AppLocker 규칙 작업
IT 전문가를 위한 이 문서에서는 AppLocker 규칙 유형 및 애플리케이션 제어 정책에 대해 작업하는 방법을 설명합니다.
규칙 컬렉션
AppLocker 정책은 실행 파일, 스크립트, Windows Installer 파일, 패키지된 앱 및 패키지된 앱 설치 관리자 및 DLL 파일을 비롯한 규칙 컬렉션으로 구성됩니다. 이러한 컬렉션을 사용하면 다양한 유형의 앱에 대한 규칙을 쉽게 구분할 수 있습니다. 다음 표에서는 각 규칙 컬렉션에 포함된 파일 형식을 나열합니다.
규칙 컬렉션 | 연결된 파일 형식 |
---|---|
실행 파일 | .exe .com |
스크립트 | .ps1 .bat .cmd .vbs .js |
Windows Installer 파일 | .msi .msp .mst |
패키지된 앱 및 패키지된 앱 설치 관리자 | .appx |
DLL 파일 | .dll .ocx |
참고
실행 파일에 대한 AppLocker 규칙은 공격자가 쉽게 변경할 수 있는 파일의 확장명에도 관계없이 실제로 모든 PE(이식 가능한 실행 파일) 파일에 적용됩니다. 실행 파일의 앞 표에 나열된 파일 확장명 정보는 설명에만 해당합니다.
DLL 규칙 컬렉션은 기본적으로 사용하도록 설정되지 않습니다. DLL 규칙 컬렉션을 사용하도록 설정하는 방법을 알아보려면 DLL 규칙 컬렉션을 참조하세요.
중요
DLL 규칙을 사용하는 경우 허용되는 모든 앱에서 사용하는 모든 DLL을 포함하는 허용 규칙을 만들어야 합니다.
DLL 규칙을 사용하는 경우 AppLocker는 애플리케이션이 로드하는 각 DLL을 검사 합니다. 따라서 사용자는 DLL 규칙을 사용하는 경우 성능이 저하할 수 있습니다. 그러나 디바이스가 이미 리소스가 제한되지 않는 한 이러한 성능 영향은 일반적으로 눈에 띄지 않습니다.
적용 모드
AppLocker 정책은 정책에 포함된 각 규칙 컬렉션에 대한 적용 모드 를 설정합니다. 이러한 적용 모드는 다음 표에 설명되어 있습니다.
적용 모드 | 설명 |
---|---|
구성되지 않음 | 이름에도 불구하고 이 적용 모드는 규칙이 무시된다는 것을 의미하지는 않습니다 . 반대로 "구성되지 않음"인 규칙 컬렉션에 규칙이 있는 경우 우선 순위가 높은 정책이 적용 모드를 감사로만 변경하지 않는 한 규칙이 적용됩니다 . 정책 작성자에게는 이 적용 모드가 혼동될 수 있으므로 AppLocker 정책에서 이 값을 사용하지 않아야 합니다. 대신 나머지 두 옵션 중에서 명시적으로 선택해야 합니다. |
규칙 적용 | 규칙이 적용됩니다. 사용자가 AppLocker 규칙의 영향을 받는 앱을 실행하면 앱 이진 파일이 차단됩니다. 이진 파일에 대한 정보가 AppLocker 이벤트 로그에 추가됩니다. |
감사 전용 | 규칙은 감사되지만 적용되지 않습니다. 사용자가 AppLocker 규칙의 영향을 받는 앱을 실행하면 앱 이진 파일을 실행할 수 있습니다. 그러나 이진 파일에 대한 정보는 AppLocker 이벤트 로그에 추가됩니다. 감사 전용 적용 모드를 사용하면 정책이 적용되기 전에 정책의 영향을 받는 앱을 식별할 수 있습니다. |
AppLocker 정책이 병합되면 모든 정책의 규칙이 유효 정책에 추가되고 각 규칙 컬렉션에 대해 단일 적용 모드가 선택됩니다. 그룹 정책 통해 디바이스에 여러 AppLocker 정책을 적용하는 경우 적용된 적용 모드 설정은 그룹 정책 우선 순위에 따라 선택됩니다. -merge 옵션과 함께 Set-AppLockerPolicy PowerShell cmdlet을 사용하여 AppLocker 정책을 로컬로 적용하는 경우 기존 로컬 정책과 병합되는 정책 간에 더 제한적인 적용 모드가 선택됩니다.
규칙 조건
규칙 조건은 AppLocker가 규칙이 적용되는 앱을 식별하는 데 도움이 되는 조건입니다. 세 가지 기본 규칙 조건은 게시자, 경로 및 파일 해시입니다.
- 게시자: 디지털 서명을 기반으로 앱을 식별합니다.
- 경로: 컴퓨터의 파일 시스템 또는 네트워크에서 해당 위치로 앱을 식별합니다.
- 파일 해시: 식별된 파일의 시스템 계산 암호화 Authenticode 해시를 나타냅니다.
게시자
이 조건은 사용 가능한 경우 디지털 서명 및 확장 특성을 기반으로 앱을 식별합니다. 디지털 서명에는 앱을 만든 회사(게시자)에 대한 정보가 포함되어 있습니다. 실행 파일, dll, Windows 설치 관리자, 패키지된 앱 및 패키지된 앱 설치 관리자에는 이진 리소스에서 가져온 확장 특성도 포함됩니다. 이러한 특성에는 종종 제품 이름, 원래 파일 이름 및 게시자가 정의한 파일의 버전 번호가 포함됩니다. 패키지된 앱 및 패키지된 앱 설치 관리자가 있는 경우 이러한 확장 특성에는 앱 패키지의 이름과 버전이 포함됩니다.
참고
패키지된 앱 및 패키지된 앱 설치 관리자 규칙 컬렉션에서 만든 규칙은 Windows에서 서명되지 않은 패키지 앱 및 패키지된 앱 설치 관리자를 지원하지 않으므로 게시자 조건만 가질 수 있습니다.
앱 업데이트에 대한 복원력이 높고 파일 위치가 변경되므로 가능한 경우 게시자 규칙 조건을 사용합니다.
게시자 조건에 대한 참조 파일을 선택하면 마법사는 게시자, 제품, 파일 이름 및 버전 번호를 지정하는 규칙을 만듭니다. 슬라이더를 위로 이동하거나 제품, 파일 이름 또는 버전 번호 필드에서 와일드카드 문자(*)를 사용하여 규칙을 보다 일반화할 수 있습니다.
참고
규칙 만들기 마법사에서 게시자 규칙 조건의 필드에 대한 사용자 지정 값을 입력하려면 사용자 지정 값 사용 검사 상자를 선택해야 합니다. 이 검사 상자를 선택하면 슬라이더를 사용할 수 없습니다.
파일 버전 및 패키지 버전은 사용자가 특정 버전, 이전 버전 또는 이후 버전의 앱을 실행할 수 있는지 여부를 제어합니다. 버전 번호를 선택한 다음, 다음 옵션을 구성할 수 있습니다.
- 정확하게. 규칙은 이 버전의 앱에만 적용됩니다.
- 그리고 위. 규칙은 이 버전 및 모든 이후 버전에 적용됩니다.
- 그리고 아래. 규칙은 이 버전 및 모든 이전 버전에 적용됩니다.
다음 표에서는 게시자 조건이 적용되는 방법을 설명합니다.
옵션 | 게시자 조건은 허용하거나 거부합니다... |
---|---|
서명된 모든 파일 | 게시자가 서명한 모든 파일 |
게시자만 | 명명된 게시자가 서명한 모든 파일 |
게시자 및 제품 이름 | 명명된 게시자가 서명한 지정된 제품의 모든 파일입니다. |
게시자 및 제품 이름 및 파일 이름 | 게시자가 서명한 명명된 제품에 대한 명명된 파일 또는 패키지의 모든 버전입니다. |
게시자, 제품 이름, 파일 이름 및 파일 버전 |
정확하게 게시자가 서명한 명명된 제품의 명명된 파일 또는 패키지의 지정된 버전입니다. |
게시자, 제품 이름, 파일 이름 및 파일 버전 |
위 지정된 버전의 명명된 파일 또는 패키지와 게시자가 서명한 제품의 새 릴리스입니다. |
게시자, 제품 이름, 파일 이름 및 파일 버전 |
아래와 같습니다. 지정된 버전의 명명된 파일 또는 패키지와 게시자가 서명한 제품의 이전 버전입니다. |
사용자 지정 | 게시자, 제품 이름, 파일 이름, 버전패키지 이름 및 패키지 버전 필드를 편집하여 사용자 지정 규칙을 만들 수 있습니다. |
경로
이 규칙 조건은 컴퓨터의 파일 시스템 또는 네트워크의 위치로 애플리케이션을 식별합니다.
AppLocker는 프로그램 파일 및 Windows와 같은 잘 알려진 경로에 사용자 지정 경로 변수를 사용합니다.
다음 표에서는 이러한 경로 변수에 대해 자세히 설명합니다.
Windows 디렉터리 또는 디스크 | AppLocker 경로 변수 | Windows 환경 변수 |
---|---|---|
Windows | %WINDIR% | %SystemRoot% |
System32 및 SysWOW64 | %SYSTEM32% | %SystemDirectory% |
Windows 설치 디렉터리 | %OSDRIVE% | %SystemDrive% |
프로그램 파일 | %PROGRAMFILES% | %ProgramFiles% 및 %ProgramFiles(x86)% |
이동식 미디어(예: CD 또는 DVD) | %REMOVABLE% | |
이동식 스토리지 디바이스(예: USB 플래시 드라이브) | %HOT% |
중요
많은 수의 폴더와 파일을 포함하도록 경로 규칙 조건을 구성할 수 있으므로 경로 조건을 신중하게 계획해야 합니다. 예를 들어 경로 규칙에 관리자가 아닌 사용자가 데이터를 쓸 수 있는 폴더 위치가 포함된 경우 사용자(또는 표준 사용자로 실행되는 맬웨어)는 승인되지 않은 파일을 해당 위치에 복사하고 파일을 실행할 수 있습니다. 따라서 사용자 프로필과 같은 표준 사용자 쓰기 가능 위치에 대한 경로 조건을 만들지 않아야 합니다.
파일 해시
파일 해시 규칙 조건을 선택하면 시스템은 식별된 파일의 Authenticode 암호화 해시를 계산합니다. 이 규칙 조건의 장점은 각 파일에 고유한 해시가 있기 때문에 파일 해시 규칙 조건이 하나의 파일에만 적용된다는 것입니다. 단점은 파일이 업데이트(예: 보안 업데이트 또는 업그레이드)될 때마다 파일의 해시가 변경된다는 것입니다. 따라서 파일 해시 규칙을 수동으로 업데이트해야 합니다.
AppLocker 기본 규칙
AppLocker 그룹 정책 편집기를 사용하여 만든 AppLocker 정책에는 기본 규칙이 포함될 수 있습니다. 기본 규칙은 Windows가 제대로 작동하는 데 필요한 파일이 AppLocker 규칙 컬렉션에서 허용되도록 하기 위한 것입니다. 배경은 AppLocker 기본 규칙 이해를 참조하고, 단계에 대해서는 AppLocker 기본 규칙 만들기를 참조하세요.
실행 파일 기본 규칙 유형은 다음과 같습니다.
- 로컬 관리자 그룹의 구성원 이 모든 앱을 실행할 수 있도록 허용합니다.
- 모든 사용자 그룹의 구성원이 Windows 폴더에 있는 앱을 실행할 수 있도록 허용합니다.
- 모든 사용자 그룹의 구성원이 프로그램 파일 폴더에 있는 앱을 실행할 수 있도록 허용합니다.
스크립트 기본 규칙 유형은 다음과 같습니다.
- 로컬 관리자 그룹의 구성원 이 모든 스크립트를 실행할 수 있도록 허용합니다.
- 모든 사용자 그룹의 구성원이 프로그램 파일 폴더에 있는 스크립트를 실행할 수 있도록 허용합니다.
- 모든 사용자 그룹의 구성원이 Windows 폴더에 있는 스크립트를 실행할 수 있도록 허용합니다.
Windows Installer 기본 규칙 유형은 다음과 같습니다.
- 로컬 관리자 그룹의 구성원 이 모든 Windows Installer 파일을 실행할 수 있도록 허용합니다.
- 모든 사용자 그룹의 구성원이 디지털 서명된 모든 Windows Installer 파일을 실행할 수 있도록 허용합니다.
- 모든 사용자 그룹의 구성원이 Windows\Installer 폴더에 있는 모든 Windows Installer 파일을 실행할 수 있도록 허용합니다.
DLL 기본 규칙 유형:
- 로컬 관리자 그룹의 구성원이 모든 DLL 을 실행할 수 있도록 허용합니다.
- 모든 사용자 그룹의 구성원이 프로그램 파일 폴더에 있는 DLL을 실행할 수 있도록 허용합니다.
- 모든 사용자 그룹의 구성원이 Windows 폴더에 있는 DLL을 실행할 수 있도록 허용합니다.
패키지된 앱 기본 규칙 유형:
- 모든 사용자 그룹의 구성원이 서명된 모든 패키지 앱 및 패키지된 앱 설치 관리자를 설치하고 실행할 수 있도록 허용합니다.
AppLocker 규칙 동작
특정 규칙 컬렉션에 대해 AppLocker 규칙이 정의되지 않은 경우 해당 규칙 컬렉션에서 다루는 모든 파일을 실행할 수 있습니다. 그러나 특정 규칙 컬렉션에 대한 규칙이 있는 경우 하나 이상의 허용 규칙과 일치하는 파일 만 실행되고 거부 규칙과 일치하지 않습니다. 예를 들어 %SystemDrive%\FilePath 의 .exe 파일을 실행할 수 있는 실행 파일 규칙을 만드는 경우 해당 경로에 있는 실행 파일만 실행할 수 있습니다.
허용 또는 거부 작업을 사용하도록 규칙을 구성할 수 있습니다.
- 허용. 사용자 환경에서 실행할 수 있는 파일과 사용자 또는 사용자 그룹을 지정할 수 있습니다. 규칙에서 제외된 파일을 식별하도록 예외를 구성할 수도 있습니다.
- 거절하다. 사용자 환경에서 실행할 수 없는 파일과 사용자 또는 사용자 그룹을 지정할 수 있습니다. 규칙에서 제외된 파일을 식별하도록 예외를 구성할 수도 있습니다.
모범 사례의 경우 예외가 있는 허용 작업을 사용합니다. 허용 및 거부 작업의 조합을 사용할 수 있지만 거부 작업은 항상 승리합니다. 거부 규칙과 일치하는 파일을 허용하려면 다른 규칙을 사용할 수 없습니다.
규칙 예외
개별 사용자 또는 사용자 그룹에 AppLocker 규칙을 적용할 수 있습니다. 사용자 그룹에 규칙을 적용하면 해당 그룹의 모든 사용자에게 규칙이 적용됩니다. 사용자 그룹의 하위 집합에서 앱을 사용하도록 허용해야 하는 경우 해당 하위 집합에 대한 특수 규칙을 만들 수 있습니다. 예를 들어 "레지스트리 편집기 제외한 모든 사용자가 Windows를 실행할 수 있도록 허용" 규칙을 사용하면 organization 모든 사용자가 Windows 운영 체제를 실행할 수 있지만 아무도 레지스트리 편집기 실행할 수 없습니다.
이 규칙의 영향으로 지원 센터 담당자와 같은 사용자가 지원 작업에 필요한 프로그램을 실행하지 못하게 됩니다. 이 문제를 resolve 기술 지원 센터 사용자 그룹에 적용되는 두 번째 규칙인 "지원 센터에서 레지스트리 편집기 실행하도록 허용"을 만듭니다. 대신 모든 사용자가 레지스트리 편집기 실행하지 못하도록 차단하는 거부 규칙을 사용하는 경우 두 번째 규칙은 실제로 지원 센터 사용자가 레지스트리 편집기 실행하도록 허용하지 않습니다.
DLL 규칙 컬렉션
DLL 규칙 컬렉션은 기본적으로 사용하도록 설정되지 않으므로 DLL 규칙을 만들고 적용하려면 먼저 다음 절차를 수행해야 합니다.
로컬 관리자 그룹의 멤버 자격 또는 이와 동등한 멤버 자격은 이 절차를 완료하는 데 필요한 최소값입니다.
DLL 규칙 컬렉션을 사용하도록 설정하려면
- 시작을 선택하고 secpol.msc를 입력한 다음 Enter 키를 선택합니다.
- 사용자 계정 컨트롤 대화 상자가 나타나면 표시되는 작업이 원하는 작업인지 확인한 다음 예를 선택합니다.
- 콘솔 트리에서 애플리케이션 제어 정책을 두 번 클릭하고 AppLocker를 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.
- 고급 탭을 선택하고 DLL 규칙 컬렉션 사용 검사 상자를 선택한 다음 확인을 선택합니다.
중요
DLL 규칙을 적용하기 전에 허용되는 모든 앱에 필요한 모든 DLL에 대한 허용 규칙이 있는지 확인합니다.
AppLocker 마법사
두 개의 AppLocker 마법사를 사용하여 규칙을 만들 수 있습니다.
- 규칙 만들기 마법사를 사용하면 한 번에 하나의 규칙을 만들 수 있습니다.
- 규칙 자동 생성 마법사를 사용하면 한 번에 여러 규칙을 만들 수 있습니다. 폴더를 선택하고 마법사에서 찾은 관련 파일에 대한 규칙을 만들 수 있습니다. 또는 패키지된 앱의 경우 마법사가 컴퓨터에 설치된 모든 패키지된 앱에 대한 규칙을 만들도록 합니다. 규칙을 적용할 사용자 또는 그룹을 지정할 수도 있습니다. 이 마법사는 허용 규칙만 자동으로 생성합니다.
기타 고려 사항
- 기본적으로 AppLocker 규칙은 사용자가 허용되지 않는 파일을 열거나 실행할 수 없습니다. 관리자는 허용되는 애플리케이션의 최신 목록을 유지해야 합니다.
- 앱 업데이트 후 유지되지 않는 두 가지 유형의 AppLocker 조건이 있습니다.
- 파일 해시 조건 규칙을 만들 때 앱 파일의 암호화 해시 값이 생성되므로 모든 앱에서 파일 해시 규칙 조건을 사용할 수 있습니다. 그러나 해시 값은 파일의 정확한 버전과 관련이 있습니다. 여러 버전의 파일을 허용해야 하는 경우 파일의 각 버전에 대한 개별 파일 해시 조건이 필요합니다.
- 특정 제품 버전 집합이 있는 게시자 조건정확한 버전 옵션을 사용하는 게시자 규칙 조건을 만드는 경우 새 버전의 앱이 설치된 경우 규칙이 유지될 수 없습니다. 새 게시자 조건을 만들어야 하거나 덜 구체적으로 만들려면 규칙에서 버전을 편집해야 합니다.
- 앱이 디지털 서명되지 않은 경우 해당 앱에 게시자 규칙 조건을 사용할 수 없습니다.
- EXE 규칙 컬렉션에 규칙이 적용되는 경우 패키지된 앱 및 패키지된 앱 설치 관리자 규칙 컬렉션에 규칙을 만들어야 합니다. 그렇지 않으면 모든 패키지된 앱 및 패키지된 앱 설치 관리자가 차단됩니다.
- 사용자 지정 구성된 URL은 앱이 차단될 때 표시되는 메시지에 포함될 수 있습니다.
- 사용자가 허용되지 않는 앱을 발견하면 지원 센터 통화 수가 증가할 것으로 예상합니다.
이 섹션의 내용
문서 | 설명 |
---|---|
파일 해시 조건을 사용하는 규칙 만들기 | IT 전문가를 위한 이 문서에서는 파일 해시 조건을 사용하여 AppLocker 규칙을 만드는 방법을 보여줍니다. |
경로 조건을 사용하는 규칙 만들기 | IT 전문가를 위한 이 문서에서는 경로 조건을 사용하여 AppLocker 규칙을 만드는 방법을 보여줍니다. |
게시자 조건을 사용하는 규칙 만들기 | IT 전문가를 위한 이 문서에서는 게시자 조건을 사용하여 AppLocker 규칙을 만드는 방법을 보여줍니다. |
AppLocker 기본 규칙 만들기 | IT 전문가를 위한 이 문서에서는 Windows 시스템 파일을 실행할 수 있도록 하는 AppLocker 규칙의 표준 집합을 만드는 단계를 설명합니다. |
AppLocker 규칙에 대한 예외 추가 | IT 전문가를 위한 이 문서에서는 AppLocker 규칙에 대한 예외로 실행할 수 있거나 실행할 수 없는 앱을 지정하는 단계를 설명합니다. |
패키지된 앱에 대한 규칙 만들기 | IT 전문가를 위한 이 문서에서는 게시자 조건이 있는 패키지된 앱에 대한 AppLocker 규칙을 만드는 방법을 보여줍니다. |
AppLocker 규칙 삭제 | IT 전문가를 위한 이 문서에서는 AppLocker 규칙을 삭제하는 단계를 설명합니다. |
AppLocker 규칙 편집 | IT 전문가를 위한 이 문서에서는 AppLocker에서 게시자 규칙, 경로 규칙 및 파일 해시 규칙을 편집하는 단계를 설명합니다. |
DLL 규칙 컬렉션 사용 | IT 전문가를 위한 이 문서에서는 AppLocker에 DLL 규칙 수집 기능을 사용하도록 설정하는 단계를 설명합니다. |
AppLocker 규칙 적용 | IT 전문가를 위한 이 문서에서는 AppLocker를 사용하여 애플리케이션 제어 규칙을 적용하는 방법을 설명합니다. |
자동으로 규칙 만들기 마법사 실행 | IT 전문가를 위한 이 문서에서는 참조 디바이스에서 AppLocker 규칙을 만들기 위해 마법사를 실행하는 단계를 설명합니다. |