이슈: 도메인에 가입한 이후 Windows 탐색기에서 네트워크 하단에 내 주변 PC들이 보입니다. 보안성 강화를 위해 이 PC들을 보이지 않게 설정해주세요.
원인: Windows에서 기본적으로 제공하는 기능으로 Network Discovery(네트워크 검색)을 통해 주변 Network에 위치한 컴퓨터 등 장치를 검색하여 사용자로 하여금 주변 Network의 장치를 쉽게 접근하도록 도와주는 편의기능. *폴더 공유와는 전혀 다름
해결법1: UI설정 또는 명령어 입력을 통해 네트워크 하단의 PC들이 표시되는 것을 방지
*사용자가 위 설정을 해제할 수 있다는 단점이 있습니다.
*네트워크 하단에 주변 컴퓨터 보이지 않음 / 주변 컴퓨터에 접속 가능
해결법2: 방화벽 Rule을 이용한 방법
*사용자가 위 설정을 해제할 수 없습니다. 즉, 강제성이 있습니다.
*네트워크 하단에 주변 컴퓨터 보이지 않음 / 주변 컴퓨터에 접속 불가능
해결법3: Function Discovery Provider Host 모드 변경
*사용자가 위 설정을 해제할 수 없습니다. 즉, 강제성이 있습니다.
*네트워크 하단에 주변 컴퓨터 보이지 않음 / 주변 컴퓨터에 접속 가능
[문제상황]
Windows 탐색기에서 네트워크 하단에 내 주변 PC들이 보입니다. 안보이게 할 순 없나요?
[UI를 이용한 해결법]
Step.01
바탕화면의 네트워크 아이콘을 우클릭한 후 '속성'으로 진입합니다.
Step.02
네트워크 및 공유 센터에서 좌측의 '고급 공유 설정 변경'탭으로 진입합니다.
Step.03
네트워크 검색의 '네트워크 검색 켜기'를 '네트워크 검색 끄기'로 변경합니다.
이후 하단의 '변경 내용 저장'을 클릭합니다.
[Powershell 명령어를 이용한 해결법]
Step.01
Powershell을 관리자 모드로 실행합니다.
Step.02
아래 명령어를 입력합니다.
| Get-NetFirewallRule -DisplayGroup “네트워크 검색” | Set-NetFirewallRule -Enabled False |
[CMD 명령어를 이용한 해결법]
Step.01
CMD(명령 프롬프트)를 관리자 모드로 실행합니다.
Step.02
아래 명령어를 입력합니다.
| Netsh advfirewall firewall set rule group=”네트워크 검색” new enable=no |
[결과확인]
하.지.만.
상단의 노란 박스를 클릭한 후 '네트워크 검색 및 파일 공유 설정'을 클릭하면
다시 내 주변의 PC들이 보여지는 것을 확인할 수 있습니다.
[방화벽 Rule을 이용한 설정 방법]
컴퓨터가 AD환경인 경우 기존 컴퓨터 환경에 존재하는 로컬 Default Rule을 무시하기 위해서는 컴퓨터 환경에 필요한 모든 Rule을 AD의 그룹정책에 정의해야 합니다.
이렇게 구성하기에는 너무 많은 작업이 필요하므로 여기서는 로컬의 Rule을 무시하지 않고 AD의 그룹정책에서 추가 Rule(Deny)를 배포하는 방법을 설명합니다.
기존 컴퓨터 환경에 존재하는 로컬 Default Rule은 아래와 같이 Inbound/Outbound 별로 10개씩 존재합니다.
(실제 Rule은 Private, Domain, Public으로 분리되어 있어 더 많이 존재합니다.)
AD서버의 그룹정책 관리도구를 통해 대상 PC에 적용할 GPO의 Firewall 정책에 해당 Rule을 등록해줘야 합니다.
하지만 하나하나 등록하기 매우 고생스러운 작업이므로 일반 컴퓨터 환경에서 Firewall 정책을 Export 하여 GPO의 Firewall 정책에 Import 합니다. 이후 Network Discovery(네트워크 검색)를 제외한 다른 항목은 제거하도록 합니다.
*실 적용 전에 반드시 테스트할 대상 컴퓨터 및 GPO를 생성하여 테스트를 진행해보시길 권장합니다.
Step.01
일반 PC환경에서 Firewall을 실행하고 '정책 내보내기'를 클릭하여 정책을 Export 합니다.
Step.02
AD서버의 그룹정책 관리도구를 실행하고 정책을 적용할 GPO를 선택하여 편집을 시작합니다.
컴퓨터 설정 > 정책 > Windows 설정 > 보안 설정 > 고급 보안이 포함된 Windows Defender 방화벽 으로 진입합니다.
이후 우 클릭하여 '정책 가져오기'를 실행하여 앞서 추출했던 정책을 가져옵니다.
Step.03
정책을 가져온 후 고급 보안이 포함된 Windows Defender 방화벽을 우클릭한 후 '속성'으로 진입합니다.
각 Profile의 Inbount/Outbound의 기본 동작을 정의합니다.
기본적으로 Inbound는 Block이 기본 동작이며, Outbound는 Allow가 기본동작입니다.
Step.04
Inbound/Outbound에서 Network DIscovery(네트워크 검색) 그룹이 아닌 Rule들을 모두 제거합니다.
Step.05
가독성을 위해 Profile별로 생성되어 있는 Rule을 1개로 합쳐줄 수도 있습니다.
3개중에 2개를 지우고, 남은 1개의 Rule에서 모든 Profile이 설정되도록 할 수 있습니다.
남은 1개의 Rule을 더블클릭하여 고급탭으로 이동하여 모든 프로필(도메인, 개인, 공용)의 체크박스를 체크합니다.
Step.06
위에서 정리한 Rule을 더블클릭한 후 일반 탭으로 이동하여 작업을 '연결 차단'으로 변경합니다.
Step.07
최종적으로 아래와 같이 표시됩니다.
Step.08
해당 정책을 테스트 할 컴퓨터에 적용한 후 결과를 확인합니다.
정책 강제 적용(CMD에서)
| gpupdate /force |
적용된 정책 확인(CMD에서)
| gpresult /r |
정책이 잘 적용 되었다면 Network 하위에 다른 컴퓨터들이 표시되지 않으며, 사용자가 활성화 할 수 없게끔 강제됩니다.
또한, 주변의 PC에 접속이 불가능합니다.
[Function Discovery Provider Host 모드 변경]
Step.01
윈도우키+R키를 누른 후 regedit.msc 명령어를 입력하여 Registry 편집기를 실행합니다.
Step.02
Registry 편집기에서 아래의 경로로 이동하여 값 이름을 찾습니다.
경로: HKLM\SYSTEM\CurrentControlSet\Services\fdPHost
이름: Start
Step.03
'Start'의 값 데이터를 '4'로 변경합니다.
Step.04
컴퓨터를 재부팅 한 후 결과를 확인합니다.
위 설정은 AD GPO로도 설정이 가능합니다.
경로: 컴퓨터 구성 > 정책 > Windows 설정 > 시스템 서비스
서비스 이름: Function Discovery Provider Host
서비스 이름을 더블클릭한 후 속성을 아래와 같이 편집합니다.
이후 그룹 정책 개체의 설정을 확인하면 아래와 같은 모습입니다.
생성한 그룹 정책 개체를 적용하고자 하는 OU에 적용하면 됩니다.
이후 해당 정책을 테스트 할 컴퓨터에 적용한 후 결과를 확인합니다.
정책 강제 적용(CMD에서)
| gpupdate /force |
적용된 정책 확인(CMD에서)
| gpresult /r |
정책이 잘 적용 되었다면 Network 하위에 다른 컴퓨터들이 표시되지 않지만, 주변의 PC에는 접근이 가능하도록 설정이 됩니다.
'MS Windows' 카테고리의 다른 글
| [MS Windows] Windows 가상머신 Hyper-V 설치하기 (0) | 2023.05.01 |
|---|---|
| [MS Windows] Windows 자동 로그온 해지 방법 (0) | 2023.04.25 |
