AppLocker
이 문서에서는 AppLocker에 대한 설명을 제공하고 organization AppLocker 정책 배포의 이점을 얻을 수 있는지 여부를 결정하는 데 도움이 될 수 있습니다. AppLocker를 사용하여 사용자가 실행할 수 있는 앱 및 파일을 제어할 수 있습니다. 실행 파일, 스크립트, Windows Installer 파일, DLL(동적 연결 라이브러리), 패키지된 앱 및 패키지된 앱 설치 관리자가 포함되어 있습니다. AppLocker는 비즈니스용 App Control의 일부 기능에서도 사용됩니다.
참고
AppLocker는 심층 방어 보안 기능이며 방어 가능한 Windows 보안 기능으로 간주되지 않습니다. 비즈니스용 앱 제어 는 위협으로부터 강력한 보호를 제공하는 것이며 보안 기능이 이 목표를 달성하지 못하도록 하는 설계상 제한이 없을 것으로 예상되는 경우 사용해야 합니다.
참고
기본적으로 AppLocker 정책은 사용자의 컨텍스트에서 시작된 코드에만 적용됩니다. Windows 10, Windows 11 및 Windows Server 2016 이상에서는 SYSTEM으로 실행되는 프로세스를 포함하여 비사용자 프로세스에 AppLocker 정책을 적용할 수 있습니다. 자세한 내용은 AppLocker 규칙 컬렉션 확장을 참조하세요.
AppLocker로 다음을 수행할 수 있습니다.
- 게시자 이름(디지털 서명에서 파생), 제품 이름, 파일 이름 및 파일 버전 등 앱 업데이트 간에 유지되는 파일 속성에 따라 규칙을 정의합니다. 또한 파일 경로 및 해시에 따라 규칙을 만들 수도 있습니다.
- 보안 그룹이나 개별 사용자에게 규칙을 할당합니다.
- 규칙에 대한 예외를 만듭니다. 예를 들어 모든 사용자가 레지스트리 편집기(regedit.exe)를 제외한 모든 Windows 이진 파일을 실행할 수 있도록 규칙을 만들 수 있습니다.
- 감사 전용 모드를 사용하여 정책을 배포하고 적용하기 전에 해당 효과를 이해합니다.
- 준비 서버에서 규칙을 만들고 테스트한 다음 프로덕션 환경으로 내보내고 그룹 정책 개체로 가져옵니다.
- Windows PowerShell 사용하여 AppLocker 규칙을 만들고 관리합니다.
AppLocker를 사용하면 사용자가 승인되지 않은 앱을 실행하지 못하도록 방지할 수 있습니다. AppLocker는 다음 앱 제어 시나리오를 해결합니다.
- 애플리케이션 인벤토리: AppLocker는 모든 앱 시작 작업이 허용되지만 이벤트 로그에 등록된 감사 전용 모드에서 정책을 적용할 수 있습니다. 추가 분석을 위해 이러한 이벤트를 수집할 수 있습니다. 또한 Windows PowerShell cmdlet으로 이 데이터를 프로그래밍 방식으로 분석할 수 있습니다.
- 원치 않는 소프트웨어로부터 보호: AppLocker는 허용된 앱 목록에서 앱을 제외할 때 앱 실행을 거부할 수 있습니다. AppLocker 규칙이 프로덕션 환경에서 적용되면 허용된 규칙에 포함되지 않은 모든 앱의 실행이 차단됩니다.
- 라이선스 준수: AppLocker는 허가되지 않은 소프트웨어가 실행되지 않도록 하고 라이선스가 부여된 소프트웨어를 권한 있는 사용자로 제한하는 규칙을 만드는 데 도움이 될 수 있습니다.
- 소프트웨어 표준화: 지원되거나 승인된 앱만 비즈니스 그룹 내의 컴퓨터에서 실행되도록 AppLocker 정책을 구성할 수 있습니다. 이 구성은 보다 균일한 앱 배포를 허용합니다.
AppLocker를 사용해야 하는 경우
대부분의 조직에서 정보는 가장 중요한 자산이므로 승인된 사용자만 정보에 액세스할 수 있도록 해야 합니다. AD RMS(Active Directory Rights Management Services), ACL(액세스 제어 목록)과 같은 액세스 제어 기술을 통해 사용자가 액세스하는 항목을 제어할 수 있습니다.
그러나 사용자가 프로세스를 실행할 때 이 프로세스에서는 사용자 소유의 데이터에 대해 동일한 액세스 수준을 사용합니다. 따라서 사용자가 맬웨어를 포함한 권한 없는 소프트웨어를 실행하는 경우 organization 중요한 정보를 쉽게 삭제하거나 전송할 수 있습니다. AppLocker는 사용자 또는 그룹이 실행할 수 있는 파일을 제한하여 이러한 유형의 보안 문제를 완화하는 데 도움이 됩니다. AppLocker는 DLL 및 스크립트를 제어할 수 있으므로 ActiveX 컨트롤을 설치하고 실행할 수 있는 사용자를 제어하는 것도 유용합니다.
AppLocker는 현재 그룹 정책을 사용하여 PC를 관리하는 조직에 적합합니다.
다음은 AppLocker가 사용될 수 있는 시나리오 예제입니다.
- 조직의 보안 정책을 통해 사용이 허가된 소프트웨어만 사용하도록 규정하여 사용이 허가되지 않은 소프트웨어를 사용자들이 실행하지 못하도록 해야 하고 또한 권한 있는 사용자가 사용이 허가된 소프트웨어를 사용하도록 제한해야 하는 경우
- 조직에서 앱을 더 이상 지원하지 않아 모든 사용자가 해당 응용 프로그램을 사용하지 못하도록 해야 하는 경우
- 사용자 동의 없이 설치된 소프트웨어가 사용 환경에서 사용될 수 있는 가능성이 높아 이 위협을 줄여야 하는 경우
- 앱에 대한 라이선스가 organization 해지되거나 만료되므로 모든 사용자가 앱이 사용되지 않도록 해야 합니다.
- 새 앱 또는 새 버전의 앱이 배포되어 사용자들이 이전 버전을 실행하지 못하도록 해야 하는 경우
- 특정 소프트웨어 도구는 organization 내에서 허용되지 않거나 특정 사용자만 해당 도구에 액세스할 수 있어야 합니다.
- 단일 사용자 또는 소규모 사용자 그룹이 다른 모든 사용자에 대해 거부된 특정 앱을 사용해야 하는 경우
- 다른 소프트웨어가 필요한 organization 일부 사용자가 컴퓨터를 공유하고 특정 앱을 보호해야 합니다.
- 다른 방법 외에도 앱 사용을 통해 중요한 데이터에 대한 액세스를 제어해야 하는 경우
AppLocker를 통해 조직 내 디지털 자산을 보호할 수 있고, 악성 소프트웨어가 사용자 환경에 도입되는 위협을 줄이며, 응용 프로그램 제어 관리 및 응용 프로그램 제어 정책 유지 관리를 개선할 수 있습니다.
AppLocker 설치
AppLocker는 Windows 10 버전 1809 이하를 제외한 모든 Windows 버전에 포함되어 있습니다. 단일 컴퓨터 또는 컴퓨터 그룹에 대한 AppLocker 규칙을 작성할 수 있습니다. 단일 컴퓨터의 경우 로컬 보안 정책 편집기(secpol.msc)를 사용하여 규칙을 작성할 수 있습니다. 컴퓨터 그룹의 경우 GPMC(그룹 정책 관리 콘솔)를 사용하여 그룹 정책 개체 내에서 규칙을 작성할 수 있습니다.
참고
GPMC는 원격 서버 관리 도구를 설치하여 Windows를 실행하는 클라이언트 컴퓨터에서만 사용할 수 있습니다. Windows Server를 실행하는 컴퓨터에서 그룹 정책 관리 기능을 설치해야 합니다.
Server Core에서 AppLocker 사용
Server Core의 AppLocker 설치는 지원되지 않습니다.
가상화 고려 사항
위에 나와 있는 시스템 요구 사항이 모두 충족된다면 가상화된 Windows 인스턴스를 사용하여 AppLocker 정책을 관리할 수 있습니다. 또한 가상화된 인스턴스에서 그룹 정책도 실행할 수 있습니다. 그러나 가상화된 instance 제거되거나 실패할 경우 만들고 유지 관리하는 정책이 손실될 위험이 있습니다.
보안 고려 사항
응용 프로그램 제어 정책은 로컬 컴퓨터에서 실행되는 앱을 지정합니다. 악성 소프트웨어는 다양한 형식을 취할 수 있어 사용자가 안전하게 실행할 수 있는 소프트웨어를 구분하기가 어렵습니다. 악성 소프트웨어는 활성화되면 하드 디스크 드라이브의 콘텐츠를 손상시키거나, 요청을 통해 네트워크 서비스 장애를 유발하여 DoS(서비스 거부 공격)를 수행하거나, 인터넷에 비밀 정보를 보내거나, 컴퓨터 보안을 손상시킬 수 있습니다.
대책은 organization PC에서 애플리케이션 제어 정책에 대한 건전한 디자인을 만드는 것입니다. 어떤 소프트웨어를 컴퓨터에서 실행하도록 허용할지 제어할 수 있으므로 AppLocker를 앱 제어 전략에 포함할 수 있습니다.
응용 프로그램 제어 정책 구현에 결함이 있으면 필요한 응용 프로그램을 사용할 수 없거나 악성 소프트웨어 또는 의도하지 않은 소프트웨어가 실행될 수 있습니다. 프로덕션 환경에 배포하기 전에 랩 환경에서 정책을 철저히 테스트해야 합니다. 조직에서 이러한 정책 구현을 관리하고 문제를 해결하기에 충분한 리소스를 헌납하는 것도 중요합니다.
특정 보안 문제에 대한 자세한 내용은 AppLocker에 대한 보안 고려 사항을 참조하세요. AppLocker를 사용하여 응용 프로그램 제어 정책을 만드는 경우 다음 보안 관련 사항을 고려해야 합니다.
- AppLocker 정책을 설정할 권한이 있는 사람은 누구인가요?
- 정책 적용에 대한 유효성 검사는 어떻게 하나요?
- 어떤 이벤트를 감사해야 하나요?
다음 표에는 보안 계획 시 참조할 수 있도록 AppLocker가 설치된 PC의 기본 설정이 나와 있습니다.
설정 | 기본값 |
---|---|
만들어진 계정 | 없음 |
인증 방법 | 해당 없음 |
관리 인터페이스 | Microsoft Management Console 스냅인, 그룹 정책 관리 및 Windows PowerShell을 사용하여 AppLocker를 관리할 수 있습니다. |
열린 포트 | 없음 |
필요한 최소 권한 | 로컬 컴퓨터의 관리자. 즉, 도메인 관리자 또는 그룹 정책 개체를 만들고 편집하고 배포할 수 있는 권한 집합입니다. |
사용되는 프로토콜 | 해당 없음 |
예약된 작업 | Appidpolicyconverter.exe를 예약된 작업에 넣어 요청에 따라 실행합니다. |
보안 정책 | 필요한 작업이 없습니다. AppLocker가 보안 정책을 만듭니다. |
필요한 시스템 서비스 | 응용 프로그램 ID 서비스(appidsvc)가 LocalServiceAndNoImpersonation에서 실행됩니다. |
자격 증명 저장소 | 없음 |
이 섹션의 내용
문서 | 설명 |
---|---|
AppLocker 관리 | IT 전문가를 위한 이 문서에서는 AppLocker 정책을 관리할 때 사용할 특정 절차에 대한 링크를 제공합니다. |
AppLocker 디자인 가이드 | IT 전문가를 위한 이 문서에서는 AppLocker를 사용하여 애플리케이션 제어 정책을 배포하는 데 필요한 디자인 및 계획 단계를 소개합니다. |
AppLocker 배포 가이드 | IT 전문가를 위한 이 문서에서는 개념을 소개하고 AppLocker 정책을 배포하는 데 필요한 단계를 설명합니다. |
AppLocker 기술 참조 | IT 전문가를 위한 이 개요 문서에서는 기술 참조의 문서에 대한 링크를 제공합니다. |