AppLocker 정책 테스트 및 업데이트
이 문서에서는 배포 전에 AppLocker 정책을 테스트하는 데 필요한 단계를 설명합니다.
각 규칙 집합을 테스트하여 규칙이 의도한 대로 수행되도록 해야 합니다. 그룹 정책 사용하여 AppLocker 정책을 관리하는 경우 AppLocker 규칙을 포함하는 각 GPO(그룹 정책 Object)에 대해 다음 단계를 완료합니다. AppLocker 규칙은 연결된 GPO에서 상속되므로 모든 테스트 GPO에서 동시 테스트에 대한 모든 규칙을 배포해야 합니다.
1단계: 감사 전용 적용 설정 사용
감사 전용 적용 모드 설정을 사용하여 코드를 차단하지 않고 AppLocker 규칙이 organization 대해 올바르게 구성되었는지 확인합니다. 이 설정은 AppLocker 속성 대화 상자의 적용 탭에서 사용하도록 설정할 수 있습니다. 이 구성을 수행하는 절차에 대한 자세한 내용은 감사 전용 AppLocker 정책 구성을 참조하세요.
2단계: 자동으로 시작하도록 애플리케이션 ID 서비스 구성
AppLocker는 애플리케이션 ID 서비스를 사용하여 파일의 특성을 확인하므로 AppLocker 규칙을 적용하는 하나의 GPO에서 자동으로 시작되도록 구성해야 합니다. 자세한 내용은 애플리케이션 ID 서비스 구성을 참조하세요. GPO를 사용하여 AppLocker 정책을 배포하지 않는 경우 정책이 적용되도록 서비스가 각 PC에서 실행되고 있는지 확인해야 합니다.
3단계: 정책 테스트
AppLocker 정책을 테스트하여 규칙 컬렉션을 수정해야 하는지 확인합니다. AppLocker 정책은 AppLocker 정책을 받도록 구성된 모든 클라이언트 PC에서만 감사 모드로 활성화되어야 합니다.
Test-AppLockerPolicy Windows PowerShell cmdlet을 사용하여 참조 PC에서 실행되는 코드가 규칙 컬렉션의 규칙에 의해 차단되는지 여부를 확인할 수 있습니다. 이 테스트를 수행하는 절차에 대한 자세한 내용은 Test-AppLockerPolicy를 사용하여 AppLocker 정책 테스트를 참조하세요.
4단계: AppLocker 이벤트 분석
AppLocker 이벤트를 수동으로 분석하거나 Get-AppLockerFileInformation Windows PowerShell cmdlet을 사용하여 분석을 자동화할 수 있습니다.
AppLocker 이벤트를 수동으로 분석하려면
이벤트 뷰어 또는 텍스트 편집기를 사용하여 분석을 위해 AppLocker 이벤트를 보고 정렬합니다. 애플리케이션 사용 이벤트, 액세스 빈도 또는 사용자 그룹별 액세스에서 패턴을 찾을 수 있습니다. 이벤트 구독이 구성되지 않은 경우 organization 컴퓨터 샘플링에서 로그를 검토할 수 있습니다. 이벤트 뷰어 사용에 대한 자세한 내용은 AppLocker를 사용하여 애플리케이션 사용량 모니터링을 참조하세요.
Get-AppLockerFileInformation 사용하여 AppLocker 이벤트를 분석하려면
Get-AppLockerFileInformation Windows PowerShell cmdlet을 사용하여 원격 컴퓨터에서 AppLocker 이벤트를 분석할 수 있습니다. 앱이 차단되고 허용되어야 하는 경우 AppLocker cmdlet을 사용하여 문제를 해결할 수 있습니다.
이벤트 구독과 로컬 이벤트 모두 에 대해 Get-AppLockerFileInformation cmdlet을 사용하여 정책에서 허용되지 않은 파일과 각 파일에 대해 이벤트가 발생한 횟수를 확인할 수 있습니다. 이 모니터링을 수행하는 절차에 대한 자세한 내용은 AppLocker를 사용하여 애플리케이션 사용량 모니터링을 참조하세요.
다음으로, 규칙 목록을 검토하여 차단된 파일에 대해 새 규칙을 만들어야 하는지 아니면 기존 규칙이 너무 엄격하게 정의되어 있는지 확인해야 합니다. 현재 파일이 실행되지 않도록 하는 GPO를 검사 있는지 확인합니다. 이 차단 GPO를 확인하려면 그룹 정책 결과 마법사를 사용하여 규칙 이름을 볼 수 있습니다.
5단계: AppLocker 정책 수정
편집하거나 정책에 추가할 규칙을 알고 나면 그룹 정책 관리 콘솔을 사용하여 관련 GPO에서 AppLocker 규칙을 수정합니다. GPO에서 AppLocker 정책을 관리하지 않는 경우 로컬 보안 정책 스냅인(secpol.msc)을 사용할 수 있습니다. AppLocker 정책을 수정하는 방법에 대한 자세한 내용은 AppLocker 정책 편집을 참조하세요.
6단계: 정책 테스트, 분석 및 정책 수정 반복
적용을 적용하기 전에 모든 규칙이 의도한 대로 수행될 때까지 이전 단계 3-5를 반복합니다.
다른 리소스
- 다른 AppLocker 정책 작업을 수행하는 단계는 AppLocker 관리를 참조하세요.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기