만들 규칙 유형 선택
이 문서에서는 AppLocker를 사용하여 애플리케이션 제어 정책 규칙을 만들 때 사용할 리소스를 나열합니다.
각 그룹에 대해 만들 규칙 유형을 결정할 때 각 그룹에 사용할 적용 설정도 결정해야 합니다. 애플리케이션이 특정 비즈니스 그룹에 배포되는 방식에 따라 일부 앱에 다른 규칙 유형이 더 적용됩니다.
다음 문서에서는 애플리케이션에 사용할 규칙을 결정하는 데 도움이 되는 AppLocker 규칙에 대한 추가 정보를 제공합니다.
- AppLocker 규칙 동작 이해
- AppLocker 규칙 예외 이해
- AppLocker 규칙 컬렉션 이해
- 규칙에 대한 AppLocker 허용 및 거부 작업 이해
- AppLocker 규칙 조건 종류 이해
- AppLocker 기본 규칙 이해
규칙 컬렉션 선택
사용하는 규칙 컬렉션은 다음을 포함하여 제어하려는 파일 형식에 따라 달라집니다.
- 실행 파일: .exe 및 .com
- Windows Installer 파일: .msi, .msp 및 .mst
- 스크립트: .ps1, .bat, .cmd, .vbs 및 .js
- 패키지된 앱 및 패키지된 앱 설치 관리자: .appx
- DLL: .dll 및 .ocx
기본적으로 규칙은 사용자 또는 그룹 권한에 따라 파일을 실행할 수 있도록 허용합니다. DLL 규칙을 사용하는 경우 허용되는 모든 앱에서 사용되는 각 DLL에 대해 DLL 허용 규칙을 만들어야 합니다. DLL 규칙 컬렉션은 기본적으로 사용하도록 설정되지 않습니다.
Woodgrove Bank 예제에서 Bank Tellers 비즈니스 그룹의 기간 업무 앱은 C:\Program Files\Woodgrove\Teller.exe 이고, 이 앱은 규칙에 포함되어야 합니다. 또한 이 규칙은 허용된 애플리케이션 목록의 일부이므로 C:\Windows 아래의 모든 Windows 파일도 포함되어야 합니다.
규칙 조건 확인
규칙 조건은 AppLocker 규칙의 기반이 되는 조건이며 다음 표의 규칙 조건 중 하나일 수 있습니다.
| 규칙 조건 | 사용 시나리오 | 리소스 |
|---|---|---|
| 게시자 | 게시자 조건을 사용하려면 소프트웨어 게시자가 파일에 디지털 서명을 해야 하거나 조직 인증서를 사용하여 서명해야 합니다. 새 버전의 파일이 릴리스될 때 버전 수준으로 지정된 규칙을 업데이트해야 할 수 있습니다. | 이 규칙 조건에 대한 자세한 내용은 AppLocker에서 게시자 규칙 조건 이해를 참조하세요. |
| 경로 | 모든 파일에 이 규칙 조건이 할당될 수 있습니다. 그러나 경로 규칙은 파일 시스템 내의 위치를 지정하기 때문에 명시적으로 제외되지 않는 한 규칙은 모든 하위 디렉터리에 적용됩니다. | 이 규칙 조건에 대한 자세한 내용은 AppLocker의 경로 규칙 조건 이해를 참조하세요. |
| 파일 해시 | 모든 파일에 이 규칙 조건이 할당될 수 있습니다. 그러나 해시 값이 변경되므로 새 버전의 파일이 릴리스될 때마다 규칙을 업데이트해야 합니다. | 이 규칙 조건에 대한 자세한 내용은 AppLocker에서 파일 해시 규칙 조건 이해를 참조하세요. |
Woodgrove Bank 예제에서 Bank Tellers 비즈니스 그룹의 기간 업무 앱이 서명되고 C:\Program Files\Woodgrove\Teller.exe 있습니다. 따라서 게시자 조건으로 규칙을 정의할 수 있습니다.
시스템 파일 실행을 허용하는 방법 결정
AppLocker 규칙은 허용된 앱 목록을 작성하므로 모든 Windows 파일을 실행할 수 있도록 규칙을 만들어야 합니다. 각 규칙 컬렉션에 대한 AppLocker의 기본 규칙을 생성하여 시스템 앱이 실행되도록 할 수 있습니다. 사용자 고유의 규칙을 만들 때 이러한 기본 규칙( AppLocker 기본 규칙에 나열됨)을 템플릿으로 사용할 수 있습니다. 그러나 이러한 규칙은 Windows 폴더의 시스템 파일이 실행되도록 AppLocker 규칙을 처음 테스트할 때만 시작 정책으로 작동합니다. 기본 규칙을 만들 때 해당 이름은 규칙 컬렉션에서 "(기본 규칙)"로 시작합니다.
경로 조건에 따라 시스템 파일에 대한 규칙을 만들 수도 있습니다. 앞의 예제에서 Bank Tellers 그룹의 경우 모든 Windows 파일은 C:\Windows 아래에 있으며 경로 규칙 조건 유형으로 정의할 수 있습니다. 이 규칙은 업데이트가 적용되고 파일이 변경 될 때마다 이러한 파일에 대한 액세스를 허용합니다. 더 많은 애플리케이션 보안이 필요한 경우 기본 제공 기본 규칙 컬렉션에서 만든 규칙을 수정해야 할 수 있습니다. 예를 들어 모든 사용자가 Windows 폴더에서 .exe 파일을 실행할 수 있도록 허용하는 기본 규칙은 Windows 폴더 내의 모든 파일을 실행할 수 있는 경로 조건을 기반으로 합니다. Windows 폴더에는 사용자 그룹에 다음 권한이 부여되는 임시 하위 폴더가 포함되어 있습니다.
- 폴더 트래버스/파일 실행
- 파일 만들기/데이터 쓰기
- 폴더 만들기/데이터 추가
이러한 권한 설정은 애플리케이션 호환성을 위해 이 폴더에 적용됩니다. 그러나 사용자가 이 위치에 파일을 만들 수 있으므로 이 위치에서 앱을 실행할 수 있도록 허용하면 organization 보안 정책과 충돌할 수 있습니다.
다음 단계
만들 규칙 유형을 선택한 후 AppLocker 규칙 문서화에 설명된 대로 결과를 기록합니다.
만들 AppLocker 규칙에 대한 결과를 기록한 후에는 규칙을 적용하는 방법을 고려해야 합니다. 이 적용을 수행하는 방법에 대한 자세한 내용은 그룹 정책 구조 및 규칙 적용 확인을 참조하세요.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기