소프트웨어 제한 정책 기술 개요
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
이 항목에서는 소프트웨어 제한 정책, 기능 사용 시기 및 방법, 이전 릴리스에서 구현된 변경 내용에 대해 설명하고 Windows Server 2008 및 Windows Vista부터 소프트웨어 제한 정책을 만들고 배포하는 데 도움이 되는 추가 리소스에 대한 링크를 제공합니다.
소개
소프트웨어 제한 정책은 관리자에게 소프트웨어를 식별하고 로컬 컴퓨터에서 실행되는 기능을 제어하는 그룹 정책 기반 메커니즘을 제공합니다. 이러한 정책은 알려진 충돌으로부터 Microsoft Windows 운영 체제(Windows Server 2003 및 Windows XP Professional부터 시작)를 실행하는 컴퓨터를 보호하고 악성 바이러스 및 트로이 목마 프로그램과 같은 보안 위협으로부터 컴퓨터를 보호하는 데 사용할 수 있습니다. 또한 소프트웨어 제한 정책을 사용하여 명확하게 식별된 애플리케이션만 실행할 수 있도록 고도로 제한된 컴퓨터 구성을 만들 수 있습니다. 소프트웨어 제한 정책은 Microsoft Active Directory 및 그룹 정책에 통합되어 있습니다. 독립 실행형 컴퓨터에 소프트웨어 제한 정책을 만들 수도 있습니다.
소프트웨어 제한 정책은 완전히 신뢰할 수 없는 스크립트와 기타 코드를 실행하지 못하도록 제한하기 위해 관리자가 만든 규정으로 구성된 신뢰할 수 있는 정책입니다. 로컬 그룹 정책 편집기의 소프트웨어 제한 정책 확장은 애플리케이션 사용을 제한하기 위한 설정을 로컬 컴퓨터에서 또는 할 일 전체에서 관리할 수 있는 단일 사용자 인터페이스를 제공합니다기본.
프로시저
소프트웨어 제한 정책 사용 시나리오
비즈니스 사용자는 전자 메일, 인스턴트 메시징 및 피어 투 피어 애플리케이션을 사용하여 공동 작업합니다. 이러한 협업이 증가함에 따라, 특히 비즈니스 컴퓨팅에서 인터넷을 사용하면 웜, 바이러스, 악의적인 사용자 또는 공격자 위협과 같은 악성 코드의 위협도 증가합니다.
사용자는 네이티브 Windows 실행 파일(.exe 파일),문서의 매크로(예: .doc 파일) 및 스크립트(예: .vbs 파일)에 이르기까지 다양한 형태로 적대적인 코드를 받을 수 있습니다. 악의적인 사용자 또는 공격자는 종종 소셜 엔지니어링 방법을 사용하여 사용자가 바이러스 및 웜이 포함된 코드를 실행하도록 합니다. (사회 공학은 사람들이 자신의 암호 또는 보안 정보의 어떤 형태를 공개로 속이는 용어입니다.) 이러한 코드가 활성화되면 네트워크에서 서비스 거부 공격을 생성하거나, 중요한 데이터 또는 개인 데이터를 인터넷에 보내거나, 컴퓨터의 보안을 위험에 빠뜨리거나, 하드 디스크 드라이브의 콘텐츠를 손상시킬 수 있습니다.
IT 조직과 사용자는 실행하기에 안전한 소프트웨어와 그렇지 않은 소프트웨어를 확인할 수 있어야 합니다. 악의적인 코드가 취할 수 있는 많은 수와 양식으로 인해 이 작업은 어려운 작업이 됩니다.
악의적인 코드와 알 수 없거나 지원되지 않는 소프트웨어로부터 네트워크 컴퓨터를 보호하기 위해 조직은 전체 보안 전략의 일환으로 소프트웨어 제한 정책을 구현할 수 있습니다.
관리자는 소프트웨어 제한 정책을 사용하여 다음과 같은 작업을 수행할 수 있습니다.
신뢰할 수 있는 코드 정의
스크립트, 실행 파일 및 ActiveX 컨트롤을 규제할 수 있는 유연한 그룹 정책 설계
소프트웨어 제한 정책은 소프트웨어 제한 정책을 준수하는 애플리케이션(예: 스크립팅 애플리케이션) 및 운영 체제에서 강제 적용됩니다.
관리자는 특히 다음과 같은 목적으로 소프트웨어 제한 정책을 사용할 수 있습니다.
클라이언트 컴퓨터에서 실행할 수 있는 소프트웨어(실행 파일) 지정
사용자가 공유 컴퓨터에서 특정 프로그램을 실행할 수 없도록 지정
클라이언트 컴퓨터에 신뢰할 수 있는 게시자를 추가할 수 있는 사용자 지정
소프트웨어 제한 정책의 범위를 설정합니다(정책이 모든 사용자에게 영향을 주는지 아니면 클라이언트 컴퓨터의 사용자 하위 집합에 영향을 주는지 지정).
실행 파일이 로컬 컴퓨터, OU(조직 구성 단위), 사이트 또는 도메인에서 실행될 수 없도록 방지합니다. 이는 악성 사용자의 잠재적인 문제점을 해결하는 데 소프트웨어 제한 정책을 사용하지 않는 경우에 적절합니다.
기능의 차이점 및 변경 내용
Windows Server 2012 및 Windows 8용 SRP의 기능은 변경되지 않습니다.
지원되는 버전
소프트웨어 제한 정책은 Windows Server 2012를 포함하여 Windows Server 2003 이상을 실행하는 컴퓨터 및 Windows 8을 포함하여 Windows XP 이상에서만 구성하고 적용할 수 있습니다.
참고 항목
Windows Vista로 시작하는 특정 버전의 Windows 클라이언트 운영 체제에는 소프트웨어 제한 정책이 없습니다. 그룹 정책에 의해 do기본 관리되지 않는 컴퓨터는 분산 정책을 받지 못할 수 있습니다.
소프트웨어 제한 정책 및 AppLocker에서 애플리케이션 제어 함수 비교
다음 표에서는 SRP(소프트웨어 제한 정책) 기능과 AppLocker의 기능과 기능을 비교합니다.
| 애플리케이션 제어 기능 | SRP | AppLocker |
|---|---|---|
| Scope | SRP 정책은 Windows XP 및 Windows Server 2003부터 모든 Windows 운영 체제에 적용할 수 있습니다. | AppLocker 정책은 Windows Server 2008 R2, Windows Server 2012, Windows 7 및 Windows 8에만 적용됩니다. |
| 정책 만들기 | SRP 정책은 그룹 정책을 통해 기본 있으며 GPO의 관리자만 SRP 정책을 업데이트할 수 있습니다. 로컬 컴퓨터의 관리자는 로컬 GPO에 정의된 SRP 정책을 수정할 수 있습니다. | AppLocker 정책은 그룹 정책을 통해 기본 있으며 GPO의 관리자만 정책을 업데이트할 수 있습니다. 로컬 컴퓨터의 관리자는 로컬 GPO에 정의된 AppLocker 정책을 수정할 수 있습니다. AppLocker를 사용할 경우 사용자를 지원 웹 페이지로 안내하기 위해 오류 메시지를 사용자 지정할 수 있습니다. |
| 정책 유지 관리 | 로컬 보안 정책 스냅인(정책이 로컬로 만들어진 경우) 또는 GPMC(그룹 정책 관리 콘솔)를 사용하여 SRP 정책을 업데이트해야 합니다. | 로컬 보안 정책 스냅인(정책이 로컬로 만들어진 경우) 또는 GPMC 또는 Windows PowerShell AppLocker cmdlet을 사용하여 AppLocker 정책을 업데이트할 수 있습니다. |
| 정책 애플리케이션 | SRP 정책은 그룹 정책을 통해 배포됩니다. | AppLocker 정책은 그룹 정책을 통해 배포됩니다. |
| 적용 모드 | SRP는 관리자가 이 Enterprise에서 허용하지 않으려는 파일에 대한 규칙을 만들 수 있는 "거부 목록 모드"에서 작동하지만 나머지 파일은 기본적으로 실행할 수 있습니다. SRP는 기본적으로 모든 파일이 차단되고 관리자가 허용하려는 파일에 대한 허용 규칙을 만들어야 하므로 "허용 목록 모드"에서 구성할 수도 있습니다. |
AppLocker는 기본적으로 일치하는 허용 규칙이 있는 파일만 실행할 수 있는 "허용 목록 모드"에서 작동합니다. |
| 제어할 수 있는 파일 형식 | SRP는 다음 파일 형식을 제어할 수 있습니다. -실행 SRP는 각 파일 형식을 개별적으로 제어할 수 없습니다. 모든 SRP 규칙은 단일 규칙 컬렉션에 있습니다. |
AppLocker는 다음 파일 형식을 제어할 수 있습니다. -실행 AppLocker는 기본 5가지 파일 형식 각각에 대해 별도의 규칙 컬렉션을 만듭니다. |
| 지정된 파일 형식 | SRP는 실행 파일로 간주되는 확장 가능한 파일 형식 목록을 지원합니다. 관리 재배자는 실행 파일로 간주되어야 하는 파일에 대한 확장을 추가할 수 있습니다. | AppLocker는 이를 지원하지 않습니다. AppLocker는 현재 다음 파일 확장자를 지원합니다. - 실행 파일(.exe, .com) |
| 규칙 유형 | SRP는 다음 네 가지 유형의 규칙을 지원합니다. -해시 |
AppLocker는 다음 세 가지 유형의 규칙을 지원합니다. -해시 |
| 해시 값 편집 | SRP를 사용하면 관리자가 사용자 지정 해시 값을 제공할 수 있습니다. | AppLocker는 해시 값 자체를 계산합니다. 내부적으로 이식 가능한 실행 파일(Exe 및 Dll)용 SHA1 Authenticode 해시와 Windows Installers 및 나머지에 대한 SHA1 플랫 파일 해시를 사용합니다. |
| 다양한 보안 수준 지원 | SRP 관리자는 앱을 실행할 수 있는 권한을 지정할 수 있습니다. 따라서 관리자는 메모장이 항상 제한된 권한으로 실행되고 관리자 권한으로 실행되지 않도록 규칙을 구성할 수 있습니다. Windows Vista 및 이전 버전의 SRP는 여러 보안 수준을 지원했습니다. Windows 7에서 해당 목록은 허용 안 함 및 무제한(기본 사용자가 허용되지 않음으로 변환됨)의 두 가지 수준으로 제한되었습니다. |
AppLocker는 보안 수준을 지원하지 않습니다. |
| 패키지된 앱 및 패키지된 앱 설치 관리자 관리 | 없습니다 | .appx는 AppLocker에서 관리할 수 있는 유효한 파일 형식입니다. |
| 사용자 또는 사용자 그룹에 규칙 대상 지정 | SRP 규칙은 특정 컴퓨터의 모든 사용자에게 적용됩니다. | AppLocker 규칙은 특정 사용자 또는 사용자 그룹을 대상으로 할 수 있습니다. |
| 규칙 예외 지원 | SRP는 규칙 예외를 지원하지 않습니다. | AppLocker 규칙에는 관리자가 "Regedit.exe를 제외한 Windows의 모든 항목 허용"과 같은 규칙을 만들 수 있는 예외가 있을 수 있습니다. |
| 감사 모드 지원 | SRP는 감사 모드를 지원하지 않습니다. SRP 정책을 테스트하는 유일한 방법은 테스트 환경을 설정하고 몇 가지 실험을 실행하는 것입니다. | AppLocker는 관리자가 사용자 환경에 영향을 주지 않고 실제 프로덕션 환경에서 정책의 효과를 테스트할 수 있도록 하는 감사 모드를 지원합니다. 결과에 만족하면 정책 적용을 시작할 수 있습니다. |
| 정책 내보내기 및 가져오기 지원 | SRP는 정책 가져오기/내보내기를 지원하지 않습니다. | AppLocker는 정책 가져오기 및 내보내기를 지원합니다. 이렇게 하면 샘플 컴퓨터에서 AppLocker 정책을 만들고 테스트한 다음 해당 정책을 내보낸 다음 원하는 GPO로 다시 가져올 수 있습니다. |
| 규칙 적용 | 내부적으로 SRP 규칙 적용은 보안이 떨어지는 사용자 모드에서 발생합니다. | 내부적으로 Exes 및 Dll에 대한 AppLocker 규칙은 커널 모드에서 적용되며 사용자 모드에서 적용하는 것보다 더 안전합니다. |
시스템 요구 사항
소프트웨어 제한 정책은 Windows Server 2003 이상 및 Windows XP 이상을 실행하는 컴퓨터에서만 구성하고 적용할 수 있습니다. 그룹 정책은 소프트웨어 제한 정책을 포함하는 그룹 정책 개체를 배포하는 데 필요합니다.
소프트웨어 제한 정책 구성 요소 및 아키텍처
소프트웨어 제한 정책은 소프트웨어 프로그램의 런타임 실행을 제한하는 소프트웨어 제한 정책을 준수하는 운영 체제 및 애플리케이션에 대한 메커니즘을 제공합니다.
개략적으로 소프트웨어 제한 정책은 다음 구성 요소로 구성됩니다.
소프트웨어 제한 정책 API. API(애플리케이션 프로그래밍 인터페이스)는 소프트웨어 제한 정책을 구성하는 규칙을 만들고 구성하는 데 사용됩니다. 또한 소프트웨어 제한 정책을 쿼리, 처리 및 적용하기 위한 소프트웨어 제한 정책 API도 있습니다.
소프트웨어 제한 정책 관리 도구입니다. 이는 관리자가 소프트웨어 제한 정책을 만들고 편집하는 데 사용하는 로컬 그룹 정책 개체 편집기 스냅인의 소프트웨어 제한 정책 확장으로 구성됩니다.
런타임에 소프트웨어 제한 정책 적용을 제공하기 위해 소프트웨어 제한 정책 API를 호출하는 운영 체제 API 및 애플리케이션 집합입니다.
Active Directory 및 그룹 정책입니다. 소프트웨어 제한 정책은 Active Directory에서 해당 클라이언트로 소프트웨어 제한 정책을 전파하고 이러한 정책의 애플리케이션을 적절한 대상 컴퓨터로 범위 지정 및 필터링하기 위해 그룹 정책 인프라에 따라 달라집니다.
서명된 실행 파일을 처리하는 데 사용되는 Authenticode 및 WinVerify Trust API입니다.
이벤트 뷰어. 소프트웨어 제한 정책에서 사용하는 함수는 이벤트 뷰어 로그에 이벤트를 기록합니다.
결과 정책 집합(RSoP)은 클라이언트에 적용할 효과적인 정책의 진단에 도움이 될 수 있습니다.
SRP 아키텍처, SRP가 규칙, 프로세스 및 상호 작용을 관리하는 방법에 대한 자세한 내용은 Windows Server 2003 기술 라이브러리에서 소프트웨어 제한 정책이 작동하는 방식을 참조하세요.
모범 사례
기본 do기본 정책을 수정하지 마세요.
- 기본 do기본 정책을 편집하지 않으면 사용자 지정된 do기본 정책에 문제가 있는 경우 항상 기본 do기본 정책을 다시 적용할 수 있습니다.
소프트웨어 제한 정책에 대한 별도의 그룹 정책 개체를 만듭니다.
- 소프트웨어 제한 정책에 대해 별도의 GPO(그룹 정책 개체)를 만드는 경우 비상시에는 할 일기본 정책을 사용하지 않도록 설정하지 않고 소프트웨어 제한 정책을 사용하지 않도록 설정할 수 있습니다.
적용된 정책 설정에 문제가 있는 경우 금고 모드에서 Windows를 다시 시작합니다.
- Windows가 금고 모드에서 시작될 때 소프트웨어 제한 정책은 적용되지 않습니다. 실수로 소프트웨어 제한 정책을 사용하여 워크스테이션을 잠그고, 금고 모드에서 컴퓨터를 다시 시작하고, 로컬 관리자로 로그온하고, 정책을 수정하고, gpupdate를 실행하고, 컴퓨터를 다시 시작한 다음, 정상적으로 로그온합니다.
허용되지 않는 기본 설정을 정의할 때는 주의해야 합니다.
허용되지 않는 기본 설정을 정의하면 명시적으로 허용된 소프트웨어를 제외한 모든 소프트웨어가 허용되지 않습니다. 열려는 모든 파일에는 열 수 있는 소프트웨어 제한 정책 규칙이 있어야 합니다.
관리자가 시스템에서 자신을 잠그지 않도록 보호하기 위해 기본 보안 수준을 허용 안 됨으로 설정하면 4개의 레지스트리 경로 규칙이 자동으로 생성됩니다. 이러한 레지스트리 경로 규칙을 삭제하거나 수정할 수 있습니다. 그러나 권장되지는 않습니다.
최상의 보안을 위해 소프트웨어 제한 정책과 함께 액세스 제어 목록을 사용합니다.
- 사용자는 허용되지 않는 파일의 이름을 바꾸거나 이동하거나 무제한 파일을 덮어써 소프트웨어 제한 정책을 우회하려고 할 수 있습니다. 따라서 ACL(액세스 제어 목록)을 사용하여 사용자에게 이러한 작업을 수행하는 데 필요한 액세스를 거부하는 것이 좋습니다.
할 일기본 정책 설정을 적용하기 전에 테스트 환경에서 새 정책 설정을 철저히 테스트합니다.
새 정책 설정은 원래 예상과 다르게 작동할 수 있습니다. 테스트는 네트워크를 통해 정책 설정을 배포할 때 문제가 발생할 가능성을 줄입니다.
새 정책 설정을 테스트할 조직의 할 일기본 별도로 기본 테스트를 설정할 수 있습니다. 테스트 GPO를 만들고 테스트 조직 구성 단위에 연결하여 정책 설정을 테스트할 수도 있습니다. 테스트 사용자와 함께 정책 설정을 철저히 테스트한 경우 테스트 GPO를 사용자의 작업기본 연결할 수 있습니다.
어떤 효과가 있는지 확인하기 위해 테스트하지 않고 프로그램이나 파일을 허용되지 않도록 설정하지 마세요. 특정 파일에 대한 제한은 컴퓨터 또는 네트워크의 작업에 심각한 영향을 줄 수 있습니다.
잘못 입력되거나 실수를 입력하는 정보는 예상대로 수행되지 않는 정책 설정이 발생할 수 있습니다. 새 정책 설정을 적용하기 전에 테스트하면 예기치 않은 동작을 방지할 수 있습니다.
보안 그룹의 멤버 자격에 따라 사용자 정책 설정을 필터링합니다.
GPO에 대한 속성 대화 상자의 보안 탭에 있는 그룹 정책 적용 및 검사 읽기 상자를 선택 취소하여 정책 설정을 적용하지 않으려는 사용자 또는 그룹을 지정할 수 있습니다.
읽기 권한이 거부되면 컴퓨터에서 정책 설정을 다운로드하지 않습니다. 따라서 불필요한 정책 설정을 다운로드하여 더 적은 대역폭을 사용하므로 네트워크가 더 빠르게 작동할 수 있습니다. 읽기 권한을 거부하려면 GPO에 대한 속성 대화 상자의 보안 탭에 있는 읽기 검사 상자에 대해 거부를 선택합니다.
다른 do기본 또는 사이트의 GPO에 연결하지 마세요.
- 다른 do기본 또는 사이트에서 GPO에 연결하면 성능이 저하될 수 있습니다.
추가 리소스
| 콘텐츠 유형 | 참조 |
|---|---|
| 계획 | 소프트웨어 제한 정책 기술 참조 |
| 작업 | 소프트웨어 제한 정책 관리 |
| 문제 해결 | 소프트웨어 제한 정책 문제 해결(2003) |
| 보안 | 소프트웨어 제한 경찰에 대한 위협 및 대책(2008) |
| 도구 및 설정 | 소프트웨어 제한 정책 도구 및 설정(2003) |
| 커뮤니티 리소스 | 소프트웨어 제한 정책을 사용하여 애플리케이션 잠금 |