AppLocker 정책 디자인 결정 이해
이 문서에서는 AppLocker를 사용하여 애플리케이션 제어 정책 배포를 계획할 때 AppLocker 디자인 질문, 가능한 답변 및 기타 고려 사항에 대해 설명합니다.
디자인 및 계획 프로세스를 시작할 때 디자인 선택 항목의 효과를 고려해야 합니다. 결과 결정은 정책 배포 체계 및 후속 애플리케이션 제어 정책 유지 관리에 영향을 줍니다.
다음이 모두 true인 경우 organization 애플리케이션 제어 정책의 일부로 AppLocker를 사용하는 것이 좋습니다.
- organization 지원되는 버전의 Windows를 실행하고 있습니다. 특정 운영 체제 버전 요구 사항은 AppLocker 사용 요구 사항을 참조하세요.
- organization 애플리케이션에 대한 액세스에 대한 향상된 제어가 필요합니다.
- organization 애플리케이션 수는 알려져 있고 관리할 수 있습니다.
- organization 요구 사항에 대해 정책을 테스트할 리소스가 있습니다.
- 지원 센터 또는 최종 사용자 애플리케이션 액세스 문제에 대한 자가 진단 프로세스를 빌드할 리소스가 있습니다.
다음은 애플리케이션 제어 정책을 배포할 때 고려해야 할 몇 가지 질문입니다(대상 환경에 적합).
organization 제어해야 하는 앱은 무엇입니까?
애플리케이션이 중요한 데이터에 액세스하기 때문에 제한된 수의 애플리케이션을 제어해야 하거나 비즈니스 목적으로 승인된 앱만 허용하려고 할 수 있습니다. 엄격한 제어가 필요한 특정 비즈니스 그룹과 독립적인 애플리케이션 사용을 촉진하는 다른 비즈니스 그룹이 있을 수 있습니다.
| 가능한 답변 | 디자인 고려 사항 |
|---|---|
| 모든 앱 제어 | AppLocker 정책은 파일 형식별로 허용된 애플리케이션 목록을 만들어 애플리케이션을 제어합니다. 예외도 가능합니다. AppLocker 정책은 지원되는 Windows 버전 중 하나를 실행하는 컴퓨터에 설치된 애플리케이션에만 적용할 수 있습니다. |
| 특정 앱 제어 | AppLocker 규칙을 만들면 허용되는 앱 목록이 만들어집니다. 해당 목록의 모든 애플리케이션을 실행할 수 있습니다(예외 목록에 있는 애플리케이션 제외). 목록에 없는 애플리케이션은 실행이 차단됩니다. AppLocker 정책은 지원되는 Windows 버전을 실행하는 컴퓨터에 설치된 앱에만 적용할 수 있습니다. |
| 클래식 Windows 애플리케이션만 제어, 패키지된 앱만 또는 둘 다 제어 | AppLocker 정책은 파일 형식별로 허용된 앱 목록을 만들어 앱을 제어합니다. 패키지된 앱은 게시자 조건에 따라 분류되므로 클래식 Windows 애플리케이션과 패키지된 앱을 함께 제어할 수 있습니다. 클래식 Windows 애플리케이션에 대해 현재 가지고 있는 규칙은 그대로 유지될 수 있으며 패키지된 앱에 대한 새 규칙을 만들 수 있습니다. 클래식 Windows 애플리케이션 및 패키지된 앱의 비교는 이 문서의 AppLocker 정책 디자인 결정에 대한 클래식 Windows 애플리케이션 및 패키지된 앱 비교 를 참조하세요. |
| 비즈니스 그룹 및 사용자별 앱 제어 | AppLocker 정책은 그룹 정책 개체(GPO)를 통해 OU(조직 구성 단위) 내의 컴퓨터 개체에 적용할 수 있습니다. 개별 AppLocker 규칙은 개별 사용자 또는 사용자 그룹에 적용할 수 있습니다. |
| 사용자가 아닌 컴퓨터로 앱 제어 | AppLocker는 컴퓨터 기반 정책 구현입니다. 도메인 또는 사이트 조직 구조가 OU와 같은 논리적 사용자 구조를 기반으로 하지 않는 경우 AppLocker 계획을 시작하기 전에 해당 구조를 설정할 수 있습니다. 그렇지 않으면 사용자, 해당 컴퓨터 및 앱 액세스 요구 사항을 식별해야 합니다. |
| 앱 사용량을 이해하지만 아직 앱을 제어할 필요가 없습니다. | 앱 사용량을 감사하도록 AppLocker 정책을 설정하여 organization 사용되는 앱을 추적할 수 있습니다. 그런 다음, AppLocker 이벤트 로그를 사용하여 AppLocker 정책을 만들 수 있습니다. |
참고
AppLocker 규칙은 앱 또는 이진 파일의 시작을 허용하거나 차단합니다. AppLocker는 앱이 시작된 후의 동작을 제어하지 않습니다. 자세한 내용은 AppLocker에 대한 보안 고려 사항을 참조하세요.
AppLocker 정책 디자인 결정에 대한 클래식 Windows 애플리케이션 및 패키지된 앱 비교
패키지된 앱에 대한 AppLocker 정책은 Microsoft Store 앱을 지원하는 Windows 운영 체제를 실행하는 컴퓨터에 설치된 앱에만 적용할 수 있습니다. 그러나 클래식 Windows 애플리케이션은 패키지된 앱을 지원하는 컴퓨터 외에도 Windows Server 2008 R2 및 Windows 7에서 제어할 수 있습니다. 클래식 Windows 애플리케이션 및 패키지된 앱에 대한 규칙을 함께 적용할 수 있습니다. 패키지된 앱에 대해 고려해야 하는 차이점은 다음과 같습니다.
- 표준 사용자는 패키지된 앱을 설치할 수 있지만 많은 클래식 Windows 애플리케이션을 설치하려면 관리 자격 증명이 필요합니다. 따라서 대부분의 사용자가 표준 사용자인 환경에서는 많은 exe 규칙이 필요하지 않을 수 있지만 패키지된 앱에 대해 보다 명시적인 정책을 원할 수 있습니다.
- 클래식 Windows 애플리케이션은 관리 자격 증명으로 실행되는 경우 시스템 상태를 변경하도록 작성할 수 있습니다. 대부분의 패키지된 앱은 제한된 권한으로 실행되므로 시스템 상태를 변경할 수 없습니다. AppLocker 정책을 디자인할 때 허용하는 앱이 시스템 전체에서 변경할 수 있는지 여부를 이해하는 것이 중요합니다.
- 패키지된 앱은 스토어를 통해 획득하거나 Windows PowerShell cmdlet을 사용하여 테스트용으로 로드할 수 있습니다. Windows PowerShell cmdlet을 사용하는 경우 패키지된 앱을 획득하려면 특별한 엔터프라이즈 라이선스가 필요합니다. 클래식 Windows 애플리케이션은 소프트웨어 공급업체 또는 소매 유통과 같은 전통적인 수단을 통해 획득할 수 있습니다.
AppLocker는 다른 규칙 컬렉션을 사용하여 패키지된 앱 및 클래식 Windows 애플리케이션을 제어합니다. 패키지된 앱, 클래식 Windows 애플리케이션 또는 둘 다를 제어할 수 있습니다.
자세한 내용은 AppLocker의 패키지된 앱 및 패키지된 앱 설치 관리자 규칙을 참조하세요.
AppLocker를 사용하여 스크립트 제어
AppLocker 스크립트 적용에는 PowerShell 및 AppLocker와 같은 인식 스크립트 호스트 간의 핸드셰이크가 포함됩니다. 그러나 스크립트 호스트는 실제 적용 동작을 처리합니다. 대부분의 스크립트 호스트는 먼저 AppLocker에 현재 활성 상태인 AppLocker 정책에 따라 스크립트를 실행할 수 있는지 여부를 묻습니다. 그런 다음 스크립트 호스트는 사용자와 디바이스를 가장 잘 보호하기 위해 스크립트를 실행하는 방법을 차단, 허용 또는 변경합니다.
AppLocker는 모든 스크립트 적용 이벤트에 대해 AppLocker - MSI 및 스크립트 이벤트 로그를 사용합니다. 스크립트 호스트가 AppLocker에 스크립트를 허용해야 하는지 묻을 때마다 AppLocker가 스크립트 호스트로 반환된 응답과 함께 이벤트가 기록됩니다.
참고
정책에서 허용되지 않는 스크립트가 실행되면 AppLocker는 스크립트가 "차단됨"임을 나타내는 이벤트를 발생합니다. 그러나 실제 스크립트 적용 동작은 스크립트 호스트에서 처리되며 실제로 파일 실행이 완전히 차단되지 않을 수 있습니다.
AppLocker 스크립트 적용은 VBScript, JScript, .bat 파일, .cmd 파일 및 Windows PowerShell 스크립트만 제어할 수 있습니다. 호스트 프로세스 내에서 실행되는 해석된 모든 코드(예: Perl 스크립트 및 매크로)를 제어하지는 않습니다. 해석된 코드는 호스트 프로세스 내에서 실행되는 실행 코드의 한 형태입니다. 예를 들어 Windows 일괄 처리 파일(*.bat)은 Windows 명령 호스트(cmd.exe)의 컨텍스트 내에서 실행됩니다. AppLocker를 사용하여 해석된 코드를 제어하려면 호스트 프로세스가 해석된 코드를 실행하기 전에 AppLocker를 호출한 다음 AppLocker에서 결정을 적용해야 합니다. 모든 호스트 프로세스가 AppLocker를 호출하는 것은 아닙니다. 따라서 AppLocker는 해석된 모든 종류의 코드(예: Microsoft Office 매크로)를 제어할 수 없습니다.
중요
호스트 프로세스의 실행을 허용해야 하는 경우 이러한 호스트 프로세스의 적절한 보안 설정을 구성해야 합니다. 예를 들어 서명되고 신뢰할 수 있는 매크로만 로드되도록 Microsoft Office에서 보안 설정을 구성합니다.
현재 organization 앱 사용량을 제어하려면 어떻게 해야 할까요?
대부분의 조직은 시간이 지남에 따라 앱 제어 정책 및 방법을 발전시키고 있습니다. AppLocker는 잘 관리되는 애플리케이션 배포 및 승인 프로세스를 갖춘 조직에서 가장 적합합니다.
| 가능한 답변 | 디자인 고려 사항 |
|---|---|
| 보안 정책(로컬로 설정 또는 그룹 정책 통해) | AppLocker를 사용하려면 올바른 정책을 만드는 데 더 많은 노력이 필요하지만 이 정책을 만들면 배포 방법이 더 간단합니다. |
| 비 Microsoft 앱 제어 소프트웨어 | AppLocker를 사용하려면 완전한 앱 제어 정책 평가 및 구현이 필요합니다. |
| 그룹 또는 OU별 관리되는 사용량 | AppLocker를 사용하려면 완전한 앱 제어 정책 평가 및 구현이 필요합니다. |
| 권한 부여 관리자 또는 기타 역할 기반 액세스 기술 | AppLocker를 사용하려면 완전한 앱 제어 정책 평가 및 구현이 필요합니다. |
| 기타 | AppLocker를 사용하려면 완전한 앱 제어 정책 평가 및 구현이 필요합니다. |
사용자 지정된 애플리케이션 제어 정책이 필요한 특정 그룹이 organization 있나요?
대부분의 비즈니스 그룹 또는 부서에는 데이터 액세스 및 해당 데이터에 액세스하는 데 사용되는 애플리케이션과 관련된 특정 보안 요구 사항이 있습니다. 전체 organization 대한 애플리케이션 제어 정책을 배포하기 전에 각 그룹에 대한 프로젝트의 scope 및 그룹의 우선 순위를 고려해야 합니다.
| 가능한 답변 | 디자인 고려 사항 |
|---|---|
| 예 | 각 그룹에 대해 애플리케이션 제어 요구 사항을 포함하는 목록을 만들어야 합니다. 이 고려 사항은 계획 시간을 늘릴 수 있지만 더 효과적인 배포를 초래하는 경우가 많습니다. GPO 구조가 조직 그룹과 일치하지 않는 경우 특정 사용자 그룹에 AppLocker 규칙을 적용할 수 있습니다. |
| 아니오 | AppLocker 정책은 설치된 애플리케이션에 전역적으로 적용할 수 있습니다. 제어해야 하는 앱 수에 따라 모든 규칙 및 예외를 관리하는 것이 어려울 수 있습니다. |
IT 부서에 애플리케이션 사용량을 분석하고 정책을 설계 및 관리하는 리소스가 있나요?
연구 및 분석을 수행하는 데 사용할 수 있는 시간과 리소스는 지속적인 정책 관리 및 유지 관리를 위한 계획 및 프로세스의 세부 사항에 영향을 줄 수 있습니다.
| 가능한 답변 | 디자인 고려 사항 |
|---|---|
| 예 | 시간을 투자하여 organization 애플리케이션 제어 요구 사항을 분석하고 가능한 한 구성되는 규칙을 사용하는 전체 배포를 계획합니다. |
| 아니오 | 몇 가지 규칙을 사용하여 특정 그룹에 대해 집중적이고 단계적인 배포를 고려합니다. 특정 그룹의 애플리케이션에 컨트롤을 적용할 때 해당 배포에서 학습하여 다음 배포를 계획합니다. |
organization 지원하나요?
사용자가 애플리케이션에 액세스하지 못하게 하면 적어도 처음에는 최종 사용자 지원이 증가합니다. 보안 정책을 따르고 비즈니스 워크플로가 방해되지 않도록 organization 다양한 지원 문제를 해결해야 합니다.
| 가능한 답변 | 디자인 고려 사항 |
|---|---|
| 예 | 사용자가 애플리케이션 사용을 차단하거나 특정 애플리케이션을 사용하기 위해 예외를 검색할 수 있으므로 계획 단계 초기에 지원 부서를 참여시킵니다. |
| 아니오 | 배포 전에 온라인 지원 프로세스 및 설명서를 개발하는 데 시간을 투자합니다. |
제한적인 정책이 필요한 애플리케이션을 알고 있나요?
성공적인 애플리케이션 제어 정책 구현은 organization 또는 비즈니스 그룹 내의 앱 사용에 대한 지식과 이해를 기반으로 합니다. 또한 애플리케이션 제어 디자인은 데이터에 대한 보안 요구 사항과 해당 데이터에 액세스하는 앱에 따라 달라집니다.
| 가능한 답변 | 디자인 고려 사항 |
|---|---|
| 예 | 비즈니스 그룹에 대한 애플리케이션 제어 우선 순위를 확인한 다음 애플리케이션 제어 정책에 가장 간단한 체계를 디자인해야 합니다. |
| 아니오 | 애플리케이션 사용을 검색하려면 감사 및 요구 사항 수집 프로젝트를 수행해야 합니다. AppLocker는 감사 전용 모드에서 정책을 배포하는 수단과 이벤트 로그를 보는 도구를 제공합니다. |
organization 애플리케이션(업그레이드 또는 신규)을 배포하거나 승인하려면 어떻게 해야 할까요?
성공적인 애플리케이션 제어 정책 구현은 organization 또는 비즈니스 그룹 내의 애플리케이션 사용에 대한 지식과 이해를 기반으로 합니다. 또한 애플리케이션 제어 디자인은 데이터에 대한 보안 요구 사항과 해당 데이터에 액세스하는 애플리케이션에 따라 달라집니다. 업그레이드 및 배포 정책을 이해하면 애플리케이션 제어 정책의 생성을 구체화하는 데 도움이 됩니다.
| 가능한 답변 | 디자인 고려 사항 |
|---|---|
| 예기치 않은 | 각 그룹에서 요구 사항을 수집해야 합니다. 일부 그룹은 무제한 액세스 또는 설치를 원할 수 있지만 다른 그룹은 엄격한 제어를 원할 수 있습니다. |
| 따라야 할 엄격한 서면 정책 또는 지침 | 이러한 정책을 반영하는 AppLocker 규칙을 개발한 다음, 규칙을 테스트하고 유지 관리해야 합니다. |
| 프로세스 없음 | 애플리케이션 제어 정책을 개발할 리소스가 있는지, 어떤 그룹에 대한 리소스가 있는지 확인해야 합니다. |
애플리케이션 제어 정책을 구현할 때 organization 우선 순위는 무엇인가요?
일부 조직은 생산성 또는 규칙의 증가에 의해 표시된 대로 애플리케이션 제어 정책의 이점을 활용하는 반면, 다른 조직은 업무 수행에 방해를 받습니다. AppLocker의 효과를 평가할 수 있도록 각 그룹에 대해 이러한 측면의 우선 순위를 지정합니다.
| 가능한 답변 | 디자인 고려 사항 |
|---|---|
| 생산성: organization 도구가 작동하고 필요한 애플리케이션을 설치할 수 있도록 보장합니다. | 혁신 및 생산성 목표를 달성하기 위해 일부 그룹에는 개발한 소프트웨어를 포함하여 다양한 소스에서 다양한 소프트웨어를 설치하고 실행할 수 있는 기능이 필요합니다. 따라서 혁신과 생산성이 우선 순위가 높은 경우 허용된 목록을 통해 애플리케이션 제어 정책을 관리하는 데 시간이 오래 걸리고 진행에 방해가 될 수 있습니다. |
| 관리: organization 지원하는 애플리케이션을 인식하고 제어합니다. | 일부 비즈니스 그룹에서는 중앙 제어 지점에서 애플리케이션 사용을 관리할 수 있습니다. AppLocker 정책은 해당 목적을 위해 GPO에 기본 제공될 수 있습니다. |
| 보안: organization 승인된 앱만 사용되도록 하여 부분적으로 데이터를 보호해야 합니다. | AppLocker는 정의된 사용자 집합이 데이터에 액세스하는 앱에 허용하여 데이터를 보호하는 데 도움이 될 수 있습니다. 보안이 최우선 순위인 경우 애플리케이션 제어 정책이 더 제한적일 수 있습니다. |
현재 organization 앱에 액세스하는 방법은 무엇입니까?
AppLocker는 간단한 애플리케이션 제어 정책 목표를 통해 잘 관리되는 애플리케이션 관리를 가진 조직에 효과적입니다. 예를 들어 AppLocker는 학교 또는 라이브러리와 같은 조직 네트워크에 연결된 컴퓨터에 대한 액세스 권한이 없는 환경을 활용할 수 있습니다.
| 가능한 답변 | 디자인 고려 사항 |
|---|---|
| 사용자는 관리 권한 없이 실행됩니다. | 앱은 설치 배포 기술을 사용하여 설치됩니다. |
| AppLocker는 일반적으로 인적 자원 및 재무 부서와 같은 유한한 앱 집합을 사용하는 비즈니스 그룹의 총 소유 비용을 줄이는 데 도움이 될 수 있습니다. 동시에 이러한 부서는 매우 민감한 정보에 액세스하며, 그 중 대부분은 기밀 및 독점 정보를 포함합니다. AppLocker를 사용하여 실행할 수 있는 특정 앱에 대한 규칙을 만들면 권한 없는 애플리케이션이 이 정보에 액세스하지 못하도록 제한할 수 있습니다. 참고: AppLocker는 사용자가 관리자 권한으로 실행되는 조직에서 표준화된 데스크톱을 만드는 데에도 효과적일 수 있습니다. 그러나 관리 자격 증명을 가진 사용자는 로컬 AppLocker 정책에 새 규칙을 추가할 수 있습니다. |
사용자는 필요에 따라 애플리케이션을 설치할 수 있어야 합니다. |
| 사용자는 현재 관리자 액세스 권한이 있으며 이 권한을 변경하기 어려울 수 있습니다. | AppLocker 규칙을 적용하는 것은 IT 부서의 승인 없이 필요에 따라 앱을 설치할 수 있어야 하는 비즈니스 그룹에 적합하지 않습니다. organization 하나 이상의 OU에 이 요구 사항이 있는 경우 AppLocker를 사용하여 해당 OU에 애플리케이션 규칙을 적용하지 않거나 AppLocker를 통해 감사 전용 적용 설정을 구현하도록 선택할 수 있습니다. |
Active Directory Domain Services 구조는 organization 계층 구조를 기반으로 합니까?
이미 AD DS(Active Directory Domain Services)에 기본 제공되는 조직 구조를 기반으로 애플리케이션 제어 정책을 디자인하는 것은 기존 구조를 조직 구조로 변환하는 것보다 쉽습니다. 애플리케이션 제어 정책의 효과는 정책을 업데이트하는 기능에 따라 달라지므로 배포를 시작하기 전에 수행해야 하는 조직 작업을 고려합니다.
| 가능한 답변 | 디자인 고려 사항 |
|---|---|
| 예 | AppLocker 규칙은 AD DS 구조에 따라 그룹 정책 통해 개발 및 구현할 수 있습니다. |
| 아니오 | IT 부서는 애플리케이션 제어 정책을 올바른 사용자 또는 컴퓨터에 적용할 수 있는 방법을 식별하는 체계를 만들어야 합니다. |
결과 기록
프로세스의 다음 단계는 이전 질문에 대한 답변을 기록하고 분석하는 것입니다. AppLocker가 목표에 적합한 솔루션인 경우 애플리케이션 제어 정책 목표를 설정하고 AppLocker 규칙을 계획할 수 있습니다. 이 프로세스는 계획 문서를 만드는 데 절정을 이룬다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기