소프트웨어 제한 정책 문제 해결

이 문서에서는 Windows Server 2008 및 Windows Vista부터 SRP(소프트웨어 제한 정책)를 해결할 때 발생하는 일반적인 문제 및 해결 방법에 대해 설명합니다.

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

소개

SRP(소프트웨어 제한 정책)는 도메인의 컴퓨터에서 실행되는 소프트웨어 프로그램을 식별하고 해당 프로그램의 실행 기능을 제어하는 그룹 정책 기반 기능입니다. 소프트웨어 제한 정책을 사용하여 식별된 애플리케이션만 실행할 수 있는 컴퓨터에 대해 매우 제한된 구성을 만듭니다. 이러한 애플리케이션은 Microsoft Active Directory Domain Services 및 그룹 정책 통합되지만 독립 실행형 컴퓨터에서도 구성할 수 있습니다. SRP에 대한 자세한 내용은 소프트웨어 제한 정책을 참조하세요.

Windows Server 2008 R2 및 Windows 7부터 Windows AppLocker는 애플리케이션 제어 전략의 일부에 대해 SRP 대신 또는 SRP와 함께 사용할 수 있습니다.

Windows에서 프로그램을 열 수 없음

사용자는 "Windows는 소프트웨어 제한 정책에 의해 차단되었기 때문에 이 프로그램을 열 수 없습니다. 자세한 내용은 이벤트 뷰어 열거나 시스템 관리자에게 문의하세요." 또는 명령줄에 "시스템이 지정된 프로그램을 실행할 수 없습니다."라는 메시지가 나타납니다.

원인: 소프트웨어 프로그램이 허용되지 않음으로 설정되고 결과적으로 시작되지 않도록 기본 보안 수준(또는 규칙)이 만들어졌습니다.

솔루션: 이벤트 로그에서 메시지에 대한 자세한 설명을 확인합니다. 이벤트 로그 메시지는 허용되지 않음 으로 설정된 소프트웨어 프로그램과 프로그램에 적용되는 규칙을 나타냅니다.

수정된 소프트웨어 제한 정책이 적용되지 않음

원인 1: 그룹 정책 통해 도메인에 지정된 소프트웨어 제한 정책은 로컬로 구성된 모든 정책 설정을 재정의합니다. 정책이 적용되지 않는 경우 정책 설정을 재정의하는 도메인의 정책 설정이 있음을 암시할 수 있습니다.

원인 2: 그룹 정책 정책 설정을 새로 고치지 않았을 수 있습니다. 그룹 정책 정책 설정에 주기적으로 변경 내용을 적용하므로 디렉터리의 정책 변경 내용이 아직 새로 고쳐지지 않았을 수 있습니다.

솔루션:

• 네트워크에 대한 소프트웨어 제한 정책을 수정하는 컴퓨터는 도메인 컨트롤러에 연결할 수 있어야 합니다. 컴퓨터가 도메인 컨트롤러에 연결할 수 있는지 확인합니다.
• 네트워크에서 로그오프한 다음 네트워크에 다시 로그온하여 정책을 새로 고칩니다. 그룹 정책 통해 정책이 적용되는 경우 다시 로그인하면 해당 정책이 새로 고쳐집니다.
• 명령줄 유틸리티 gpupdate 를 사용하여 또는 에서 로그오프한 다음 컴퓨터에 다시 로그온하여 정책 설정을 새로 고칠 수 있습니다. 최상의 결과를 위해 를 실행 gpupdate한 다음 로그아웃하고 컴퓨터에 다시 로그온합니다. 일반적으로 보안 설정은 워크스테이션 또는 서버에서 90분마다, 도메인 컨트롤러에서 5분마다 새로 고쳐집니다. 변경 내용이 있는지 여부에 관계없이 설정은 16시간마다 새로 고쳐집니다. 이러한 설정은 구성할 수 있으므로 각 도메인에서 새로 고침 간격이 다를 수 있습니다.
• 적용되는 정책을 확인합니다. 재정 의 없음 설정에 대한 도메인 수준 정책을 확인합니다.
• 그룹 정책 통해 도메인에 지정된 소프트웨어 제한 정책은 로컬로 구성된 모든 정책을 재정의합니다. 명령줄 도구를 사용하여 Gpresult 정책의 순 효과를 확인합니다. 정책이 적용되지 않는 경우 로컬 설정을 재정의하는 도메인의 정책이 있음을 암시할 수 있습니다.
• SRP 및 AppLocker 정책 설정이 동일한 GPO에 있는 경우 AppLocker 설정이 Windows 7, Windows Server 2008 R2 이상 버전보다 우선합니다. SRP 및 AppLocker 정책 설정을 다른 GPO에 배치하는 것이 좋습니다.

SRP를 통해 규칙을 추가한 후에는 컴퓨터에 로그인할 수 없습니다.

원인: 컴퓨터가 시작될 때 많은 프로그램 및 파일에 액세스합니다. 실수로 이러한 프로그램 또는 파일 중 하나를 허용 안 으로 설정했을 수 있습니다. 컴퓨터가 프로그램 또는 파일에 액세스할 수 없으므로 제대로 시작할 수 없습니다.

솔루션: 안전 모드에서 컴퓨터를 시작하고 로컬 관리자로 로그인한 다음 프로그램 또는 파일을 실행할 수 있도록 소프트웨어 제한 정책을 변경합니다.

새 정책 설정이 특정 파일 이름 확장 프로그램에 적용되지 않음

원인: 파일 이름 확장명은 지원되는 파일 형식 목록에 없습니다.

솔루션: SRP에서 지원하는 파일 형식 목록에 파일 이름 확장자를 추가합니다.

소프트웨어 제한 정책은 알 수 없거나 신뢰할 수 없는 코드를 규제하는 문제를 해결합니다. 소프트웨어 제한 정책은 소프트웨어를 식별하고 로컬 컴퓨터, 사이트, 도메인 또는 OU에서 실행되는 기능을 제어하기 위한 보안 설정입니다. GPO를 통해 이러한 설정을 구현할 수 있습니다.

기본 규칙이 예상대로 제한되지 않음

원인: 특정 시퀀스에 적용된 규칙으로 인해 특정 규칙이 기본 규칙을 재정의할 수 있습니다. SRP는 다음 시퀀스에서 규칙을 적용합니다(가장 구체적인 규칙부터 가장 일반적인 규칙까지).

1. 해시 규칙
2. 인증서 규칙
3. 경로 규칙
4. 인터넷 영역 규칙
5. 기본 규칙

솔루션: 애플리케이션을 제한하는 규칙을 평가하고 적절한 경우 기본 규칙을 제외한 모든 규칙을 제거합니다.

적용되는 제한을 검색할 수 없음

원인: 예기치 않은 동작에 대한 명백한 원인은 없습니다. GPO 새로 고침이 문제를 해결하지 못했습니다. 추가 조사가 필요합니다.

솔루션:

• 시스템 이벤트 로그를 조사하여 "소프트웨어 제한 정책"의 원본을 필터링합니다. 항목은 각 애플리케이션에 대해 구현되는 규칙을 명시적으로 나타냅니다.
• 고급 로깅을 사용하도록 설정합니다.
• 소프트웨어 제한 정책에 대한 자세한 내용은 소프트웨어 제한 정책에 대한 Allow-Deny 목록 및 애플리케이션 인벤토리 확인을 참조하세요.