AppLocker 정책 관리 계획
이 문서에서는 AppLocker 정책을 관리하고 유지 관리하기 위한 프로세스를 설정하는 데 필요한 결정에 대해 설명합니다.
정책 관리
배포 프로세스를 시작하기 전에 시간이 지남에 따라 AppLocker 규칙을 관리하는 것이 좋습니다. AppLocker 규칙을 관리하기 위한 프로세스를 개발하면 AppLocker가 organization 애플리케이션을 실행할 수 있는 방법을 지속적으로 효과적으로 제어할 수 있습니다.
애플리케이션 및 사용자 지원 정책
AppLocker 규칙을 관리하기 위한 프로세스를 개발하면 AppLocker가 organization 애플리케이션을 실행할 수 있는 방법을 지속적으로 효과적으로 제어할 수 있습니다. 고려 사항은 다음과 같습니다.
- 차단된 애플리케이션에 대해 제공되는 최종 사용자 지원 유형은 무엇인가요?
- 새 규칙은 정책에 어떻게 추가되는가?
- 기존 규칙은 어떻게 업데이트되는가?
- 검토를 위해 이벤트가 전달되었나요?
지원 센터 지원
organization 설정된 지원 센터 지원 부서가 있는 경우 AppLocker 정책을 배포할 때 다음 사항을 고려합니다.
- 지원 부서에서 새 정책 배포에 필요한 설명서는 무엇인가요?
- 애플리케이션 제어 정책의 영향을 받는 각 비즈니스 그룹의 중요한 프로세스는 무엇이며 지원 부서의 워크로드에 어떤 영향을 미칠 수 있나요?
- 지원 부서의 연락처는 누구인가요?
- 최종 사용자에 대한 애플리케이션 제어 문제는 어떻게 해결되는가?
최종 사용자 지원
AppLocker는 승인되지 않은 앱의 실행을 차단하기 때문에 organization 최종 사용자 지원을 제공하는 방법을 신중하게 계획하는 것이 중요합니다. 고려 사항은 다음과 같습니다.
- 인트라넷 사이트를 차단된 앱이 발생하는 사용자를 위한 지원의 최전방으로 사용하시겠습니까?
- 정책에 대한 예외를 어떻게 지원하시겠습니까?
인트라넷 사이트 사용
기본 블록 메시지를 표시하지만 사용자 지정 URL을 사용하여 AppLocker를 구성할 수 있습니다. 이 URL을 사용하여 사용자가 오류를 수신한 이유와 허용되는 애플리케이션에 대한 정보가 포함된 지원 사이트로 사용자를 리디렉션할 수 있습니다. 앱이 차단될 때 메시지에 대한 사용자 지정 URL을 표시하지 않으면 기본 URL이 사용됩니다.
다음 이미지는 차단된 앱에 대한 오류 메시지의 예를 보여줍니다. 지원 웹 링크 정책 설정 설정을 사용하여 추가 정보 링크를 사용자 지정할 수 있습니다.
메시지에 대한 사용자 지정 URL을 표시하는 단계는 사용자가 차단된 앱을 실행하려고 할 때 사용자 지정 URL 메시지 표시를 참조하세요.
AppLocker 이벤트 관리
프로세스가 실행하려고 할 때마다 AppLocker는 AppLocker 이벤트 로그에 이벤트를 만듭니다. 이벤트에는 실행하려는 파일, 파일을 시작한 사용자 및 파일을 차단하거나 허용한 AppLocker 규칙 GUID에 대한 정보가 포함됩니다. AppLocker 이벤트 로그는 애플리케이션 및 서비스 로그\Microsoft\Windows\AppLocker 경로에 있습니다. AppLocker 로그에는 다음 세 개의 로그가 포함됩니다.
- EXE 및 DLL. 실행 파일 및 DLL 규칙 컬렉션(.exe, .com, .dll 및 .ocx)의 영향을 받는 모든 파일에 대한 이벤트를 포함합니다.
- MSI 및 스크립트. Windows Installer 및 스크립트 규칙 컬렉션(.msi, .msp, .ps1, .bat, .cmd, .vbs 및 .js)의 영향을 받는 모든 파일에 대한 이벤트를 포함합니다.
- 패키지된 앱 배포 또는 패키지된 앱 실행은 패키지된 앱 및 압축된 앱 설치 관리자 규칙 컬렉션(.appx)의 영향을 받는 모든 유니버설 Windows 앱에 대한 이벤트를 포함합니다.
중앙 위치에서 이러한 이벤트를 수집하면 AppLocker 정책을 유지하고 규칙 구성 문제를 해결하는 데 도움이 될 수 있습니다.
정책 유지 관리
앱이 배포, 업데이트 또는 사용 중지되면 정책 규칙을 최신 상태로 유지해야 합니다.
규칙을 추가, 변경 또는 제거하여 AppLocker 정책을 편집할 수 있습니다. 그러나 더 많은 규칙을 가져와서 정책의 버전을 지정할 수는 없습니다. AppLocker 정책을 수정할 때 버전 제어를 보장하려면 그룹 정책 개체(GPO) 버전을 만들 수 있는 그룹 정책 관리 소프트웨어를 사용합니다. 이러한 유형의 소프트웨어의 예로는 Microsoft 데스크톱 최적화 팩의 고급 그룹 정책 관리 기능이 있습니다. 자세한 내용은 고급 그룹 정책 관리 개요를 참조하세요.
중요
AppLocker 규칙 컬렉션이 그룹 정책 적용되는 동안에는 편집해서는 안 됩니다. AppLocker는 실행할 수 있는 파일을 제어하므로 라이브 정책을 변경하면 예기치 않은 동작이 발생할 수 있습니다.
지원되는 앱의 새 버전
새 버전의 앱이 organization 배포되면 해당 앱의 이전 버전을 계속 지원할지 여부를 결정해야 합니다. 새 버전을 추가하려면 앱과 연결된 각 파일에 대한 새 규칙만 만들어야 할 수 있습니다. 게시자 조건을 사용하고 버전이 지정되지 않은 경우 기존 규칙 또는 규칙이 업데이트된 파일을 실행하도록 허용하기에 충분할 수 있습니다. 그러나 파일 이름이 변경되거나 새 파일이 추가된 경우 검사 합니다. 그렇다면 기존 규칙을 수정하거나 새 규칙을 만들어야 합니다. 디지털 서명이 변경되는 파일에 대한 게시자 기반 규칙을 업데이트해야 할 수 있습니다.
앱 업데이트 중에 파일이 변경되었는지 여부를 확인하려면 업데이트 패키지와 함께 제공되는 게시자의 릴리스 세부 정보를 검토합니다. 게시자의 웹 페이지를 검토하여 이 정보를 검색할 수도 있습니다. 각 파일을 검사하여 버전을 확인할 수도 있습니다.
파일 해시 조건으로 허용되거나 거부된 파일의 경우 새 파일 해시를 검색하고 규칙에 새 해시가 포함되어 있는지 확인해야 합니다.
경로 조건이 있는 파일의 경우 설치 경로가 동일한지 확인해야 합니다. 경로가 변경된 경우 새 버전의 앱을 설치하기 전에 새 경로에 대한 규칙을 추가해야 합니다.
최근에 배포된 앱
새 앱을 지원하려면 기존 AppLocker 정책에 하나 이상의 규칙을 추가해야 합니다.
앱이 더 이상 지원되지 않음
organization 연결된 AppLocker 규칙이 있는 애플리케이션을 더 이상 지원하지 않는 경우 규칙을 삭제하여 앱을 차단할 수 있습니다.
앱이 차단되었지만 허용되어야 합니다.
다음 세 가지 이유로 파일을 차단할 수 있습니다.
- 가장 일반적인 이유는 앱 실행을 허용하는 규칙이 없기 때문입니다.
- 너무 제한적인 파일에 대해 만들어진 기존 규칙이 있을 수 있습니다.
- 재정의할 수 없는 거부 규칙은 파일을 명시적으로 차단합니다.
규칙 컬렉션을 편집하기 전에 먼저 파일이 실행되지 않도록 하는 규칙을 결정합니다. Test-AppLockerPolicy Windows PowerShell cmdlet을 사용하여 문제를 해결할 수 있습니다. AppLocker 정책 문제 해결에 대한 자세한 내용은 AppLocker 정책 테스트 및 업데이트를 참조하세요.
결과 기록
이 AppLocker 계획 문서를 완료하려면 먼저 다음 단계를 완료해야 합니다.
AppLocker 정책 관리를 위해 확인할 세 가지 주요 영역은 다음과 같습니다.
지원 정책
차단된 앱을 실행하려는 사용자의 호출을 처리하는 프로세스를 문서화하고 지원 담당자가 정책에 대한 권장 문제 해결 단계 및 에스컬레이션 지점을 알고 있는지 확인합니다.
이벤트 처리
이벤트가 수집되는 위치, 보관되는 빈도 및 분석을 위해 이벤트가 처리되는 방법을 문서화합니다.
정책 유지 관리
정책 유지 관리 및 수명 주기 계획을 자세히 설명합니다.
다음 표에는 AppLocker 정책을 유지 관리하고 관리하는 방법을 결정할 때 수집된 추가된 샘플 데이터가 포함되어 있습니다.
비즈니스 그룹 | 조직 구성 단위 | AppLocker를 구현할까요? | 앱 | 설치 경로 | 기본 규칙 사용 또는 새 규칙 조건 정의 | 허용 또는 거부 | GPO 이름 | 지원 정책 |
---|---|---|---|---|---|---|---|---|
은행 텔러 | Teller-East 및 Teller-West | 예 | 텔러 소프트웨어 | C:\Program Files\Woodgrove\Teller.exe | 파일이 서명되었습니다. 게시자 조건 만들기 | 허용 | Tellers-AppLockerTellerRules | 웹 도움말 |
Windows 파일 | C:\Windows | \Windows\Temp를 제외하는 기본 규칙에 대한 경로 예외 만들기 | 허용 | 지원 센터 | ||||
인사 | HR-All | 예 | 지급 확인 | C:\Program Files\Woodgrove\HR\Checkcut.exe | 파일이 서명되었습니다. 게시자 조건 만들기 | 허용 | HR-AppLockerHRRules | 웹 도움말 |
시간표 구성 도우미 | C:\Program Files\Woodgrove\HR\Timesheet.exe | 파일이 서명되지 않았습니다. 파일 해시 조건 만들기 | 허용 | 웹 도움말 | ||||
인터넷 Explorer 7 | C:\Program Files\Internet Explorer | 파일이 서명되었습니다. 게시자 조건 만들기 | 거부 | 웹 도움말 | ||||
Windows 파일 | C:\Windows | Windows 경로에 대한 기본 규칙 사용 | 허용 | 지원 센터 |
다음 두 표에서는 AppLocker 정책을 유지 관리하고 관리하기 위한 고려 사항을 문서화하는 예제를 보여 줍니다.
이벤트 처리 정책
앱 사용에 대한 검색 방법 중 하나는 AppLocker 적용 모드를 감사 전용으로 설정하는 것입니다. 이 적용 모드는 다른 Windows 로그처럼 관리 및 분석할 수 있는 AppLocker 로그에 이벤트를 씁니다. 앱을 식별한 후에는 AppLocker 이벤트 처리 및 액세스와 관련된 정책을 개발할 수 있습니다.
다음 표는 고려하고 기록해야 하는 사항의 예입니다.
비즈니스 그룹 | AppLocker 이벤트 컬렉션 위치 | 보관 정책 | 분석? | 보안 정책 |
---|---|---|---|---|
은행 텔러 | 전달 대상: srvBT093의 AppLocker 이벤트 리포지토리 | Standard | 없음 | Standard |
인사 | 전달하지 마세요. srvHR004 | 60개월 | 예, 관리자에게 매월 요약 보고서 | Standard |
정책 유지 관리 정책
애플리케이션 제어 정책을 업데이트하는 방법을 문서화하기 시작합니다.
다음 표는 고려하고 기록해야 하는 사항의 예입니다.
비즈니스 그룹 | 규칙 업데이트 정책 | 애플리케이션 서비스 해제 정책 | 애플리케이션 버전 정책 | 애플리케이션 배포 정책 |
---|---|---|---|---|
은행 텔러 | 계획됨: 매월 비즈니스 오피스 심사 긴급: 지원팀을 통한 요청 |
비즈니스 오피스 심사를 통해 30일 알림 필요 |
일반 정책: 12개월 동안 이전 버전 유지 각 애플리케이션에 대한 정책 나열 |
비즈니스 오피스를 통해 조정 30일 알림 필요 |
인사 | 계획됨: 매월 HR 심사 긴급: 지원팀을 통한 요청 |
HR 심사를 통해 30일 알림 필요 |
일반 정책: 60개월 동안 이전 버전 유지 각 애플리케이션에 대한 정책 나열 |
HR을 통해 조정 30일 알림 필요 |