Windows 에서 SYSVOL 및 NETLOGON 공유 폴더에 접근 불가.

도메인에 가입된 컴퓨터에 도메인 계정으로 로그인 하면 SYSVOL 및 NETLOGON 공유폴더에는 무조건 접근 할수 있습니다.

하지만 Windows 10으로 도메인에 가입한 후에 해당 공유 폴더에 접근하려 하면 자격 증명을 입력하도록 창이 뜨게 됩니다.

이 경우 그룹 정책을 이용 "로그온 스크립트"를 배치 파일이나 스크립트를 NETLOGON 공유의 scripts 폴더에 위치 해두게 되면

위와 같이 자격 증명이 필요하기 때문에 실행이 되지 않습니다.

이것은 "강화된 UNC"경로가 도입되어 있기 때문입니다.

도메인에 가입된 Windows 기반 컴퓨터의 그룹 정책 서비스는 \\<Domain>\SYSVOL로 시작되는 UNC(범용 명명 규칙) 경로에서 업데이트된 보안 정책을 자동으로 다운로드하려고 시도합니다. 이 서비스는 해당 GPO(그룹 정책 개체)에서 실행되도록 구성된 모든 스크립트를 실행합니다. 일반적으로 이러한 스크립트는 \\<Domain>\NETLOGON으로 시작되는 UNC 경로에 저장됩니다.  응용 프로그램이 UNC(범용 명명 규칙) 경로가 포함된 I/O 요청을 만드는 경우 MUP(여러 UNC 공급자)로 해당 요청이 전달됩니다. MUP는 I/O 요청을 처리할 UNC 공급자를 선택하고 이 요청을 선택된 UNC 공급자로 전달합니다. 선택된 UNC 공급자가 이 요청을 처리한 후, 이 요청을 한 응용 프로그램으로 다시 결과를 전달합니다.    악의적인 공격자가 UNC 공급자와 대상 서버 간 통신을 스푸핑, 변조 또는 리디렉션할 수 있는 경우 시스템 관리자가 선택한 스크립트 외에 또는 이러한 스크립트 대신에 악의적인 의도를 가진 스크립트나 프로그램을 그룹 정책이 실행하게 할 수 있습니다.    Microsoft는 Windows 플랫폼에서 사용할 수 있는 새로운 기능인 UNC Hardened Access(UNC 강화 액세스)를 발표할 예정입니다. 이러한 공격 및 관련된 공격에 대한 완화를 제공하기 위해, 이 기능은 Windows 기반 컴퓨터가 UNC 경로에 액세스할 때 데이터의 보호 및 처리를 개선합니다.

보안 적인 측면에서는 놔두는것이 좋지만 불편 하면 아래와 같이 설정을 통하여

자격 증명 입력이 필요 없이 NETLOGON 및 SYSVOL 폴더에 접근이 가능합니다.

“실행 > gpeidt.msc > 컴퓨터 구성 > 관리 템플릿 > 네트워크 > 네트워크 공급자 > 강화된 UNC 경로 > 사용”  "표시"를 선택 하 아래와 같이 입력합니다. ※또는 특정 IP로 입력 가능.

이후 SYSVOL 및 NETLOGON에 접근이 가능해집니다.

Windows 10에는 기본적으로 적용이 되어 있고 다른 버전에서는 MS15-011 보안 패치가 설치되어 있을 경우

해당 정책을 확인 할수 있습니다.

도메인 컨트롤러에서 해당 보안 패치를 설치 하게되면 도메인 그룹 정책으로 설정 할수 있습니다.

자세한 내용은 아래의 링크를 확인 하시기 바랍니다.

[참고]

Microsoft 보안 공지 MS15-011 - 긴급

MS15-011: 그룹 정책의 취약성으로 인한 원격 코드 실행 문제: 2015년 2월 10일 (KB300483)