레지스트리의 SaveZoneInformation 값 제어
문제 상황
ADS 값 저장 테스트를 위해 레지스트리의 SaveZoneInformation 값을 0(Able)로 변경하려고 했으나, Document Security의 DSHLdr.exe 프로세스 실행 시 해당 값을 다시 1(disable)로 변경
원인 분석
문제 배경
- 인터넷에서 다운로드 받은 DRM 암호화 문서의 경우, 문서 오픈 과정 중 SaveZoneInformation 설정에 따라 정상적으로 오픈 되지 않는 경우가 존재합니다.
- SaveZoneInformation 설정시 보안 설정에 따라 OS가 열람을 차단합니다.
시스템 동작 방식
-
SaveZoneInformation에 대한 설정은 SDSMan.exe가 실행되고 로그인 완료 시점에 재설정을 수행합니다.
-
구체적 동작 방식: a. SaveZoneInformation 값 삭제 조건:
DS_SHIELDEX_CDR_SERVER_IP커스텀 정책이 존재하는 경우DS_SHIELDEX_CDR_SERVER_IP정책이 존재하지 않는다면,DS_NOT_USE_SENDLOG_ZONE_IDF커스텀 정책이 설정되지 않거나, 0으로 설정된 경우- 위 조건 충족 시, Current User에 존재하는 SaveZoneInformation 값을 삭제합니다.
b. 위 조건에 미충족 시:
- Current User에 존재하는 SaveZoneInformation 값을 1로 강제 설정합니다.
해결 방안
ADS 값 저장 테스트를 위해 SaveZoneInformation 값을 0으로 유지하기 위해서는 다음 설정 중 하나를 적용해야 합니다.
DS_NOT_USE_SENDLOG_ZONE_IDF커스텀 정책을 1로 설정DS_SHIELDEX_CDR_SERVER_IP정책을 적절히 구성