참고
비즈니스용 App Control의 일부 기능은 특정 Windows 버전에서만 사용할 수 있습니다. App Control 기능 가용성에 대해 자세히 알아보세요.
가능하면 처음으로 디바이스를 설정하고 앱을 설치하기 전에 비즈니스용 앱 제어(앱 제어)를 사용하도록 설정해야 합니다. 이렇게 하면 App Control이 시작될 때 시스템이 "클린" 상태가 되며, 관리되는 설치 관리자가 설치했거나 ISG(Intelligent Security Graph)에서 앱 실행이 안전하다고 판단했기 때문에 허용되는 앱에 특히 중요합니다.
일반적으로 비즈니스용 App Control의 배포는 단순히 "켜기"하는 기능이 아니라 단계에서 가장 잘 수행됩니다. 단계의 선택 및 순서는 다양한 컴퓨터 및 기타 디바이스가 organization 사용되는 방식과 IT에서 해당 디바이스를 관리하는 정도에 따라 달라집니다. 다음 표는 organization App Control을 배포하기 위한 계획을 개발하는 데 도움이 될 수 있습니다. 조직에서는 설명된 각 범주에서 디바이스 사용 사례를 사용하는 것이 일반적입니다.
일반적인 사용 사례
| 사용 사례 | App Control이 이 사용 사례와 관련된 방법 |
|---|---|
|
원치 않는 앱 차단: 모든 앱을 중앙에서 관리하는 회사는 거의 없으며, 허용할 앱을 결정하기까지 긴 검색 기간이 필요합니다. 대신 IT 부서의 포커스는 문제를 고려하는 앱 집합을 차단하는 동시에 앱 인벤토리를 빌드하는 방식으로 전환됩니다. |
App Control을 사용하여 감사 허용 목록 정책과 함께 차단 목록 전용 정책을 배포하여 디바이스에서 실행되는 앱 및 프로세스에 대한 정보를 수집합니다. |
|
느슨하게 관리되는 장치: 회사 소유이지만 사용자가 자유롭게 소프트웨어를 설치할 수 있습니다. 디바이스는 organization 바이러스 백신 솔루션 또는 기술 지원팀 클라이언트 관리 도구와 같은 특정 앱을 실행해야 합니다. |
비즈니스용 앱 제어를 사용하여 커널을 보호하고, 사용자가 서명된 앱을 실행할 수 있도록 하고, Intune 같은 회사의 앱 배포 솔루션에 의해 설치되고, 관리자만 파일을 작성할 수 있는 위치와 평판이 좋은 앱에 설치될 수 있습니다. |
|
완전 관리형 디바이스: 허용된 소프트웨어는 IT 부서에서 제한됩니다. 사용자는 더 많은 소프트웨어를 요청하거나 IT 부서에서 제공하는 애플리케이션 목록에서 설치할 수 있습니다. 예: 잠긴 회사 소유의 데스크톱 및 노트북 |
초기 기준 비즈니스용 앱 제어 정책을 설정하고 적용할 수 있습니다. IT 부서가 더 많은 애플리케이션을 승인할 때마다 앱 패키징 및 배포 프로세스의 일부로 App Control 정책을 업데이트할 수 있습니다. 또는 앱의 종속성으로 배포되는 앱 카탈로그 파일을 만들고 서명할 수 있습니다. |
|
고정 작업 장치: 매일 동일한 작업을 수행합니다. 승인된 응용 프로그램 목록은 거의 변경되지 않습니다. 예: 키오스크, POS(Point of Sale) 시스템, 콜 센터 컴퓨터 |
비즈니스용 앱 제어를 완전히 배포할 수 있으며 배포 및 진행 중인 관리는 비교적 간단합니다. 비즈니스용 App Control 배포 후에는 승인된 애플리케이션만 실행할 수 있습니다. 이 규칙은 App Control에서 제공하는 보호 때문입니다. |
| BYOD(Bring Your Own Device): 직원은 자신의 장치를 가져와 업무에 해당 장치를 사용할 수 있습니다. | 대부분의 경우 비즈니스용 App Control은 적용되지 않습니다. 대신, Microsoft Intune 같은 MDM 기반 조건부 액세스 솔루션을 사용하여 다른 강화 및 보안 기능을 살펴볼 수 있습니다. 그러나 이러한 디바이스에 감사 모드 정책을 배포하거나 차단 목록 전용 정책을 사용하여 organization 악의적이거나 취약한 것으로 간주되는 특정 앱 또는 이진 파일을 방지할 수 있습니다. |
| "더티" 시스템: 이미 사용 중인 시스템에 앱 제어 솔루션을 도입하는 것은 아직 앱을 설치하지 않은 새 디바이스에 적용하는 것보다 훨씬 더 어렵습니다. 경우에 따라 일부 앱이 organization 원치 않을 수 있더라도 생산성을 유지하기 위해 장만을 만들어야 합니다. | 조직은 스크립트를 사용하여 App Control 정책을 적용하고 각 디바이스를 검사하고 관찰된 모든 이진 파일 또는 스크립트 파일에 대한 규칙을 만들어 정책을 만들 수 있습니다. 이 규칙 집합은 새로 구성된 새 디바이스에 적용되는 보다 제한적인 기본 정책을 보완하는 데 사용됩니다. 이렇게 하면 이전에 설치된 모든 앱이 계속 작동하지만 이후의 모든 설치는 조직에서 새로 적용한 앱 제어 규칙을 통과해야 합니다. |
Lamna Healthcare Company 소개
다음 문서 집합에서는 Lamna Healthcare Company라는 가상의 회사를 사용하여 테이블의 시나리오와 같은 시나리오를 처리하는 정책을 살펴봅니다.
Lamna Healthcare Company(Lamna)는 미국 운영하는 대형 의료 서비스 제공업체입니다. Lamna는 의사와 간호사에서 회계사, 사내 변호사 및 IT 기술자에 이르기까지 수천 명의 직원을 고용하고 있습니다. 그들의 장치 사용 사례는 다양하며 전문 직원을위한 단일 사용자 워크스테이션, 환자 기록에 액세스하기 위해 의사와 간호사가 사용하는 공유 키오스크, MRI 스캐너와 같은 전용 의료 장치 및 기타 많은 것을 포함합니다. 또한 Lamna는 많은 전문 직원을 위한 편안하고 고유한 디바이스 정책을 제공합니다.
Lamna는 하이브리드 모드에서 Configuration Manager 및 Intune 모두 Microsoft Intune 사용합니다. Microsoft Intune 사용하여 많은 애플리케이션을 배포하지만 Lamna는 항상 애플리케이션 사용 사례를 완화했습니다. 개별 팀과 직원은 자신의 워크스테이션에서 자신의 역할에 필요하다고 판단되는 애플리케이션을 설치하고 사용할 수 있었습니다. Lamna는 또한 최근에 더 나은 엔드포인트 검색 및 응답을 위해 엔드포인트용 Microsoft Defender 사용하기 시작했습니다.
최근 Lamna는 비용이 많이 드는 복구 프로세스가 필요하고 알 수 없는 공격자의 데이터 반출을 포함했을 수 있는 랜섬웨어 이벤트를 경험했습니다. 공격의 일부에는 Lamna의 바이러스 백신 솔루션에 의한 탐지를 회피했지만 App Control 정책에 의해 차단된 악성 이진 파일을 설치하고 실행하는 것이 포함되었습니다. 이에 대한 대응으로 Lamna의 집행위원회는 애플리케이션 사용에 대한 정책 강화 및 App Control 도입을 포함하여 많은 새로운 보안 IT 응답을 승인했습니다.
다음으로
이제 스마트 앱 컨트롤 "신뢰 원"을 시작점으로 사용하여 초기 정책을 만들어 보겠습니다.
또는 원하는 경우 다음을 수행합니다.