소프트웨어 제한 정책 규칙 사용

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

이 항목에서는 소프트웨어 제한 정책을 사용하여 인증서, 경로, 인터넷 영역 및 해시 규칙을 사용하는 절차를 설명합니다.

소개

소프트웨어 제한 정책을 사용하면 실행할 수 있는 소프트웨어를 식별하고 지정하여 신뢰할 수 없는 소프트웨어로부터 컴퓨팅 환경을 보호할 수 있습니다. 소프트웨어가 기본적으로 허용되거나 실행되지 않도록 GPO(그룹 정책 개체)에 대해 제한되지 않거나 허용되지 않는 기본 보안 수준을 정의할 수 있습니다. 특정 소프트웨어에 대한 소프트웨어 제한 정책 규칙을 만들어 이 기본 보안 수준을 예외로 만들 수 있습니다. 예를 들어 기본 보안 수준이 허용되지 않도록 설정된 경우 특정 소프트웨어가 실행되도록 허용하는 규칙을 만들 수 있습니다. 규칙 유형은 다음과 같습니다.

• 인증서 규칙

  절차는 인증서 규칙 작업을 참조 하세요.

• 해시 규칙

  절차는 해시 규칙 작업을 참조 하세요.

• 인터넷 영역 규칙

  절차는 인터넷 영역 규칙 작업을 참조 하세요.

• 경로 규칙

  절차는 경로 규칙 작업을 참조하세요.

소프트웨어 제한 정책을 관리하는 다른 작업에 대한 자세한 내용은 관리 소프트웨어 제한 정책 등록을 참조하세요.

인증서 규칙 작업

소프트웨어 제한 정책은 서명 인증서로 소프트웨어를 식별할 수도 있습니다. 소프트웨어를 식별하는 인증서 규칙을 생성한 다음 보안 수준에 따라 소프트웨어 실행을 허용 또는 허용하지 않을 수 있습니다. 예를 들어, 인증서 규칙을 통해 사용자에게 메시지를 표시하지 않고 도메인의 신뢰할 수 있는 소스에 있는 소프트웨어를 자동으로 신뢰하게 할 수 있습니다. 또한 인증서 규칙을 사용하여 운영 체제의 허용되지 않는 영역에 있는 파일을 실행할 수도 있습니다. 인증서 규칙은 기본적으로 사용이 설정되어 있지 않습니다.

그룹 정책을 사용하여 할 일기본 대한 규칙이 만들어지면 그룹 정책 개체를 만들거나 수정할 수 있는 권한이 있어야 합니다. 로컬 컴퓨터에 대한 규칙을 만드는 경우 해당 컴퓨터에 관리 자격 증명이 있어야 합니다.

인증서 규칙을 만들려면

1. 소프트웨어 제한 정책을 엽니다.

2. 콘솔 트리 또는 세부 정보 창에서 추가 규칙을 마우스 오른쪽 단추로 클릭한 다음 새 인증서 규칙을 클릭합니다.

3. 찾아보기를 클릭한 다음 인증서 또는 서명된 파일을 선택합니다.

4. 보안 수준에서 허용되지않거나 제한 없음을 클릭합니다.

5. 설명에서 이 규칙에 대한 설명을 입력한 다음 확인을 클릭합니다.

참고 항목

• 아직 이와 같이 적용하지 않은 경우 GPO(그룹 정책 개체)에 대한 새로운 소프트웨어 제한 정책 설정을 생성해야 할 수도 있습니다.
• 인증서 규칙은 기본적으로 사용이 설정되어 있지 않습니다.
• 인증서 규칙의 영향을 받는 파일 형식은 소프트웨어 제한 정책에 대한 세부 정보 창의 지정된 파일 형식에 나열된 파일 형식 뿐입니다. 모든 규칙에서 공유하는 지정된 파일 형식의 목록은 한 가지입니다.
• 소프트웨어 제한 정책이 적용되려면 사용자가 로그오프하고 컴퓨터에 로그온하여 정책 설정을 업데이트해야 합니다.
• 둘 이상의 소프트웨어 제한 정책 규칙이 정책 설정에 적용되는 경우 충돌을 처리하기 위한 규칙의 우선 순위가 있습니다.

인증서 규칙 사용

환경에 따라 인증서 규칙을 사용하기 위한 여러 절차가 있습니다.

• 로컬 컴퓨터의 경우

• 그룹 정책 개체의 경우 할 일에 조인된 서버에 있습니다기본

• 그룹 정책 개체의 경우 기본 컨트롤러 또는 원격 서버 관리istration Tools가 설치된 워크스테이션에 있습니다.

• 기본 컨트롤러에만 해당하며, 사용자가 할 일기본 컨트롤러 또는 원격 서버 관리istration Tools Pack이 설치된 워크스테이션에 있습니다.

로컬 컴퓨터에 인증서 규칙을 사용하도록 설정하려면

1. 로컬 보안 설정을 엽니다.

2. 콘솔 트리에서 보안 설정/로컬 정책 아래에 있는 보안 옵션을 클릭합니다.

3. 세부 정보 창에서 시스템 설정을 두 번 클릭합니다 . 소프트웨어 제한 정책에 Windows 실행 파일에서 인증서 규칙 사용

4. 다음 중 하나를 수행하고 확인을 클릭합니다.

   • 인증서 규칙을 사용하도록 설정하려면 [사용]을 클릭합니다.

   • 인증서 규칙을 사용하지 않으려면 사용 안 함을 클릭합니다.

그룹 정책 개체에 대한 인증서 규칙을 사용하도록 설정하려면 할 일에 조인된 서버에 있습니다기본

1. MMC(Microsoft Management Console)를 엽니다.

2. 파일 메뉴에서 스냅인 추가/제거를 클릭한 다음 추가를 클릭합니다.

3. 로컬 그룹 정책 개체 편집기를 클릭한 다음 추가를 클릭합니다.

4. 그룹 정책 개체 선택에서 찾아보기를 클릭합니다.

5. 그룹 정책 개체 찾아보기에서 적절한 작업기본, 사이트 또는 조직 구성 단위에서 GPO(그룹 정책 개체)를 선택하거나 새로 만든 다음 마침을 클릭합니다.

6. 닫기, 확인을 차례로 클릭합니다.

7. 콘솔 트리에서 GroupPolicyObject [ComputerName] 정책/컴퓨터 구성/Windows 설정/보안 설정/로컬 정책/아래에 있는 보안 옵션을 클릭합니다.

8. 세부 정보 창에서 시스템 설정을 두 번 클릭합니다 . 소프트웨어 제한 정책에 Windows 실행 파일에서 인증서 규칙 사용

9. 이 정책 설정이 아직 정의되지 않은 경우 이러한 정책 설정 정의 검사 상자를 선택합니다.

10. 다음 중 하나를 수행하고 확인을 클릭합니다.

    • 인증서 규칙을 사용하도록 설정하려면 [사용]을 클릭합니다.

    • 인증서 규칙을 사용하지 않으려면 사용 안 함을 클릭합니다.

그룹 정책 개체에 대한 인증서 규칙을 사용하도록 설정하려면 do기본 컨트롤러 또는 원격 서버 관리istration Tools가 설치된 워크스테이션에 있습니다.

1. Active Directory 사용자 및 컴퓨터를 엽니다.

2. 콘솔 트리에서 인증서 규칙을 사용하려는 GPO(그룹 정책 개체)를 마우스 오른쪽 단추로 클릭합니다.

3. 속성을 클릭한 다음 그룹 정책 탭을 클릭합니다.

4. 편집을 클릭하여 편집할 GPO를 엽니다. 새로 만들기를 클릭하여 새 GPO를 만든 다음 편집을 클릭할 수도 있습니다.

5. 콘솔 트리에서 GroupPolicyObject[ComputerName] 정책/컴퓨터 구성/Windows 설정/보안 설정/로컬 정책 아래에 있는 보안 옵션을 클릭합니다.

6. 세부 정보 창에서 시스템 설정을 두 번 클릭합니다 . 소프트웨어 제한 정책에 Windows 실행 파일에서 인증서 규칙 사용

7. 이 정책 설정이 아직 정의되지 않은 경우 이러한 정책 설정 정의 검사 상자를 선택합니다.

8. 다음 중 하나를 수행하고 확인을 클릭합니다.

   • 인증서 규칙을 사용하도록 설정하려면 [사용]을 클릭합니다.

   • 인증서 규칙을 사용하지 않으려면 사용 안 함을 클릭합니다.

기본 컨트롤러에 대해서만 인증서 규칙을 사용하도록 설정하려면 할 일기본 컨트롤러 또는 원격 서버 관리istration Tools가 설치된 워크스테이션에 있습니다.

1. 도메인 컨트롤러 보안 설정을 엽니다.

2. 콘솔 트리에서 GroupPolicyObject [ComputerName] 정책/컴퓨터 구성/Windows 설정/보안 설정/로컬 정책 아래에 있는 보안 옵션을 클릭합니다.

3. 세부 정보 창에서 시스템 설정을 두 번 클릭합니다 . 소프트웨어 제한 정책에 Windows 실행 파일에서 인증서 규칙 사용

4. 이 정책 설정이 아직 정의되지 않은 경우 이러한 정책 설정 정의 검사 상자를 선택합니다.

5. 다음 중 하나를 수행하고 확인을 클릭합니다.

   • 인증서 규칙을 사용하도록 설정하려면 [사용]을 클릭합니다.

   • 인증서 규칙을 사용하지 않으려면 사용 안 함을 클릭합니다.

참고 항목

인증서 규칙을 적용하기 전에 이 절차를 수행해야 합니다.

신뢰할 수 있는 게시자 옵션 설정

점점 더 많은 소프트웨어 게시자 및 애플리케이션 개발자가 애플리케이션의 원본을 신뢰할 수 있는지 확인하기 위해 소프트웨어 서명을 사용하고 있습니다. 그러나 대부분의 사용자는 설치한 애플리케이션과 관련된 인증서 서명에 대해 이해하지 못하거나 거의 관심이 없습니다.

인증서 경로 유효성 검사 정책의 신뢰할 수 있는 게시자 탭에 있는 정책 설정을 통해 관리자는 신뢰할 수 있는 게시자에서 들어오는 것으로 허용할 수 있는 인증서를 제어할 수 있습니다.

로컬 컴퓨터에 대한 신뢰할 수 있는 게시자 정책 설정을 구성하려면

1. 시작 화면에서 gpedit.msc를 입력한 다음 Enter 키를 누릅니다.

2. 콘솔 트리에서 로컬 컴퓨터 정책\컴퓨터 구성\Windows 설정\보안 설정 아래의 공개 키 정책을 클릭합니다.

3. 인증서 경로 유효성 검사 설정 두 번 클릭한 다음 신뢰할 수 있는 게시자 탭을 클릭합니다.

4. 이러한 정책 설정 정의 검사 상자를 선택하고 적용할 정책 설정을 선택한 다음 확인을 클릭하여 새 설정을 적용합니다.

도메인에 대한 신뢰할 수 있는 게시자 정책 설정을 구성하려면

1. 그룹 정책 관리를 엽니다.

2. 콘솔 트리에서 포리스트에서 그룹 정책 개체를 두 번 클릭하고 편집하려는 기본 DO기본 정책 그룹 정책 개체(GPO)를 포함하는 기본.

3. 기본 도메인 정책 GPO를 마우스 오른쪽 단추로 클릭한 다음 편집을 클릭합니다.

4. 콘솔 트리의 컴퓨터 구성\Windows 설정\보안 설정 아래에서 공개 키 정책을 클릭합니다.

5. 인증서 경로 유효성 검사 설정 두 번 클릭한 다음 신뢰할 수 있는 게시자 탭을 클릭합니다.

6. 이러한 정책 설정 정의 검사 상자를 선택하고 적용할 정책 설정을 선택한 다음 확인을 클릭하여 새 설정을 적용합니다.

로컬 컴퓨터의 코드 서명에 사용된 인증서를 관리자만 관리할 수 있도록 하려면

1. 시작 화면에서 검색 프로그램 및 파일 또는 Windows 8의 데스크톱에서 gpedit.msc를 입력한 다음 Enter 키를 누릅니다.

2. 기본 Do기본 정책 또는 로컬 컴퓨터 정책 아래의 콘솔 트리에서 컴퓨터 구성, Windows 설정 및 보안 설정 두 번 클릭한 다음 공개 키 정책을 클릭합니다.

3. 인증서 경로 유효성 검사 설정 두 번 클릭한 다음 신뢰할 수 있는 게시자 탭을 클릭합니다.

4. 이러한 정책 설정 정의 검사 상자를 선택합니다.

5. 신뢰할 수 있는 게시자 관리에서 모든 관리자만 신뢰할 수 있는 게시자를 관리하도록 허용을 클릭한 다음 확인을 클릭하여 새 설정을 적용합니다.

도메인의 코드 서명에 사용된 인증서를 관리자만 관리할 수 있도록 하려면

1. 그룹 정책 관리를 엽니다.

2. 콘솔 트리에서 포리스트에서 그룹 정책 개체를 두 번 클릭하고 편집하려는 기본 Do기본 정책 GPO를 포함하는 기본.

3. 기본 도메인 정책 GPO를 마우스 오른쪽 단추로 클릭한 다음 편집을 클릭합니다.

4. 콘솔 트리의 컴퓨터 구성\Windows 설정\보안 설정 아래에서 공개 키 정책을 클릭합니다.

5. 인증서 경로 유효성 검사 설정 두 번 클릭한 다음 신뢰할 수 있는 게시자 탭을 클릭합니다.

6. 이러한 정책 설정 정의 검사 상자를 선택하고 원하는 변경 내용을 구현한 다음 확인을 클릭하여 새 설정을 적용합니다.

해시 규칙 작업

해시는 소프트웨어 프로그램 또는 파일을 고유하게 식별하는 일련의 고정 길이 바이트입니다. 해시는 해시 알고리즘으로 계산됩니다. 소프트웨어 프로그램에 대한 해시 규칙을 만들면 소프트웨어 제한 정책에서 프로그램의 해시를 계산합니다. 사용자가 소프트웨어 프로그램을 열려고 하면, 프로그램의 해시가 소프트웨어 제한 정책의 기존 해시 규칙과 비교됩니다. 소프트웨어 프로그램의 해시는 컴퓨터에서의 프로그램 위치에 관계없이 항상 동일합니다. 그러나 소프트웨어 프로그램을 어떤 방식으로 변경하는 경우 해시 또한 변경되고 소프트웨어 제한 정책의 해시 규칙에 있는 해시와 더 이상 일치하지 않습니다.

예를 들어 해시 규칙을 만들고 보안 수준을 허용 안 으로 설정하여 사용자가 특정 파일을 실행하지 못하도록 할 수 있습니다. 파일 이름을 바꾸거나 다른 폴더로 이동할 수 있으며 여전히 해시에 동일한 결과가 있을 수 있습니다. 그러나 파일 자체를 변경하면 해시 값도 변경되고 파일이 제한을 무시하도록 허용합니다.

해시 규칙을 만들려면

1. 소프트웨어 제한 정책을 엽니다.

2. 콘솔 트리 또는 세부 정보 창에서 추가 규칙을 마우스 오른쪽 단추로 클릭한 다음 새 해시 규칙을 클릭합니다.

3. 찾아보기를 클릭하여 파일을 찾습니다.

   참고 항목

   Windows XP에서는 미리 계산된 해시를 파일 해시에 붙여넣을 수 있습니다. Windows Server 2008 R2, Windows 7 이상 버전에서는 이 옵션을 사용할 수 없습니다.

4. 보안 수준에서 허용되지않거나 제한 없음을 클릭합니다.

5. 설명에서 이 규칙에 대한 설명을 입력한 다음 확인을 클릭합니다.

참고 항목

• 아직 이와 같이 적용하지 않은 경우 GPO(그룹 정책 개체)에 대해 새 소프트웨어 제한 정책 설정을 만들어야 할 수 있습니다.
• 바이러스나 트로이 목마가 실행되지 않게 방지하는 해시 규칙을 만들 수 있습니다.
• 다른 사용자가 바이러스를 실행할 수 없도록 해시 규칙을 사용하려면 소프트웨어 제한 정책을 사용하여 바이러스의 해시를 계산한 다음 해시 값을 다른 사람에게 전자 메일로 전송합니다. 바이러스 자체를 전자 메일로 전송하지 마십시오.
• 전자 메일을 통해 바이러스가 전송된 경우 전자 메일 첨부 파일의 실행을 방지하는 경로 규칙을 만들 수도 있습니다.
• 다른 폴더로 이동하거나 이름이 바뀐 파일에서는 동일한 해시가 발생합니다. 파일 자체를 변경하면 다른 해시가 발생합니다.
• 해시 규칙의 영향을 받는 파일 형식은 소프트웨어 제한 정책에 대한 세부 정보 창의 지정된 파일 형식에 나열된 파일 형식 뿐입니다. 모든 규칙에서 공유하는 지정된 파일 형식의 목록은 한 가지입니다.
• 소프트웨어 제한 정책이 적용되려면 사용자가 로그오프하고 컴퓨터에 로그온하여 정책 설정을 업데이트해야 합니다.
• 둘 이상의 소프트웨어 제한 정책 규칙이 정책 설정에 적용되는 경우 충돌을 처리하기 위한 규칙의 우선 순위가 있습니다.

인터넷 영역 규칙 작업

인터넷 영역 규칙은 Windows Installer 패키지에만 적용됩니다. 영역 규칙으로 Internet Explorer를 통해 지정된 영역에서 소프트웨어를 식별할 수 있습니다. 인터넷, 로컬 인트라넷, 신뢰할 수 있는 사이트, 제한된 사이트, 내 컴퓨터가 이러한 영역에 해당됩니다. 인터넷 영역 규칙은 사용자가 소프트웨어를 다운로드하고 설치하지 못하도록 설계되었습니다.

인터넷 영역 규칙을 만들려면

1. 소프트웨어 제한 정책을 엽니다.

2. 콘솔 트리 또는 세부 정보 창에서 추가 규칙을 마우스 오른쪽 단추로 클릭한 다음 새 인터넷 영역 규칙을 클릭합니다.

3. 인터넷 영역에서 인터넷 영역을 클릭합니다.

4. 보안 수준에서 허용 안 함 또는 제한 없음을 클릭한 다음 확인을 클릭합니다.

참고 항목

• 아직 이와 같이 적용하지 않은 경우 GPO(그룹 정책 개체)에 대해 새 소프트웨어 제한 정책 설정을 만들어야 할 수 있습니다.
• 영역 규칙은 Windows Installer 패키지인 .msi 파일 형식의 파일에만 적용됩니다.
• 소프트웨어 제한 정책이 적용되려면 사용자가 로그오프하고 컴퓨터에 로그온하여 정책 설정을 업데이트해야 합니다.
• 둘 이상의 소프트웨어 제한 정책 규칙이 정책 설정에 적용되는 경우 충돌을 처리하기 위한 규칙의 우선 순위가 있습니다.

경로 규칙 작업

경로 규칙은 파일 경로에 따라 소프트웨어를 식별하는 규칙입니다. 예를 들어 기본 보안 수준이 허용되지 않는 컴퓨터가 있는 경우에도 각 사용자에 대해 특정 폴더에 무제한 액세스 권한을 부여할 수 있습니다. 파일 경로를 사용하고 경로 규칙의 보안 수준을 무제한으로 설정하여 경로 규칙을 만들 수 있습니다. 이 종류의 규칙에 대 한 몇 가지 일반적인 경로는 %userprofile%, %windir%, %appdata%, %programfiles% 및 %temp%입니다. 소프트웨어의 레지스트리 키를 해당 경로로 사용하는 레지스트리 경로 규칙을 만들 수도 있습니다.

이러한 규칙은 경로에 의해 지정되기 때문에 소프트웨어 프로그램이 이동할 경우 해당 경로 규칙은 더 이상 적용되지 않습니다.

경로 규칙을 만들려면

1. 소프트웨어 제한 정책을 엽니다.

2. 콘솔 트리 또는 세부 정보 창에서 추가 규칙을 마우스 오른쪽 단추로 클릭한 다음 새 경로 규칙을 클릭합니다.

3. 경로에 경로를 입력하거나 찾아보기를 클릭하여 파일 또는 폴더를 찾습니다.

4. 보안 수준에서 허용되지않거나 제한 없음을 클릭합니다.

5. 설명에서 이 규칙에 대한 설명을 입력한 다음 확인을 클릭합니다.

주의

• Windows 폴더와 같은 특정 폴더에서 보안 수준을 허용 안 됨으로 설정하면 운영 체제 작업에 부정적인 영향을 줄 수 있습니다. 운영 체제의 중요한 구성 요소나 종속 프로그램 중 하나가 허용 안 함으로 설정되지 않도록 주의하십시오.

참고 항목

• 아직 이와 같이 적용하지 않은 경우 GPO(그룹 정책 개체)에 대한 새 소프트웨어 제한 정책을 만들어야 할 수도 있습니다.
• 보안 수준이 허용되지 않는 소프트웨어에 대한 경로 규칙을 만드는 경우 사용자는 소프트웨어를 다른 위치에 복사하여 계속 실행할 수 있습니다.
• 경로 규칙에서 지원되는 와일드 카드 문자는 * 및 ?입니다.
• 경로 규칙에서는 %programfiles% 또는 %systemroot% 같은 환경 변수를 사용할 수 있습니다.
• 컴퓨터에 저장된 위치를 모르지만 해당 레지스트리 키를 보유하고 있을 경우 소프트웨어에 대한 경로 규칙을 만들려면 레지스트리 경로 규칙을 만들면 됩니다.
• 사용자가 전자 메일 첨부 파일을 실행하지 못하도록 하려면 전자 메일 프로그램의 첨부 파일 디렉터리에 대한 경로 규칙을 만들어 사용자가 전자 메일 첨부 파일을 실행할 수 없도록 할 수 있습니다.
• 경로 규칙의 영향을 받는 파일 형식은 소프트웨어 제한 정책에 대한 세부 정보 창의 지정된 파일 형식에 나열된 파일 형식 뿐입니다. 모든 규칙에서 공유하는 지정된 파일 형식의 목록은 한 가지입니다.
• 소프트웨어 제한 정책이 적용되려면 사용자가 로그오프하고 컴퓨터에 로그온하여 정책 설정을 업데이트해야 합니다.
• 둘 이상의 소프트웨어 제한 정책 규칙이 정책 설정에 적용되는 경우 충돌을 처리하기 위한 규칙의 우선 순위가 있습니다.

레지스트리 경로 규칙을 만들려면

1. 시작 화면에서 regedit를 입력합니다.

2. 콘솔 트리에서 규칙을 만들 레지스트리 키를 마우스 오른쪽 단추로 클릭한 다음 키 이름 복사를 클릭합니다. 세부 정보 창에 있는 값 이름을 유의합니다.

3. 소프트웨어 제한 정책을 엽니다.

4. 콘솔 트리 또는 세부 정보 창에서 추가 규칙을 마우스 오른쪽 단추로 클릭한 다음 새 경로 규칙을 클릭합니다.

5. 경로에 레지스트리 키 이름 뒤에 값 이름을 붙여넣습니다.

6. 레지스트리 경로를 백분율 기호(%)(예: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%)로 묶습니다.

7. 보안 수준에서 허용되지않거나 제한 없음을 클릭합니다.

8. 설명에서 이 규칙에 대한 설명을 입력한 다음 확인을 클릭합니다.