참조 장치를 사용하여 AppLocker 정책 생성 및 유지 관리

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

IT 전문가를 위한 이 문서에서는 참조 컴퓨터를 사용하여 AppLocker 정책을 만들고 유지 관리하는 단계를 설명합니다.

배경 및 필수 구성 요소

AppLocker 참조 디바이스는 정책을 구성하는 데 사용할 수 있는 기준 디바이스이며 AppLocker 정책을 유지 관리하는 데 사용할 수 있습니다. 참조 디바이스를 구성하는 절차는 AppLocker 참조 디바이스 구성을 참조하세요.

AppLocker 정책을 만들고 유지 관리하는 데 사용되는 AppLocker 참조 디바이스에는 프로덕션 환경을 모방하기 위해 각 OU(조직 구성 단위)에 해당하는 앱이 포함되어야 합니다.

감사 전용 적용 모드 설정 또는 Windows PowerShell cmdlet을 사용하여 참조 디바이스에서 AppLocker 정책 테스트를 수행할 수 있습니다.

1단계: 참조 디바이스에서 규칙 자동 생성

AppLocker를 사용하면 폴더 내의 모든 파일에 대한 규칙을 자동으로 생성할 수 있습니다. AppLocker는 지정된 폴더를 검색하고 해당 폴더의 각 파일에 대해 선택하는 조건 유형을 만듭니다. 규칙을 자동으로 생성하는 방법에 대한 자세한 내용은 규칙 자동 생성 마법사 실행을 참조하세요.

참고

이 마법사를 실행하여 GPO(그룹 정책 Object)에 대한 첫 번째 규칙을 만드는 경우 중요한 시스템 파일을 실행할 수 있는 기본 규칙을 만들라는 메시지가 표시됩니다. 언제든지 기본 규칙을 편집할 수 있습니다. organization 사용자 지정 규칙을 사용하여 Windows 시스템 파일을 실행할 수 있도록 허용하는 경우 사용자 지정 규칙을 만든 후 기본 규칙을 삭제해야 합니다.

2단계: 참조 디바이스에서 기본 규칙 만들기

AppLocker에는 각 규칙 컬렉션에 대한 기본 규칙이 포함됩니다. 이러한 규칙은 Windows가 제대로 작동하는 데 필요한 파일이 AppLocker 규칙 컬렉션에서 허용되도록 하기 위한 것입니다. 각 규칙 컬렉션에 대한 기본 규칙을 실행해야 합니다. 기본 규칙 및 사용 고려 사항에 대한 자세한 내용은 AppLocker 기본 규칙 이해를 참조하세요. 기본 규칙을 만드는 절차는 AppLocker 기본 규칙 만들기를 참조하세요.

중요

고유한 규칙을 만들 때 기본 규칙을 템플릿으로 사용할 수 있습니다. 이렇게 하면 Windows 디렉터리 내의 파일을 실행할 수 있습니다. 그러나 이러한 규칙은 AppLocker 규칙을 처음 테스트할 때만 시작 정책으로 작동합니다.

3단계: 참조 디바이스에서 규칙 및 규칙 컬렉션 수정

AppLocker 정책이 현재 프로덕션 환경에서 실행 중인 경우 해당 GPO에서 정책을 내보내고 참조 디바이스에 저장합니다. 정책을 내보내고 저장하는 방법에 대한 자세한 내용은 GPO에서 AppLocker 정책 내보내기를 참조하세요. AppLocker 정책이 배포되지 않은 경우 다음 절차를 사용하여 규칙을 만들고 정책을 개발합니다.

• 게시자 조건을 사용하는 규칙 만들기
• 파일 해시 조건을 사용하는 규칙 만들기
• 경로 조건을 사용하는 규칙 만들기
• AppLocker 규칙 편집
• AppLocker 규칙에 대한 예외 추가
• AppLocker 규칙 삭제
• DLL 규칙 컬렉션 사용
• AppLocker 규칙 적용

4단계: 참조 디바이스에서 AppLocker 정책 테스트 및 업데이트

각 규칙 집합을 테스트하여 규칙 집합이 의도한 대로 수행되도록 해야 합니다. Test-AppLockerPolicy Windows PowerShell cmdlet을 사용하여 참조 디바이스의 앱이 규칙 컬렉션의 규칙에 의해 차단되는지 여부를 확인할 수 있습니다. AppLocker 정책을 정의하는 데 사용한 각 참조 디바이스에서 단계를 수행합니다. 참조 디바이스가 도메인에 가입되어 있고 적절한 GPO에서 AppLocker 정책을 수신하는지 확인합니다. AppLocker 규칙은 연결된 GPO에서 상속되므로 모든 테스트 GPO를 동시에 테스트하기 위해 모든 규칙을 배포해야 합니다. 다음 절차를 사용하여 이 단계를 완료합니다.

• Test-AppLockerPolicy를 사용하여 AppLocker 정책 테스트
• AppLocker 정책의 효과 검색

Warning

규칙 컬렉션의 적용 모드 설정을 규칙 적용 또는 구성되지 않음으로 설정한 경우 다음 단계를 완료할 때 정책이 적용됩니다. 실행 중인 파일을 차단할 준비가 되지 않은 경우에만 규칙 컬렉션의 적용 모드 설정을 감사 로 설정합니다.

5단계: 정책 내보내기 및 프로덕션으로 가져오기

AppLocker 정책을 테스트한 후 GPO(또는 그룹 정책 관리되지 않는 개별 컴퓨터로 가져오기)로 가져와서 의도한 효과를 확인할 수 있습니다. 이러한 작업을 수행하려면 다음 절차를 수행합니다.

• XML 파일로 AppLocker 정책 내보내기
• AppLocker 정책을 GPO로 가져오 거나
• AppLocker 정책의 효과 검색

AppLocker 정책 적용 설정이 감사 전용 이고 정책이 의도를 충족하는 것에 만족하는 경우 규칙 적용으로 변경할 수 있습니다. 적용 설정을 변경하는 방법에 대한 자세한 내용은 규칙 적용을 위한 AppLocker 정책 구성을 참조하세요.

6단계: 프로덕션 환경에서 정책의 효과 모니터링

정책을 배포한 후 더 많은 구체화 또는 업데이트가 필요한 경우 적절한 다음 절차를 사용하여 정책을 모니터링하고 업데이트합니다.

• AppLocker로 앱 사용 모니터링
• AppLocker 정책 편집
• AppLocker 정책 새로 고침

참고 항목

• 프로덕션에 AppLocker 정책 배포