완전히 관리되는 디바이스에 대한 WDAC 정책 만들기

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

참고

Windows Defender Application Control의 일부 기능은 특정 Windows 버전에서만 사용할 수 있습니다. Windows Defender Application Control 기능 가용성에 대해 자세히 알아봅니다.

이 섹션에서는 organization 내에서 완전 관리형 디바이스에 대한 Windows Defender WDAC(애플리케이션 제어) 정책을 만드는 프로세스를 간략하게 설명합니다. 이 시나리오와 가볍게 관리되는 디바이스 의 주요 차이점은 완전 관리형 디바이스에 배포된 모든 소프트웨어는 IT에서 관리하며 디바이스 사용자는 임의 앱을 설치할 수 없다는 것입니다. 이상적으로 모든 앱은 Microsoft Intune 같은 소프트웨어 배포 솔루션을 사용하여 배포됩니다. 또한 완전 관리형 디바이스의 사용자는 이상적으로 표준 사용자로 실행되어야 하며 권한 있는 IT 전문가만 관리 액세스 권한을 갖습니다.

참고

이 항목에 설명된 Windows Defender 애플리케이션 제어 옵션 중 일부는 Windows 10 버전 1903 이상 또는 Windows 11만 사용할 수 있습니다. 이 항목을 사용하여 고유한 organization WDAC 정책을 계획할 때 관리되는 클라이언트가 이러한 기능의 전부 또는 일부를 사용할 수 있는지 여부를 고려하고 클라이언트에서 사용할 수 없는 기능에 대한 영향을 평가합니다. 특정 organization 요구 사항에 맞게 이 지침을 조정해야 할 수 있습니다.

일반적인 Windows Defender 애플리케이션 제어 배포 시나리오에 설명된 대로 Lamna Healthcare Company(Lamna)의 예제를 사용하여 이 시나리오를 설명합니다. Lamna는 원치 않거나 권한이 없는 애플리케이션이 관리되는 디바이스에서 실행되지 않도록 애플리케이션 제어를 사용하는 등 더 강력한 애플리케이션 정책을 채택하려고 합니다.

Alice Pena 는 WDAC 출시를 담당하는 IT 팀 리더입니다.

Alice는 이전에 organization 가볍게 관리되는 디바이스에 대한 정책을 만들었습니다. 그러나 일부 디바이스는 더 엄격하게 관리되며 더 제한된 정책의 이점을 얻을 수 있습니다. 특히 관리 직원 및 일선 작업자와 같은 특정 작업 기능에는 디바이스에 대한 관리자 수준 액세스 권한이 부여되지 않습니다. 마찬가지로 공유 키오스크는 관리되는 앱 집합과 IT를 제외한 디바이스의 모든 사용자가 표준 사용자로 실행되는 경우에만 구성됩니다. 이러한 디바이스에서 모든 앱은 IT에서 배포 및 설치됩니다.

완전 관리형 디바이스에 대한 "신뢰 원"을 정의합니다.

Alice는 Lamna의 완전 관리형 디바이스에 대한 "신뢰 원"에 도달하는 다음과 같은 주요 요소를 식별합니다.

• 모든 클라이언트는 버전 1903 이상 또는 Windows 11 Windows 10 실행 중입니다.
• 모든 클라이언트는 Configuration Manager 또는 Intune 통해 관리됩니다.
• 전부는 아니지만 대부분의 앱은 Configuration Manager 사용하여 배포됩니다.
• 경우에 따라 IT 직원은 Configuration Manager 사용하지 않고 이러한 디바이스에 직접 앱을 설치합니다.
• IT를 제외한 모든 사용자는 이러한 디바이스의 표준 사용자입니다.

Alice 팀은 IT 직원이 디바이스에 직접 앱을 설치할 수 있는 권한 있는 방법이 될 LamnaITInstaller.exe라는 간단한 콘솔 애플리케이션을 개발합니다. LamnaITInstaller.exe IT 전문가가 앱 설치 관리자와 같은 다른 프로세스를 시작할 수 있습니다. Alice는 LamnaITInstaller.exe WDAC용 추가 관리형 설치 관리자로 구성하고 파일 경로 규칙의 필요성을 제거할 수 있도록 합니다.

위의 내용에 따라 Alice는 정책에 대한 의사 규칙을 정의합니다.

1. 권한을 부여하는 "Windows 작동" 규칙:

   • Windows
   • WHQL(타사 커널 드라이버)
   • Windows 스토어 서명된 앱

2. Configuration Manager 구성 요소가 제대로 작동하도록 서명자 및 해시 규칙을 포함하는 "ConfigMgr 작동" 규칙입니다.

3. 관리되는 설치 관리자 허용(Configuration Manager 및 관리되는 설치 관리자로 구성된 LamnaITInstaller.exe)

이 의사 규칙 집합과 Lamna의 가볍게 관리되는 디바이스 에 대해 정의된 의사 규칙 간의 중요한 차이점은 다음과 같습니다.

• ISG(Intelligent Security Graph) 옵션 제거 및
• 파일 경로 규칙 제거.

예제 WDAC 기본 정책을 사용하여 사용자 지정 기본 정책 만들기

"신뢰의 원"을 정의한 Alice는 Lamna의 완전 관리형 디바이스에 대한 초기 정책을 생성할 준비가 되었으며 Configuration Manager 사용하여 초기 기본 정책을 만든 다음 Lamna의 요구에 맞게 사용자 지정하기로 결정합니다.

Alice는 다음 단계에 따라 이 작업을 완료합니다.

참고

Configuration Manager 사용하지 않거나 고유한 정책에 대해 다른 예제 Windows Defender 애플리케이션 제어 기본 정책을 사용하려는 경우 2단계로 건너뛰고 Configuration Manager 정책 경로를 기본 예제 기본 정책으로 대체합니다.

1. Configuration Manager 사용하여 Windows 10 버전 1903 이상을 실행하는 클라이언트 디바이스 또는 Windows 11 감사 정책을 만들고 배포합니다.

2. 클라이언트 디바이스에서 관리자 권한 Windows PowerShell 세션에서 다음 명령을 실행하여 변수를 초기화합니다.

   $PolicyPath=$env:userprofile+"\Desktop\"
   $PolicyName= "Lamna_FullyManagedClients_Audit"
   $LamnaPolicy=$PolicyPath+$PolicyName+".xml"
   $ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml"
   

3. Configuration Manager 만든 정책을 바탕 화면에 복사합니다.

   cp $ConfigMgrPolicy $LamnaPolicy
   

4. 새 정책에 고유한 ID, 설명이 포함된 이름 및 초기 버전 번호를 지정합니다.

   Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID
   Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"
   

5. 복사된 정책을 수정하여 정책 규칙을 설정합니다.

   Set-RuleOption -FilePath $LamnaPolicy -Option 3 # Audit Mode
   Set-RuleOption -FilePath $LamnaPolicy -Option 6 # Unsigned Policy
   Set-RuleOption -FilePath $LamnaPolicy -Option 9 # Advanced Boot Menu
   Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps
   Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed Installer
   Set-RuleOption -FilePath $LamnaPolicy -Option 16 # No Reboot
   Set-RuleOption -FilePath $LamnaPolicy -Option 17 # Allow Supplemental
   Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code Security
   

6. 적절한 경우 서명자 또는 파일 규칙을 더 추가하여 organization 대한 정책을 추가로 사용자 지정합니다.

7. ConvertFrom-CIPolicy를 사용하여 Windows Defender Application Control 정책을 이진 형식으로 변환합니다.

    [xml]$PolicyXML = Get-Content $LamnaPolicy
    $LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip"
    ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBin
   

8. 기본 정책 XML 및 연결된 이진 파일을 GitHub와 같은 소스 제어 솔루션 또는 Office 365 SharePoint와 같은 문서 관리 솔루션에 업로드합니다.

이 시점에서 Alice는 이제 Lamna 내의 관리되는 클라이언트에 감사 모드로 배포할 준비가 된 초기 정책을 가집니다.

이 완전 관리형 정책의 보안 고려 사항

Alice는 Lamna의 완전 관리형 디바이스에 대한 정책을 정의하여 앱의 보안과 관리 효율성 간에 약간의 장차를 만듭니다. 일부 절전은 다음과 같습니다.

• 관리 액세스 권한이 있는 사용자
  더 적은 수의 사용자에게 적용되지만 Lamna는 여전히 일부 IT 직원이 관리자 권한으로 완전 관리형 디바이스에 로그인할 수 있도록 허용합니다. 이 권한을 사용하면 이러한 사용자(또는 사용자의 권한으로 실행되는 맬웨어)가 디바이스에 적용된 WDAC 정책을 모두 수정하거나 제거할 수 있습니다. 또한 관리자는 관리되는 설치 관리자로 작동하려는 모든 앱을 구성하여 원하는 앱 또는 이진 파일에 대해 영구 앱 권한 부여를 얻을 수 있습니다.

  가능한 완화 방법:

  • 서명된 WDAC 정책 및 UEFI BIOS 액세스 보호를 사용하여 WDAC 정책의 변조를 방지합니다.
  • 관리되는 설치 관리자에 대한 요구 사항을 제거하기 위해 앱 배포 프로세스의 일부로 서명된 카탈로그 파일을 만들고 배포합니다.
  • 디바이스 증명을 사용하여 부팅 시 WDAC의 구성 상태를 감지하고 해당 정보를 사용하여 중요한 회사 리소스에 대한 액세스를 조건화합니다.

• 서명되지 않은 정책
  서명되지 않은 정책은 관리자 권한으로 실행되는 프로세스에 의해 결과 없이 대체하거나 제거할 수 있습니다. 추가 정책을 사용하도록 설정하는 서명되지 않은 기본 정책은 서명되지 않은 추가 정책에 의해 "신뢰 원"을 변경할 수 있습니다.

  적용된 기존 완화:

  • 디바이스에서 관리자 권한으로 승격할 수 있는 사용자를 제한합니다.

  가능한 완화 방법:

  • 서명된 WDAC 정책 및 UEFI BIOS 액세스 보호를 사용하여 WDAC 정책의 변조를 방지합니다.

• 관리되는 설치 관리자
  관리되는 설치 관리자를 사용하여 보안 고려 사항을 참조하세요.

  적용된 기존 완화:

  • 디바이스에서 관리자 권한으로 승격할 수 있는 사용자를 제한합니다.

  가능한 완화 방법:

  • 관리되는 설치 관리자에 대한 요구 사항을 제거하기 위해 앱 배포 프로세스의 일부로 서명된 카탈로그 파일을 만들고 배포합니다.

• 추가 정책
  추가 정책은 연결된 기본 정책을 완화하도록 설계되었습니다. 또한 서명되지 않은 정책을 허용하면 관리자 프로세스가 기본 정책에 정의된 "신뢰 원"을 제한 없이 확장할 수 있습니다.

  가능한 완화 방법:

  • 승인된 서명된 추가 정책만 허용하는 서명된 WDAC 정책을 사용합니다.
  • 제한적인 감사 모드 정책을 사용하여 앱 사용량을 감사하고 취약성 검색을 보강합니다.

다음으로

• 참조 컴퓨터를 사용하여 고정 워크로드 디바이스에 대한 Windows Defender Application Control 정책 만들기
• Windows Defender 애플리케이션 제어 정책 배포 준비