엔터프라이즈 수준 관리자는 종종 조직 내의 다양한 Windows 디바이스에서 보안을 관리할 책임이 있습니다. 새 Windows 릴리스에서 사용할 수 있게 되면 새 기능을 사용할 수 있는지 여부를 제어하는 정책을 구성하는 방법에는 여러 가지가 있습니다. 이 가이드에서는 Windows 11 Dev Drive 스토리지 볼륨 기능에 대한 중요한 정보와 개발자가 파일 시스템 필터 연결에 대한 보안 및 제어를 기본 동안 이 성능 최적화 스토리지 형식을 사용할 수 있도록 조직에 대한 그룹 정책을 구성하는 방법에 대해 설명합니다.
그룹 정책을 사용하도록 설정하는 방법에 대한 지침은 아래에서 선호하는 정책 관리 도구를 사용하여 찾을 수 있습니다.
Windows 11에 지속적인 혁신을 제공하기 위해 월별 누적 업데이트를 통해 새로운 기능과 향상된 기능이 도입되었습니다. 조직에서 계획 및 준비 시간을 제공하기 위해 Windows 11의 임시 엔터프라이즈 기능 제어를 사용하여 이러한 새로운 기능 중 일부는 기본적으로 일시적으로 해제됩니다.
정책에 의해 관리되는 Windows 업데이트가 있는 디바이스의 경우 개발자 드라이브가 자동으로 비활성화됩니다. 개발자 드라이브를 만드는 기능을 사용하지 않도록 설정하면 보안 관리자가 새 정책 업데이트를 결정하고 배포할 수 있는 시간이 일시적으로만 허용됩니다. 이러한 정책 업데이트를 결정하고 구성하기 위한 지침은 아래에 설명되어 있습니다.
Dev Drive 스토리지 사용 및 바이러스 백신 필터 보안에 대한 그룹 정책 결정
그룹 정책은 엔터프라이즈 관리자가 회사 디바이스의 설정을 관리하고 비즈니스 환경에서 사용자 계정(로컬 관리자)이 수행할 수 있는 설정을 제어할 수 있는 Windows 기능입니다.
Microsoft Defender 및 타사 바이러스 백신 필터를 모두 포함한 바이러스 백신 필터는 기본적으로 개발자 드라이브에 연결됩니다. 또한 Dev Drive 스토리지 볼륨에 대한 기본 설정을 사용하면 로컬 디바이스 관리자가 연결된 필터를 제어할 수 있습니다. 즉, 로컬 디바이스 관리자는 개발자 드라이브에 연결된 바이러스 백신 필터가 없도록 기본 바이러스 백신 필터를 제거하도록 시스템을 구성할 수 있습니다. 문제가 되는 경우 Dev Drive를 사용할 때 바이러스 백신 필터가 다시 연결되도록 그룹 정책을 구성할 수 기본 있습니다. 또한 허용되는 파일 시스템 필터 목록을 정의할 수 있습니다.
개발 드라이브를 사용하도록 그룹 정책 업데이트
이 개발자 드라이브 사용 정책 설정은 다음과 같습니다.
구성되지 않음: 기본적으로 그룹 정책에서 엔터프라이즈 관리자가 사용하도록 설정할 때까지 임시 엔터프라이즈 기능 구성 정책에서 Dev Drive 스토리지 볼륨 옵션이 꺼집니다.
옵션 - 바이러스 백신 필터가 개발자 드라이브를 보호하도록 허용: 개발자 드라이브는 개발자 시나리오의 성능에 최적화되어 로컬 관리자(사용자 계정)가 연결된 파일 시스템 필터를 선택할 수 있도록 합니다. 또한 "바이러스 백신 필터에서 Dev Drives를 보호하도록 허용" 옵션이 검사 않는 한 로컬 관리자가 기본 바이러스 백신 기능을 분리할 수 있습니다. 이 옵션을 선택하면 기본 안티바이러스 필터가 연결된 상태로 유지됩니다.
사용 안 함: 이 설정을 사용하지 않도록 설정하면 Dev Drive 스토리지 볼륨을 만들고 사용하는 기능이 해제됩니다.
Dev Drive 필터 연결 정책 업데이트
또한 개발자 드라이브에 연결할 수 있는 필터를 엔터프라이즈 관리자가 제어할 수 있도록 하는 Dev Drive 필터 연결 정책 설정이 있습니다. 설정은 다음과 같습니다.
구성되지 않음: 기본적으로 Dev Drive는 Microsoft Defender 및 타사 바이러스 백신 필터가 연결되어 있지만 다른 파일 시스템 필터가 없는 성능에 최적화되어 있습니다. 이 기본 설정을 사용하면 로컬 관리자가 기본 바이러스 백신 필터를 포함하여 필터를 연결하거나 분리할 수 있습니다. 위의 Enable Dev Drive 정책에서 "바이러스 필터가 Dev Drive를 보호하도록 허용" 옵션을 선택하면 더 이상 필터 정책이 정의되지 않더라도 바이러스 필터가 계속 연결된 상태로 유지됩니다.
사용: 로컬 관리자(사용자 계정)는 필터를 연결하거나 분리할 수 있습니다. 필터 목록을 추가하면 엔터프라이즈 관리자(그룹 정책 도메인 수준)가 연결할 수 있는 필터를 정의할 수 있습니다. 필터 목록을 포함하지 않으면 필터를 연결할 수 있습니다.
사용 안 함: 로컬 관리자(사용자 계정)는 필터를 연결하거나 분리할 수 없습니다.
개발자 드라이브 기능을 사용하도록 설정하고 그룹 정책을 업데이트하는 몇 가지 방법이 있습니다.
Windows 11 로컬 그룹 정책 편집기를 사용하여 개발 드라이브에 대한 그룹 정책 업데이트
Windows 11 로컬 그룹 정책 편집기를 사용하여 그룹 정책을 업데이트하고 Dev Drive를 사용하도록 설정하려면 다음을 수행합니다.
Windows 제어판 로컬 그룹 정책 편집기를 엽니다.
컴퓨터 구성에서관리이상 템플릿>시스템>파일 시스템을 선택하고 설정 목록에서 개발 드라이브 사용을 선택합니다.
그룹 정책에서 Dev Drive를 사용하도록 설정하려면 사용을 선택합니다.
이 필터 연결 정책을 업데이트하려면 Windows 제어판 로컬 그룹 정책 편집기에서Dev Drive 필터 연결 정책을 선택합니다.
FsUtil을 사용하여 정책 쿼리
FSUtil을 사용하여 개발 드라이브에 대해 구성된 그룹 정책을 쿼리할 수 있습니다. 다음은 구성된 개발 드라이브 그룹 정책에 대한 FsUtil 쿼리의 출력입니다.
Dev Drive 사용
바이러스 백신 필터가 Dev Drives를 보호하도록 허용(MsSecFlt)
FileInfo 미니 필터가 허용된 필터로 필터 목록에 추가되었습니다.
FSUtil 명령을 입력합니다.
fsutil devdrv query
결과:
Developer volumes are enabled.
Developer volumes are protected by antivirus filter, by group policy.
Filters allowed on any developer volume, by group policy:
MsSecFlt
Filters allowed on any developer volume:
FileInfo
이 동일한 쿼리는 특정 Dev Drive에서 실행하여 연결된 필터를 볼 수 있습니다. 특정 Dev Drive에서 명령을 실행하려면 다음 명령을 입력합니다.
fsutil devdrv query d:
결과:
This is a trusted developer volume.
Developer volumes are protected by antivirus filter, by group policy.
Filters allowed on any developer volume, by group policy:
MsSecFlt
Filters allowed on any developer volume:
FileInfo
Filters currently attached to this developer volume:
MsSecFlt, WdFilter, FileInfo