엔터프라이즈 비즈니스 디바이스에 대한 Dev Drive 보안 정책을 구성하는 방법

아티클
10/02/2023

엔터프라이즈 수준 관리자는 종종 조직 내의 다양한 Windows 디바이스에서 보안을 관리할 책임이 있습니다. 새 Windows 릴리스에서 사용할 수 있게 되면 새 기능을 사용할 수 있는지 여부를 제어하는 정책을 구성하는 방법에는 여러 가지가 있습니다. 이 가이드에서는 Windows 11 Dev Drive 스토리지 볼륨 기능에 대한 중요한 정보와 개발자가 파일 시스템 필터 연결에 대한 보안 및 제어를 기본 동안 이 성능 최적화 스토리지 형식을 사용할 수 있도록 조직에 대한 그룹 정책을 구성하는 방법에 대해 설명합니다.

그룹 정책을 사용하도록 설정하는 방법에 대한 지침은 아래에서 선호하는 정책 관리 도구를 사용하여 찾을 수 있습니다.

Microsoft Intune,
Microsoft Configuration Manager (ConfigMgr, 이전 MEMCM/SCCM) 또는
Windows 11 로컬 그룹 정책 편집기.

필수 조건

Windows 11, 빌드 #10.0.22621.2338 이상(Windows 업데이트 확인)
16GB 메모리 권장(최소 8GB)
최소 50GB의 여유 디스크 공간
개발자 드라이브는 모든 Windows SKU 버전에서 사용할 수 있습니다.

임시 엔터프라이즈 기능 제어로 Dev Drive 사용 중지

Windows 11에 지속적인 혁신을 제공하기 위해 월별 누적 업데이트를 통해 새로운 기능과 향상된 기능이 도입되었습니다. 조직에서 계획 및 준비 시간을 제공하기 위해 Windows 11의 임시 엔터프라이즈 기능 제어를 사용하여 이러한 새로운 기능 중 일부는 기본적으로 일시적으로 해제됩니다.

정책에 의해 관리되는 Windows 업데이트가 있는 디바이스의 경우 개발자 드라이브가 자동으로 비활성화됩니다. 개발자 드라이브를 만드는 기능을 사용하지 않도록 설정하면 보안 관리자가 새 정책 업데이트를 결정하고 배포할 수 있는 시간이 일시적으로만 허용됩니다. 이러한 정책 업데이트를 결정하고 구성하기 위한 지침은 아래에 설명되어 있습니다.

Dev Drive 스토리지 사용 및 바이러스 백신 필터 보안에 대한 그룹 정책 결정

그룹 정책은 엔터프라이즈 관리자가 회사 디바이스의 설정을 관리하고 비즈니스 환경에서 사용자 계정(로컬 관리자)이 수행할 수 있는 설정을 제어할 수 있는 Windows 기능입니다.

Microsoft Defender 및 타사 바이러스 백신 필터를 모두 포함한 바이러스 백신 필터는 기본적으로 개발자 드라이브에 연결됩니다. 또한 Dev Drive 스토리지 볼륨에 대한 기본 설정을 사용하면 로컬 디바이스 관리자가 연결된 필터를 제어할 수 있습니다. 즉, 로컬 디바이스 관리자는 개발자 드라이브에 연결된 바이러스 백신 필터가 없도록 기본 바이러스 백신 필터를 제거하도록 시스템을 구성할 수 있습니다. 문제가 되는 경우 Dev Drive를 사용할 때 바이러스 백신 필터가 다시 연결되도록 그룹 정책을 구성할 수 기본 있습니다. 또한 허용되는 파일 시스템 필터 목록을 정의할 수 있습니다.

개발 드라이브를 사용하도록 그룹 정책 업데이트

이 개발자 드라이브 사용 정책 설정은 다음과 같습니다.

구성되지 않음: 기본적으로 그룹 정책에서 엔터프라이즈 관리자가 사용하도록 설정할 때까지 임시 엔터프라이즈 기능 구성 정책에서 Dev Drive 스토리지 볼륨 옵션이 꺼집니다.
사용: 사용하도록 설정하면 Dev Drive 스토리지 볼륨을 만드는 옵션이 켜집니다.
옵션 - 바이러스 백신 필터가 개발자 드라이브를 보호하도록 허용: 개발자 드라이브는 개발자 시나리오의 성능에 최적화되어 로컬 관리자(사용자 계정)가 연결된 파일 시스템 필터를 선택할 수 있도록 합니다. 또한 "바이러스 백신 필터에서 Dev Drives를 보호하도록 허용" 옵션이 검사 않는 한 로컬 관리자가 기본 바이러스 백신 기능을 분리할 수 있습니다. 이 옵션을 선택하면 기본 안티바이러스 필터가 연결된 상태로 유지됩니다.
사용 안 함: 이 설정을 사용하지 않도록 설정하면 Dev Drive 스토리지 볼륨을 만들고 사용하는 기능이 해제됩니다.

Dev Drive 필터 연결 정책 업데이트

또한 개발자 드라이브에 연결할 수 있는 필터를 엔터프라이즈 관리자가 제어할 수 있도록 하는 Dev Drive 필터 연결 정책 설정이 있습니다. 설정은 다음과 같습니다.

구성되지 않음: 기본적으로 Dev Drive는 Microsoft Defender 및 타사 바이러스 백신 필터가 연결되어 있지만 다른 파일 시스템 필터가 없는 성능에 최적화되어 있습니다. 이 기본 설정을 사용하면 로컬 관리자가 기본 바이러스 백신 필터를 포함하여 필터를 연결하거나 분리할 수 있습니다. 위의 Enable Dev Drive 정책에서 "바이러스 필터가 Dev Drive를 보호하도록 허용" 옵션을 선택하면 더 이상 필터 정책이 정의되지 않더라도 바이러스 필터가 계속 연결된 상태로 유지됩니다.
사용: 로컬 관리자(사용자 계정)는 필터를 연결하거나 분리할 수 있습니다. 필터 목록을 추가하면 엔터프라이즈 관리자(그룹 정책 도메인 수준)가 연결할 수 있는 필터를 정의할 수 있습니다. 필터 목록을 포함하지 않으면 필터를 연결할 수 있습니다.
사용 안 함: 로컬 관리자(사용자 계정)는 필터를 연결하거나 분리할 수 없습니다.

개발자 드라이브 기능을 사용하도록 설정하고 그룹 정책을 업데이트하는 몇 가지 방법이 있습니다.

Microsoft Intune을 사용하여 그룹 정책 업데이트
Microsoft 구성 관리자를 사용하여 WIP 정책 업데이트
Windows 11 로컬 그룹 정책 편집기를 사용하여 그룹 정책 업데이트

Microsoft Intune을 사용하여 개발 드라이브에 대한 그룹 정책 업데이트

그룹 정책을 업데이트하고 Microsoft Intune을 사용하여 Dev Drive를 사용하도록 설정하려면):

Intuen 포털을 (https://endpoint.microsoft.com) 열어 자격 증명으로 로그인합니다.
프로필을 만듭니다:
1. 디바이스 > Windows > 구성 프로필 > 프로필 만들기
2. 플랫폼에 > Windows 10 이상을 선택합니다.
3. 프로필 유형 > 선택 설정 카탈로그
사용자 지정 프로필 이름 및 설명을 설정합니다.
Dev Drive 관련 설정 구성:
1. 설정 선택기에서 "Dev Drive"를 검색하거나 "Administrative Templates\System\Filessystem"으로 이동합니다
2. 개발 드라이브 관련 정책 선택: 개발자 드라이브를 사용하도록 설정하고 바이러스 백신 필터가 Dev Drive, Dev Drive 필터 연결 정책 및 필터 목록을 보호하도록 허용
Dev Drive 정책 설정을 구성하고, 범위 태그 및 할당의 다시 기본 구성을 완료한 다음, 만들기를 선택합니다.

Microsoft Configuration Manager를 사용하여 개발 드라이브에 대한 그룹 정책 업데이트

그룹 정책을 업데이트하고 Microsoft Configuration Manager (ConfigMgr, 이전의 MEMCM/SCCM)를 사용하여 개발 드라이브를 사용하도록 설정하려면 다음 PowerShell 스크립트를 사용할 수 있습니다. (Configuration Manager란 무엇인가요?)

이 Configuration Manager 콘솔에는 PowerShell 스크립트를 실행하여 네트워크의 모든 컴퓨터에서 그룹 정책 설정을 업데이트하는 통합 기능이 있습니다.

마이크로소프트 구성 관리자 콘솔을 엽니다. 소프트웨어 라이브러리>스크립트>스크립트 만들기를 선택합니다.

스크립트 이름(예: Dev Drive 데모), 설명(개발자 드라이브 설정을 사용하도록 설정하는 데모 구성), 언어(PowerShell), 시간 제한 초(180)를 입력한 다음, 템플릿으로 사용할 다음 "개발자 드라이브 데모" 스크립트 예제에 붙여넣습니다.

######
#ConfigMgr Management of Dev Drive
#Dev Drive is a new form of storage volume available to improve performance for key developer workloads.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDevDrive-<TimeStamp>.log
######

Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 $ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up a Dev Drive
Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FsEnableDevDrive" -Value "1" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FltmgrDevDriveAllowAntivirusFilter" -Value "1" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FltmgrDevDriveAttachPolicy" -Value "PrjFlt, MsSecFlt, WdFilter, bindFlt, wcifs, FileInfo" -PropertyType "MultiString" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ $ExecutionTime - Execution Ends -------------------------------------------"
--------------------

새 스크립트를 추가할 때 선택하고 승인해야 합니다. 승인 상태가 "승인 대기 중"에서 "승인됨"으로 변경됩니다.
승인되면 단일 디바이스 또는 디바이스 컬렉션을 마우스 오른쪽 단추로 클릭하고 스크립트 실행을 선택합니다.
스크립트 실행 마법사의 스크립트 페이지에서 목록에서 스크립트를 선택합니다(예제의 Dev Drive 데모 ). 승인된 스크립트만 표시됩니다. 다음 을 클릭하고 마법사를 완료합니다.

FsUtil을 사용하여 그룹 정책 설정이 정확하게 업데이트되었는지 검사 쿼리 정책을 참조하세요.

자세한 내용은 Configuration Manager 콘솔에서 PowerShell 스크립트 만들기 및 실행을 참조하세요.

Windows 11 로컬 그룹 정책 편집기를 사용하여 개발 드라이브에 대한 그룹 정책 업데이트

Windows 11 로컬 그룹 정책 편집기를 사용하여 그룹 정책을 업데이트하고 Dev Drive를 사용하도록 설정하려면 다음을 수행합니다.

Windows 제어판 로컬 그룹 정책 편집기를 엽니다.
컴퓨터 구성에서관리이상 템플릿>시스템>파일 시스템을 선택하고 설정 목록에서 개발 드라이브 사용을 선택합니다.
그룹 정책에서 Dev Drive를 사용하도록 설정하려면 사용을 선택합니다.

이 필터 연결 정책을 업데이트하려면 Windows 제어판 로컬 그룹 정책 편집기에서Dev Drive 필터 연결 정책을 선택합니다.

로컬 그룹 정책 편집기에서 Dev Drive 필터 연결 정책 및 필터 목록을 선택하는 스크린샷

FsUtil을 사용하여 정책 쿼리

FSUtil을 사용하여 개발 드라이브에 대해 구성된 그룹 정책을 쿼리할 수 있습니다. 다음은 구성된 개발 드라이브 그룹 정책에 대한 FsUtil 쿼리의 출력입니다.

Dev Drive 사용
바이러스 백신 필터가 Dev Drives를 보호하도록 허용(MsSecFlt)
FileInfo 미니 필터가 허용된 필터로 필터 목록에 추가되었습니다.

FSUtil 명령을 입력합니다.

fsutil devdrv query

결과:

Developer volumes are enabled. 
Developer volumes are protected by antivirus filter, by group policy. 
Filters allowed on any developer volume, by group policy: 
    MsSecFlt 
Filters allowed on any developer volume: 
    FileInfo

이 동일한 쿼리는 특정 Dev Drive에서 실행하여 연결된 필터를 볼 수 있습니다. 특정 Dev Drive에서 명령을 실행하려면 다음 명령을 입력합니다.

fsutil devdrv query d:

결과:

This is a trusted developer volume. 
Developer volumes are protected by antivirus filter, by group policy. 
Filters allowed on any developer volume, by group policy: 
    MsSecFlt 
Filters allowed on any developer volume: 
    FileInfo 
Filters currently attached to this developer volume: 
    MsSecFlt, WdFilter, FileInfo

Share via