다음을 통해 공유

관리형 설치 관리자 및 ISG 기술 참조 및 문제 해결 가이드

참고

Windows Defender Application Control의 일부 기능은 특정 Windows 버전에서만 사용할 수 있습니다. 애플리케이션 제어 기능 가용성에 대해 자세히 알아봅니다.

관리되는 설치 관리자 및 ISG(Intelligent Security Graph) 로깅 이벤트 사용

선택적 관리형 설치 관리자 진단 이벤트를 사용하도록 설정하는 방법에 대한 자세한 내용은 애플리케이션 제어 이벤트 이해를 참조하세요.

fsutil을 사용하여 MI(Managed Installer)에 대한 확장 특성 쿼리

MI(관리형 설치 관리자)가 사용하도록 설정된 Windows Defender WDAC(애플리케이션 제어)를 사용하는 고객은 fsutil.exe 사용하여 관리되는 설치 관리자 프로세스에서 파일을 만들었는지 여부를 확인할 수 있습니다. 이 확인은 fsutil.exe 사용하여 파일에서 EA(확장 특성)를 쿼리하고 KERNEL을 찾아서 수행됩니다. SMARTLOCKER. ORIGINCLAIM EA. 그런 다음 출력의 첫 번째 행의 데이터를 사용하여 관리되는 설치 관리자가 파일을 만들었는지 식별할 수 있습니다. 예를 들어 application.exe 파일에 대한 fsutil.exe 출력을 살펴보겠습니다.

예제:

fsutil.exe file queryEA C:\Users\Temp\Downloads\application.exe

Extended Attributes (EA) information for file C:\Users\Temp\Downloads\application.exe:

Ea Buffer Offset: 410
Ea Name: $KERNEL.SMARTLOCKER.ORIGINCLAIM
Ea Value Length: 7e
0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 ................
0010: b2 ff 10 66 bc a8 47 c7 00 d9 56 9d 3d d4 20 2a ...f..G...V.=. *
0020: 63 a3 80 e2 d8 33 8e 77 e9 5c 8d b0 d5 a7 a3 11 c....3.w.\......
0030: 83 00 00 00 00 00 00 00 5c 00 00 00 43 00 3a 00 ........\...C.:.
0040: 5c 00 55 00 73 00 65 00 72 00 73 00 5c 00 6a 00 \.U.s.e.r.s.\.T.
0050: 6f 00 67 00 65 00 75 00 72 00 74 00 65 00 2e 00 e.m.p..\D.o.w.n...
0060: 52 00 45 00 44 00 4d 00 4f 00 4e 00 44 00 5c 00 l.o.a.d.\a.p.p.l.
0070: 44 00 6f 00 77 00 6e 00 6c 00 6f 00 61 00 64 i.c.a.t.i.o.n..e.x.e

위에 표시된 출력에서 "0000:"이라는 레이블이 지정된 데이터의 첫 번째 행을 찾은 다음 16개의 두 문자 집합을 찾습니다. 4개 세트마다 ULONG이라는 그룹을 형성합니다. 첫 번째 ULONG의 전면에 있는 두 문자 집합은 다음과 같이 항상 "01"입니다.

0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00

출력의 다섯 번째 위치(두 번째 ULONG의 시작)에 "00"이 있는 경우 EA가 관리되는 설치 관리자와 관련이 있음을 나타냅니다.

0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00

마지막으로 출력의 9번째 위치(세 번째 ULONG의 시작)에 있는 두 문자 집합은 관리되는 설치 관리자로 실행되는 프로세스에서 파일을 만들었는지 여부를 나타냅니다. 값 "00"은 파일이 관리되는 설치 관리자 프로세스에 의해 직접 작성되었으며 WDAC 정책이 관리되는 설치 관리자를 신뢰하는 경우 실행됨을 의미합니다.

0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00

대신 세 번째 ULONG의 시작 값이 "02"이면 "자식 자식"을 나타냅니다. "자식 자식"은 관리되는 설치 관리자가 설치한 항목에서 만든 모든 파일에 설정됩니다. 그러나 관리되는 설치 관리자가 작업을 완료한 파일이 만들어졌습니다. 따라서 정책에 이를 허용하는 다른 규칙이 없으면 이 파일을 실행할 수 없습니다 .

드문 경우지만 이 위치에 다른 값이 표시될 수 있지만 정책이 관리되는 설치 관리자를 신뢰하는 경우에도 실행됩니다.

fsutil을 사용하여 ISG(Intelligent Security Graph)에 대한 확장 특성 쿼리

ISG에 따라 평판이 좋은 설치 관리자가 실행되면 설치 관리자가 디스크에 쓰는 파일은 설치 관리자의 평판을 상속합니다. ISG 상속 트러스트가 있는 이러한 파일에는 KERNEL도 있습니다. SMARTLOCKER. 관리되는 설치 관리자에 대해 위에서 설명한 대로 ORIGINCLAIM EA 집합입니다. fsutil에서 출력의 다섯 번째 위치(두 번째 ULONG의 시작)에서 값 "01"을 찾아 ISG에서 EA가 생성되었음을 식별할 수 있습니다.

0000: 01 00 00 00 00 01 00 00 00 00 00 00 01 00 00 00 00

관리되는 설치 관리자 및 ISG에 대한 추가 문제 해결 단계

관리되는 설치 관리자와 ISG는 모두 AppLocker에 따라 일부 기능을 제공합니다. 다음 단계를 사용하여 AppLocker가 올바르게 구성되고 실행되고 있는지 확인합니다.

  1. AppLocker 서비스가 실행되고 있는지 확인합니다. 관리자 권한 PowerShell 창에서 다음을 실행하고 STATE가 appidsvc 및 AppLockerFltr 모두에 대해 실행 중으로 표시되는지 확인합니다.

    sc.exe query appidsvc
    SERVICE_NAME: appidsvc
    TYPE               : 30  WIN32
    STATE              : 4  RUNNING
                            (STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)
    WIN32_EXIT_CODE    : 0  (0x0)
    SERVICE_EXIT_CODE  : 0  (0x0)
    CHECKPOINT         : 0x0
    WAIT_HINT          : 0x0
sc.exe query AppLockerFltr
    SERVICE_NAME: applockerfltr
    TYPE               : 1  KERNEL_DRIVER
    STATE              : 4  RUNNING
                            (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
    WIN32_EXIT_CODE    : 0  (0x0)
    SERVICE_EXIT_CODE  : 0  (0x0)
    CHECKPOINT         : 0x0
    WAIT_HINT          : 0x0

    그렇지 않은 경우 관리자 권한 PowerShell 창에서 appidtel을 실행하고 다시 검사.

  2. 관리되는 설치 관리자의 경우 AppCache.dat 및 기타 *에 대한 검사. %windir%\System32\AppLocker에서 만든 AppLocker 파일입니다. 최소한 "이 있어야 합니다. 각 EXE, DLL 및 MANAGEDINSTALLER 규칙 컬렉션에 대해 생성된 AppLocker" 파일입니다. 이러한 파일이 만들어지지 않으면 다음 단계로 진행하여 AppLocker 정책이 올바르게 적용되었는지 확인합니다.

  3. 관리되는 설치 관리자 문제 해결의 경우 AppLocker 유효 정책이 올바른지 검사. 관리자 권한 PowerShell 창에서:

    Get-AppLockerPolicy -Effective -XML > $env:USERPROFILE\Desktop\AppLocker.xml

    그런 다음 생성된 XML 파일을 열고 예상한 규칙이 포함되어 있는지 확인합니다. 특히 정책에는 각 EXE, DLL 및 MANAGEDINSTALLER RuleCollections에 대해 하나 이상의 규칙이 포함되어야 합니다. RuleCollections는 AuditOnly 또는 Enabled로 설정할 수 있습니다. 또한 EXE 및 DLL RuleCollections에는 Windows Defender 애플리케이션 제어를 사용하여 관리되는 설치 관리자가 배포한 앱 자동 허용에 표시된 것처럼 RuleCollectionExtensions 구성이 포함되어야 합니다.