그룹 정책에서 AppLocker 규칙 및 적용 설정 상속 이해

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

IT 전문가를 위한 이 문서에서는 AppLocker에 구성된 애플리케이션 제어 정책이 그룹 정책 통해 적용되는 방법을 설명합니다.

규칙 적용은 개별 규칙이 아닌 규칙 컬렉션에만 적용됩니다. 규칙 컬렉션에 대한 자세한 내용은 AppLocker 규칙 컬렉션을 참조하세요.

그룹 정책 두 가지 방법으로 AppLocker 정책을 병합합니다.

• 규칙. 그룹 정책 연결된 그룹 정책 개체(GPO)에 이미 있는 규칙을 덮어쓰거나 바꾸지 않습니다. 예를 들어 현재 GPO에 12개 규칙이 있고 연결된 GPO에 50개 규칙이 있는 경우 62개 규칙이 적용됩니다.

  중요

  파일을 실행할 수 있는지 여부를 결정할 때 AppLocker는 다음 순서로 규칙을 처리합니다.

  1. 명시적 거부. 관리자가 파일을 거부하는 규칙을 만들었습니다.
  2. 명시적 허용. 관리자가 파일을 허용하는 규칙을 만들었습니다.
  3. 암시적 거부. 허용 규칙에서 다루지 않는 모든 파일이 차단됩니다.

• 적용 설정. 정책에 대한 마지막 쓰기가 적용됩니다. 예를 들어 상위 수준 GPO에 규칙 적용 으로 구성된 적용 설정이 있고 가장 가까운 GPO에 감사 전용으로 구성된 설정이 있는 경우 감사만 적용됩니다. 가장 가까운 GPO에서 적용 모드가 구성되지 않은 경우 가장 가까운 연결된 GPO의 설정이 적용됩니다. 컴퓨터의 유효 정책에는 연결된 각 GPO의 규칙이 포함되어 있으므로 중복 규칙 또는 충돌하는 규칙이 사용자의 컴퓨터에 적용될 수 있습니다. 따라서 필요한 규칙만 GPO에 있는지 확인하기 위해 배포를 신중하게 계획해야 합니다.

다음 그림에서는 연결된 GPO를 통해 AppLocker 규칙 적용을 적용하는 방법을 보여 줍니다.

앞의 그림에서 Contoso에 연결된 모든 GPO가 구성된 순서대로 적용됩니다. 구성되지 않은 규칙도 적용됩니다. 예를 들어 Contoso 및 인사 GPO의 결과는 클라이언트 HR-Term1에 표시된 것처럼 33개의 규칙이 적용됩니다. 인적 자원 GPO에는 적용 모드 설정이 "구성되지 않음"인 10개의 규칙이 포함되어 있습니다. 규칙 컬렉션이 감사 전용으로 구성된 경우 규칙이 적용되지 않습니다.

AppLocker 정책을 적용하기 위한 그룹 정책 아키텍처를 생성할 때는 다음 사항을 기억해야 합니다.

• 적용 모드가 "구성되지 않음"으로 설정된 모든 규칙 컬렉션이 적용됩니다.
• 그룹 정책 연결된 GPO에 이미 있는 규칙을 덮어쓰거나 바꾸지 않습니다.
• AppLocker 거부 규칙은 항상 허용 규칙보다 우선합니다.
• 규칙 적용의 경우 GPO에 대한 마지막 쓰기가 적용됩니다.