본문 바로가기

윈도우즈 리뷰

Windows 레지스트리를 활용한 주요 보안 정책 및 시스템 제한 설정 가이드

728x90

 

기업 환경이나 공용 PC, 혹은 강력한 단말 보안이 필요한 환경에서는 사용자가 시스템 설정을 임의로 변경하거나 임의의 프로그램을 실행하는 것을 제한해야 합니다. Windows Enterprise나 Pro 에디션에서는 그룹 정책 편집기(gpedit.msc)를 사용하면 되지만, Home 에디션이거나 스크립트를 통해 일괄 배포해야 할 때는 레지스트리(Registry) 변경이 가장 확실한 방법입니다.

이번 포스팅에서는 작업 관리자 비활성화를 비롯하여 보안 강화를 위해 통제할 수 있는 대표적인 레지스트리 정책 설정들을 정리해 드립니다.


1. 핵심 시스템 도구 및 관리 기능 제한

사용자가 시스템 설정을 변경하거나 악성 프로세스를 강제 종료하지 못하도록 방어하는 핵심 설정입니다.

작업 관리자(Task Manager) 비활성화

악성코드 분석을 방해하거나, 보안 에이전트 프로세스를 사용자가 강제로 종료하는 것을 차단합니다.

  • 경로: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  • 값 이름: DisableTaskMgr (REG_DWORD)
  • 데이터: 1 (비활성화) / 0 (기본값, 활성화)

레지스트리 편집기(regedit) 접근 차단

사용자가 레지스트리를 직접 수정하여 보안 정책을 우회하는 것을 원천 차단합니다.

  • 경로: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  • 값 이름: DisableRegistryTools (REG_DWORD)
  • 데이터: 1 (편집기 실행 차단)

제어판 및 PC 설정 접근 금지

제어판(control.exe) 및 윈도우 설정 앱의 진입을 막아 네트워크 설정 변경, 프로그램 임의 삭제 등을 방지합니다.

  • 경로: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  • 값 이름: NoControlPanel (REG_DWORD)
  • 데이터: 1 (제어판 금지)

명령 프롬프트(CMD) 및 PowerShell 실행 제한

텍스트 기반의 명령어를 통한 시스템 조작이나 스크립트 실행을 방어합니다.

  • 경로: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  • 값 이름: DisableCMD (REG_DWORD)
  • 데이터: 1 (CMD 실행 차단, 배치 파일 실행도 선택적 차단 가능)

2. 외부 유출 및 인프라 보안 제한

물리적인 보안 위협이나 외부 저장 매체를 통한 데이터 유출을 통제하는 레지스트리 설정입니다.

USB 저장 장치(이동식 디스크) 쓰기 권한 차단

사내 기밀 데이터나 중요 문서가 USB를 통해 외부로 무단 유출되는 것을 차단합니다. (읽기만 가능, 쓰기 불가)

  • 경로: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies
  • 값 이름: WriteProtect (REG_DWORD)
  • 데이터: 1 (쓰기 금지 활성화)

익명 사용자(Anonymous)의 SAM 계정 및 공유 이름 열거 차단

네트워크 내부의 공격자가 인증 없이 시스템의 계정 정보나 공유 폴더 목록을 스캔해가는 것을 막아줍니다.

  • 경로: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  • 값 이름: RestrictAnonymous (REG_DWORD)
  • 데이터: 1 (익명 열거 제한) 또는 2 (명시적 권한 없이 접근 불가)

3. 사용자 환경 및 보안 인프라 우회 차단

지정된 프로그램만 실행 가능하도록 제한 (화이트리스트)

업무용 프로그램 등 허가된 실행 파일(.exe) 외에 사용자가 임의로 다운로드한 프로그램의 실행을 전면 차단합니다.

  • 경로: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  • 값 이름: RestrictRun (REG_DWORD)
  • 데이터: 1 (활성화 후, 하위 RestrictRun 키 내에 허용할 파일 목록을 문자열 값으로 등록)

윈도우 로그인 화면에서 마지막 로그인 사용자 이름 숨기기

공용 PC나 중요 서버에서 아이디 추측 공격(Brute Force)을 예방하기 위해, 직전에 로그인했던 사용자의 계정명을 화면에 노출하지 않도록 합니다.

  • 경로: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
  • 값 이름: DontDisplayLastUserName (REG_DWORD)
  • 데이터: 1 (이름 숨김 활성화)

요약 표: 한눈에 보는 보안 레지스트리 설정

통제 대상 레지스트리 주요 키 경로 (Policies 중심) 설정 값 및 데이터
작업 관리자 ...\Policies\System DisableTaskMgr = 1
레지스트리 편집기 ...\Policies\System DisableRegistryTools = 1
제어판 / 설정 ...\Policies\Explorer NoControlPanel = 1
명령 프롬프트 ...\Policies\System DisableCMD = 1
USB 쓰기 제한 SYSTEM\CurrentControlSet\Control\StorageDevicePolicies WriteProtect = 1

주의사항 및 팁

1. HKEY_CURRENT_USER(HKCU) 경로는 현재 로그인한 사용자에게만 적용되며, HKEY_LOCAL_MACHINE(HKLM) 경로는 PC를 사용하는 모든 사용자에게 전역 적용됩니다.

2. 레지스트리 정책을 변경한 후 즉시 반영되지 않는 경우, 작업 관리자에서 explorer.exe를 재시작하거나 명령어 창에 gpupdate /force를 입력, 또는 로그아웃 후 다시 로그인해야 정상 적용됩니다.

3. 관리자 본인이 레지스트리 편집기를 차단(DisableRegistryTools=1)한 경우, 차후 복구를 위해서는 .reg 파일 병합 방식을 쓰거나 CMD 명령어로 원복해야 하므로 설정 전 백업 및 복구 대책을 반드시 수립하시기 바랍니다.

반응형