희는 불법 소프트웨어 설치 방지 정책을
설치 차단이 아닌 설치하는 권한은 부여를 하되 모니터링과 교육등을 이용해 방지하고 있네요.
https://www.sharedit.co.kr/freeboards/22206
AD 운영중이시면 AD가 제일 좋구요.
NAC에서도 기능 있는것 같습니다.
자산관리 솔루션은 차단은 안되고 설치 후 경고나 알람 기능 제공 됩니다
개복치 | 약 2년 전
감사합니다! AD 환경이니 GPO로 하는 방향으로 가야할듯 하네요 ㅎㅎ 감사합니다.
간단한 방법으로 일반 사용자들에게 제한된 계정을 사용하게 하면 될 것 같습니다.
기 설치해 둔 소프트웨어 중에, 실행되면서 시스템 권한을 요구하는 프로그램들이 일부 있는데, 그런 소프트웨어들은 관리자 계정으로 실행되게 속성을 지정해 두면 될 것 같아 보이고...
wansoo | 약 2년 전
그룹 정책으로 제한을 걸어 두어도 될 것 같고...
https://comeinsidebox.com/public-pc-management/