소프트웨어 제한 정책 관리

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

IT 전문가를 위한 이 항목에는 Windows Server 2008 및 Windows Vista부터 SRP(소프트웨어 제한 정책)를 사용하여 애플리케이션 제어 정책을 관리하는 방법에 대한 절차가 포함되어 있습니다.

소개

SRP(소프트웨어 제한 정책)는 도메인의 컴퓨터에서 실행 중인 소프트웨어 프로그램을 식별하고, 실행할 해당 프로그램의 기능을 제어하는 그룹 정책 기반 기능입니다. 소프트웨어 제한 정책을 사용하면 명확하게 식별된 애플리케이션만 실행할 수 있도록 고도로 제한된 컴퓨터 구성을 만들 수 있습니다. 이러한 정책은 Microsoft Active Directory 도메인 Services 및 그룹 정책과 통합되지만 독립 실행형 컴퓨터에서도 구성할 수 있습니다. SRP에 대한 자세한 내용은 소프트웨어 제한 정책을 참조 하세요.

Windows Server 2008 R2 및 Windows 7부터 Windows AppLocker는 애플리케이션 제어 전략의 일부에 대해 SRP 대신 또는 SRP와 함께 사용할 수 있습니다.

이 항목에는 다음이 포함됩니다.

• 소프트웨어 제한 정책을 열려면

• 새 소프트웨어 제한 정책을 만들려면

• 지정된 파일 형식을 추가하거나 삭제하려면

• 소프트웨어 제한 정책이 로컬 관리자에게 적용되지 않도록 하려면

• 소프트웨어 제한 정책의 기본 보안 수준을 변경하려면

• DLL에 소프트웨어 제한 정책을 적용하려면

SRP를 사용하여 특정 작업을 수행하는 방법에 대한 자세한 내용은 다음을 참조하세요.

• 소프트웨어 제한 정책에 대한 허용 거부 목록 및 애플리케이션 인벤토리 확인

• 소프트웨어 제한 정책 규칙 사용

• 소프트웨어 제한 정책을 사용하여 전자 메일 바이러스로부터 컴퓨터 보호

소프트웨어 제한 정책을 열려면

• 로컬 컴퓨터의 경우

• 할 일기본, 사이트 또는 조직 구성 단위의 경우 구성원 서버 또는 할 일에 조인된 워크스테이션에 있습니다기본

• 할 일기본 또는 조직 구성 단위의 경우 do기본 컨트롤러 또는 원격 서버 관리istration Tools가 설치된 워크스테이션에 있습니다.

• 사이트의 경우 do기본 컨트롤러 또는 원격 서버 관리istration Tools가 설치된 워크스테이션에 있습니다.

로컬 컴퓨터의 경우

1. 로컬 보안 설정을 엽니다.

2. 콘솔 트리에서 소프트웨어 제한 정책을 클릭합니다.

   어디?

   • 보안 설정/소프트웨어 제한 정책

참고 항목

이 절차를 수행하려면 로컬 컴퓨터의 Administrators 그룹 구성원이거나 적절한 권한을 위임 받아야 합니다.

할 일기본, 사이트 또는 조직 구성 단위의 경우 구성원 서버 또는 할 일에 조인된 워크스테이션에 있습니다기본

1. MMC(Microsoft Management Console)를 엽니다.

2. 파일 메뉴에서 스냅인 추가/제거를 클릭한 다음 추가를 클릭합니다.

3. 로컬 그룹 정책 개체 편집기를 클릭한 다음 추가를 클릭합니다.

4. 그룹 정책 개체 선택에서 찾아보기를 클릭합니다.

5. 그룹 정책 개체 찾아보기에서 적절한 작업기본, 사이트 또는 조직 구성 단위에서 GPO(그룹 정책 개체)를 선택하거나 새로 만든 다음 마침을 클릭합니다.

6. 닫기, 확인을 차례로 클릭합니다.

7. 콘솔 트리에서 소프트웨어 제한 정책을 클릭합니다.

   어디?

   • 그룹 정책 개체 [ComputerName] 정책/컴퓨터 구성 또는

     사용자 구성/Windows 설정/보안 설정/소프트웨어 제한 정책

참고 항목

이 절차를 수행하려면 Do기본 관리s 그룹의 구성원이어야 합니다.

할 일기본 또는 조직 구성 단위의 경우 do기본 컨트롤러 또는 원격 서버 관리istration Tools가 설치된 워크스테이션에 있습니다.

1. 그룹 정책 관리 콘솔을 엽니다.

2. 콘솔 트리에서 소프트웨어 제한 정책을 열려는 GPO(그룹 정책 개체)를 마우스 오른쪽 단추로 클릭합니다.

3. 편집을 클릭하여 편집할 GPO를 엽니다. 새로 만들기를 클릭하여 새 GPO를 만든 다음 편집을 클릭할 수도 있습니다.

4. 콘솔 트리에서 소프트웨어 제한 정책을 클릭합니다.

   어디?

   • 그룹 정책 개체 [ComputerName] 정책/컴퓨터 구성 또는

     사용자 구성/Windows 설정/보안 설정/소프트웨어 제한 정책

참고 항목

이 절차를 수행하려면 Do기본 관리s 그룹의 구성원이어야 합니다.

사이트의 경우 do기본 컨트롤러 또는 원격 서버 관리istration Tools가 설치된 워크스테이션에 있습니다.

1. 그룹 정책 관리 콘솔을 엽니다.

2. 콘솔 트리에서 그룹 정책을 설정할 사이트를 마우스 오른쪽 단추로 클릭합니다.

   어디?

   • Active Directory 사이트 및 서비스 [Do기본_Controller_Name.Do기본_Name]/Sites/Site

3. 그룹 정책 개체 링크의 항목을 클릭하여 기존 GPO(그룹 정책 개체)를 선택한 다음 편집을 클릭합니다. 새로 만들기를 클릭하여 새 GPO를 만든 다음 편집을 클릭할 수도 있습니다.

4. 콘솔 트리에서 소프트웨어 제한 정책을 클릭합니다.

   Where

   • 그룹 정책 개체 [ComputerName] 정책/컴퓨터 구성 또는

     사용자 구성/Windows 설정/보안 설정/소프트웨어 제한 정책

참고 항목

• 이 절차를 수행하려면 로컬 컴퓨터의 Administrators 그룹 구성원이거나 적절한 권한을 위임 받아야 합니다. 컴퓨터가 도메인에 가입되어 있으면 Domain Admins 그룹의 구성원이 이 절차를 수행할 수도 있습니다.
• 컴퓨터에 로그온하는 사용자에 관계없이 컴퓨터에 적용할 정책 설정을 설정하려면 컴퓨터 구성을 클릭합니다.
• 로그온한 컴퓨터에 관계없이 사용자에게 적용되는 정책 설정을 설정하려면 사용자 구성을 클릭합니다.

새 소프트웨어 제한 정책을 만들려면

1. 소프트웨어 제한 정책을 엽니다.

2. 작업 메뉴에서 새 소프트웨어 제한 정책을 클릭합니다.

Warning

• 사용자 환경에 따라 이 절차를 수행하는 데 서로 다른 관리 자격 증명 필요합니다.

  • 로컬 컴퓨터에 대한 새 소프트웨어 제한 정책을 만드는 경우: 로컬 관리istrators 그룹 또는 이와 동등한 멤버 자격은 이 절차를 완료하는 데 최소한 필요합니다.
  • 도메인에 가입된 컴퓨터에 대한 새 소프트웨어 제한 정책을 만들 경우 Domain Admins 그룹의 구성원이 이 절차를 수행할 수 있습니다.

• GPO(그룹 정책 개체)에 대한 소프트웨어 제한 정책이 이미 만들어진 경우 작업 메뉴에 새 소프트웨어 제한 정책 명령이 표시되지 않습니다. GPO에 적용되는 소프트웨어 제한 정책을 삭제하려면 콘솔 트리에서 소프트웨어 제한 정책을 마우스 오른쪽 단추로 클릭한 다음 소프트웨어 제한 정책 삭제를 클릭합니다. GPO에 대한 소프트웨어 제한 정책을 삭제하면 해당 GPO에 대한 모든 소프트웨어 제한 정책 규칙도 삭제됩니다. 소프트웨어 제한 정책을 삭제했으면 해당 GPO에 대한 새 소프트웨어 제한 정책을 만들 수 있습니다.

지정된 파일 형식을 추가하거나 삭제하려면

1. 소프트웨어 제한 정책을 엽니다.

2. 세부 정보 창에서 지정된 파일 형식을 두 번 클릭합니다.

3. 다음 작업 중 하나를 수행합니다.

   • 파일 형식을 추가하려면 파일 이름 확장명에서 파일 이름 확장명을 입력한 다음 추가를 클릭합니다.

   • 파일 형식을 삭제하려면 지정된 파일 형식에서 파일 형식을 클릭한 다음 제거를 클릭합니다.

참고 항목

• 지정한 파일 형식을 추가하거나 삭제하는 환경에 따라 이 절차를 수행하는 데 서로 다른 관리 자격 증명이 필요합니다.

  • 로컬 컴퓨터에 대해 지정된 파일 형식을 추가하거나 삭제하는 경우: 로컬 관리istrators 그룹 또는 이와 동등한 멤버 자격은 이 절차를 완료하는 데 최소한 필요합니다.
  • 도메인에 가입된 컴퓨터에 대한 새 소프트웨어 제한 정책을 만들 경우 Domain Admins 그룹의 구성원이 이 절차를 수행할 수 있습니다.

• 아직 이와 같이 적용하지 않은 경우 GPO(그룹 정책 개체)에 대해 새 소프트웨어 제한 정책 설정을 만들어야 할 수 있습니다.

• 지정된 파일 형식 목록은 컴퓨터 구성과 GPO의 사용자 구성 모두에 대한 모든 규칙에서 공유됩니다.

소프트웨어 제한 정책이 로컬 관리자에게 적용되지 않도록 하려면

1. 소프트웨어 제한 정책을 엽니다.

2. 세부 정보 창에서 적용을 두 번 클릭합니다.

3. 다음 사용자에게 소프트웨어 제한 정책 적용 아래에서 로컬 관리자를 제외한 모든 사용자를 클릭합니다.

Warning

• 로컬의 멤버 자격이 관리자 그룹 또는 그에 해당 하는이 절차를 완료 하는 데 필요한 최소입니다.
• 아직 이와 같이 적용하지 않은 경우 GPO(그룹 정책 개체)에 대해 새 소프트웨어 제한 정책 설정을 만들어야 할 수 있습니다.
• 일반적으로 사용자가 사용자 조직의 컴퓨터에서 로컬 관리자 그룹의 구성원인 경우 이 옵션이 필요하지 않을 수도 있습니다.
• 로컬 컴퓨터에 대한 소프트웨어 제한 정책 설정을 정의하는 경우 이 절차를 통해 로컬 관리자가 적용된 소프트웨어 제한 정책을 적용하지 못하도록 방지합니다. 네트워크에 대한 소프트웨어 제한 정책 설정을 정의하는 경우 그룹 정책을 통해 보안 그룹의 멤버 자격에 따라 사용자 정책 설정을 필터링합니다.

소프트웨어 제한 정책의 기본 보안 수준을 변경하려면

1. 소프트웨어 제한 정책을 엽니다.

2. 세부 정보 창에서 보안 수준을 두 번 클릭합니다.

3. 기본값으로 설정하려는 보안 수준을 마우스 오른쪽 단추로 클릭한 다음 기본값으로 설정을 클릭합니다.

주의

특정 디렉터리에서 기본 보안 수준을 허용 안 함으로 설정하면 운영 체제에 부정적인 영향을 줄 수 있습니다.

참고 항목

• 소프트웨어 제한 정책의 기본 보안 수준을 변경하는 환경에 따라 이 절차를 수행하는 데 서로 다른 관리 자격 증명이 필요합니다.
• 아직 이와 같이 적용하지 않은 경우 이 GPO(그룹 정책 개체)에 대한 새 소프트웨어 제한 정책 설정을 만들어야 할 수 있습니다.
• 세부 정보 창에서 현재 기본 보안 수준이 검정색 원 안에 확인 표시가 있는 상태로 표시됩니다. 현재 기본 보안 수준을 마우스 오른쪽 단추로 클릭하면 기본값으로 설정 명령이 메뉴에 표시되지 않습니다.
• 소프트웨어 제한 정책 규칙은 기본 보안 수준에 예외를 지정하기 위해 만들어집니다. 기본 보안 수준이 Unrestricted로 설정된 경우 규칙은 실행할 수 없는 소프트웨어를 지정할 수 있습니다. 기본 보안 수준이 허용 안 됨으로 설정된 경우 규칙은 실행할 수 있는 소프트웨어를 지정할 수 있습니다.
• 설치 시 시스템의 모든 파일에 대한 소프트웨어 제한 정책의 기본 보안 수준이 무제한으로 설정됩니다.

DLL에 소프트웨어 제한 정책을 적용하려면

1. 소프트웨어 제한 정책을 엽니다.

2. 세부 정보 창에서 적용을 두 번 클릭합니다.

3. 다음에 소프트웨어 제한 정책 적용에서 모든 소프트웨어 파일을 클릭합니다.

참고 항목

• 이 절차를 수행하려면 로컬 컴퓨터의 Administrators 그룹 구성원이거나 적절한 권한을 위임 받아야 합니다. 컴퓨터가 도메인에 가입되어 있으면 Domain Admins 그룹의 구성원이 이 절차를 수행할 수도 있습니다.
• 기본적으로 소프트웨어 제한 정책에서는 DLL(동적 연결 라이브러리)을 검사하지 않습니다. DLL을 검사하면 DLL을 로드할 때마다 소프트웨어 제한 정책이 평가되어야 하므로 시스템 성능이 저하될 수 있습니다. 그러나 DLL을 대상으로 하는 바이러스 수신이 염려될 경우 DLL을 검사하도록 결정할 수도 있습니다. 기본 보안 수준이 허용되지 않도록 설정되어 있고 DLL 검사 사용하도록 설정하는 경우 각 DLL을 실행할 수 있도록 하는 소프트웨어 제한 정책 규칙을 만들어야 합니다.