느슨하게 관리되는 디바이스에 대한 WDAC 정책 만들기

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

참고

Windows Defender Application Control의 일부 기능은 특정 Windows 버전에서만 사용할 수 있습니다. Windows Defender Application Control 기능 가용성에 대해 자세히 알아봅니다.

이 섹션에서는 organization 내에서 가볍게 관리되는 디바이스에 대한 Windows Defender WDAC(애플리케이션 제어) 정책을 만드는 프로세스를 간략하게 설명합니다. 일반적으로 애플리케이션 제어를 새로운 조직은 이 문서에 설명된 것과 같은 허용 정책으로 시작하는 경우 가장 성공적입니다. 조직은 이후 문서에 설명된 대로 WDAC 관리 디바이스에서 보다 강력한 전반적인 보안 태세를 달성하기 위해 시간이 지남에 따라 정책을 강화하도록 선택할 수 있습니다.

참고

이 항목에 설명된 Windows Defender 애플리케이션 제어 옵션 중 일부는 Windows 10 버전 1903 이상 또는 Windows 11만 사용할 수 있습니다. 이 항목을 사용하여 고유한 organization WDAC 정책을 계획할 때 관리되는 클라이언트가 이러한 기능의 전부 또는 일부를 사용할 수 있는지 여부를 고려하고 클라이언트에서 사용할 수 없는 기능에 대한 영향을 평가합니다. 특정 organization 요구 사항에 맞게 이 지침을 조정해야 할 수 있습니다.

다양한 시나리오의 Windows Defender Application Control 배포와 마찬가지로 디바이스 유형에서는 Lamna Healthcare Company(Lamna)의 예제를 사용하여 이 시나리오를 설명합니다. Lamna는 원치 않거나 권한이 없는 애플리케이션이 관리되는 디바이스에서 실행되지 않도록 애플리케이션 제어를 사용하는 등 더 강력한 애플리케이션 정책을 채택하려고 합니다.

Alice Pena 는 WDAC 출시를 담당하는 IT 팀 리더입니다. Lamna에는 현재 느슨한 애플리케이션 사용 정책과 사용자에게 최대 앱 유연성 문화권이 있습니다. 따라서 Alice는 애플리케이션 제어에 대한 증분 접근 방식을 취하고 다른 워크로드에 대해 다른 정책을 사용해야 한다는 것을 알고 있습니다.

대부분의 사용자 및 디바이스에서 Alice는 보안 가치를 제공하면서 사용자 생산성 영향을 최소화하기 위해 가능한 한 완화된 초기 정책을 만들려고 합니다.

가볍게 관리되는 디바이스에 대한 "신뢰 원"을 정의합니다.

Alice는 현재 대부분의 최종 사용자 디바이스를 포함하는 Lamna의 가볍게 관리되는 디바이스에 대한 "신뢰의 원"에 도달하는 다음과 같은 주요 요소를 식별합니다.

• 모든 클라이언트는 버전 1903 이상을 실행하거나 Windows 11 Windows 10.
• 모든 클라이언트는 Configuration Manager 또는 Intune 통해 관리됩니다.
• 일부 앱은 전부는 아니지만 Configuration Manager 사용하여 배포됩니다.
• 대부분의 사용자는 디바이스의 로컬 관리자입니다.
• 일부 팀은 일반적으로 다른 모든 사용자에게 적용되지 않는 특정 앱에 권한을 부여하기 위해 더 많은 규칙이 필요할 수 있습니다.

위의 내용에 따라 Alice는 정책에 대한 의사 규칙을 정의합니다.

1. 권한을 부여하는 "Windows 작동" 규칙:

   • Windows
   • WHQL(타사 커널 드라이버)
   • Windows 스토어 서명된 앱

2. 다음을 포함하는 "ConfigMgr 작동" 규칙:

   • Configuration Manager 구성 요소가 제대로 작동하기 위한 서명자 및 해시 규칙입니다.
   • 관리되는 설치 관리자 규칙이 관리되는 설치 관리자로 Configuration Manager 권한을 부여하도록 허용합니다.

3. ISG(Intelligent Security Graph) 허용 (평판 기반 권한 부여)

4. Windows 신뢰할 수 있는 루트 프로그램 인증 기관에서 발급한 인증서를 사용하여 서명된 앱

5. 다음 위치에 대한 관리 전용 경로 규칙:

   • C:\Program Files*
   • C:\Program Files (x86)*
   • %windir%*

예제 WDAC 기본 정책을 사용하여 사용자 지정 기본 정책 만들기

"신뢰의 원"을 정의한 Alice는 Lamna의 가볍게 관리되는 디바이스에 대한 초기 정책을 생성할 준비가 된 것입니다. Alice는 이 예제 SmartAppControl.xml 를 사용하여 초기 기본 정책을 만든 다음 Lamna의 요구 사항에 맞게 사용자 지정하기로 결정합니다.

Alice는 다음 단계에 따라 이 작업을 완료합니다.

1. 클라이언트 디바이스에서 관리자 권한 Windows PowerShell 세션에서 다음 명령을 실행하여 변수를 초기화합니다.

   참고

   애플리케이션 제어 기본 정책에 Windows Defender 다른 예제를 사용하려는 경우 이 단계에서 예제 정책 경로를 기본 기본 정책으로 대체합니다.

   $PolicyPath = $env:userprofile+"\Desktop\"
   $PolicyName= "Lamna_LightlyManagedClients_Audit"
   $LamnaPolicy=Join-Path $PolicyPath "$PolicyName.xml"
   $ExamplePolicy=$env:windir+"\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml"
   

2. 예제 정책을 바탕 화면에 복사합니다.

   Copy-Item $ExamplePolicy $LamnaPolicy
   

3. 지원되지 않는 규칙을 제거하도록 정책을 수정합니다.

   참고

   SmartAppControl.xml는 Windows 11 버전 22H2 이상에서 사용할 수 있습니다. 이 정책에는 엔터프라이즈 WDAC 정책에 대해 지원되지 않으며 제거해야 하는 "사용:조건부 Windows 잠금 정책" 규칙이 포함됩니다. 자세한 내용은 WDAC 및 스마트 앱 컨트롤을 참조하세요. 이외의 SmartAppControl.xml예제 정책을 사용하는 경우 이 단계를 건너뜁니다.

   [xml]$xml = Get-Content $LamnaPolicy
   $ns = New-Object System.Xml.XmlNamespaceManager($xml.NameTable)
   $ns.AddNamespace("ns", $xml.DocumentElement.NamespaceURI)
   $node = $xml.SelectSingleNode("//ns:Rules/ns:Rule[ns:Option[.='Enabled:Conditional Windows Lockdown Policy']]", $ns)
   $node.ParentNode.RemoveChild($node)
   $xml.Save($LamnaPolicy)
   

4. 새 정책에 고유한 ID, 설명이 포함된 이름 및 초기 버전 번호를 지정합니다.

   Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID
   Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"
   

5. Configuration Manager 사용하여 Windows 10 버전 1903 이상을 실행하는 클라이언트 디바이스 또는 Windows 11 감사 정책을 만들고 배포합니다. Configuration Manager 정책을 예제 정책과 병합합니다.

   참고

   Configuration Manager 사용하지 않는 경우 이 단계를 건너뜁니다.

   $ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml"
   Merge-CIPolicy -OutputFilePath $LamnaPolicy -PolicyPaths $LamnaPolicy,$ConfigMgrPolicy
   Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed Installer
   

6. 정책을 수정하여 추가 정책 규칙을 설정합니다.

   Set-RuleOption -FilePath $LamnaPolicy -Option 3  # Audit Mode
   Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps
   Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code Security
   

7. Windows 및 프로그램 파일 디렉터리를 허용하는 규칙을 추가합니다.

   $PathRules += New-CIPolicyRule -FilePathRule "%windir%\*"
   $PathRules += New-CIPolicyRule -FilePathRule "%OSDrive%\Program Files\*"
   $PathRules += New-CIPolicyRule -FilePathRule "%OSDrive%\Program Files (x86)\*"
   Merge-CIPolicy -OutputFilePath $LamnaPolicy -PolicyPaths $LamnaPolicy -Rules $PathRules
   

8. 적절한 경우 서명자 또는 파일 규칙을 더 추가하여 organization 대한 정책을 추가로 사용자 지정합니다.

9. ConvertFrom-CIPolicy를 사용하여 Windows Defender Application Control 정책을 이진 형식으로 변환합니다.

   [xml]$PolicyXML = Get-Content $LamnaPolicy
   $LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip"
   ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBin
   

10. 기본 정책 XML 및 연결된 이진 파일을 소스 제어 솔루션(예: GitHub 또는 Office 365 SharePoint와 같은 문서 관리 솔루션)에 업로드합니다.

이 시점에서 Alice는 이제 Lamna 내의 관리되는 클라이언트에 감사 모드로 배포할 준비가 된 초기 정책을 가집니다.

이 가볍게 관리되는 정책의 보안 고려 사항

Alice는 사용자 생산성에 미치는 영향을 최소화하기 위해 보안과 사용자 앱 유연성 간에 몇 가지 절충을 만드는 정책을 정의했습니다. 일부 절전은 다음과 같습니다.

• 관리 액세스 권한이 있는 사용자

  이러한 절충은 가장 영향력 있는 안보 절충안입니다. 이를 통해 디바이스 사용자 또는 사용자의 권한으로 실행되는 맬웨어가 디바이스에서 WDAC 정책을 수정하거나 제거할 수 있습니다. 또한 관리자는 관리되는 설치 관리자 역할을 하도록 모든 앱을 구성할 수 있으므로 원하는 앱 또는 이진 파일에 대해 영구 앱 권한 부여를 얻을 수 있습니다.

  가능한 완화 방법:

  • 서명된 WDAC 정책 및 UEFI BIOS 액세스 보호를 사용하여 WDAC 정책의 변조를 방지합니다.
  • 관리되는 설치 관리자에 대한 요구 사항을 제거하려면 앱 배포 프로세스의 일부로 서명된 카탈로그 파일을 만들고 배포합니다.
  • 디바이스 증명을 사용하여 부팅 시 WDAC의 구성 상태를 감지하고 해당 정보를 사용하여 중요한 회사 리소스에 대한 액세스를 조건화합니다.

• 서명되지 않은 정책

  서명되지 않은 정책은 관리자 권한으로 실행되는 프로세스에 의해 결과 없이 대체하거나 제거할 수 있습니다. 추가 정책을 사용하도록 설정하는 서명되지 않은 기본 정책은 서명되지 않은 추가 정책에 의해 "신뢰 원"을 변경할 수 있습니다.

  가능한 완화 방법:

  • 서명된 WDAC 정책 및 UEFI BIOS 액세스 보호를 사용하여 WDAC 정책의 변조를 방지합니다.
  • 디바이스에서 관리자 권한으로 승격할 수 있는 사용자를 제한합니다.

• 관리되는 설치 관리자

  관리되는 설치 관리자를 사용하여 보안 고려 사항을 참조하세요.

  가능한 완화 방법:

  • 관리되는 설치 관리자에 대한 요구 사항을 제거하려면 앱 배포 프로세스의 일부로 서명된 카탈로그 파일을 만들고 배포합니다.
  • 디바이스에서 관리자 권한으로 승격할 수 있는 사용자를 제한합니다.

• ISG(지능형 보안 그래프)

  지능형 보안 그래프를 사용하여 보안 고려 사항을 참조하세요.

  가능한 완화 방법:

  • IT에서 앱을 관리해야 하는 정책을 구현합니다. Microsoft Intune 같은 소프트웨어 배포 솔루션을 사용하여 기존 앱 사용을 감사하고 권한 있는 앱을 배포합니다. ISG에서 관리되는 설치 관리자 또는 서명 기반 규칙으로 이동합니다.
  • 제한적인 감사 모드 정책을 사용하여 앱 사용량을 감사하고 취약성 검색을 보강합니다.

• 추가 정책

  추가 정책은 연결된 기본 정책을 완화하도록 설계되었습니다. 또한 서명되지 않은 정책을 허용하면 관리자 프로세스가 기본 정책에 정의된 "신뢰 원"을 제한 없이 확장할 수 있습니다.

  가능한 완화 방법:

  • 승인된 서명된 추가 정책만 허용하는 서명된 WDAC 정책을 사용합니다.
  • 제한적인 감사 모드 정책을 사용하여 앱 사용량을 감사하고 취약성 검색을 보강합니다.

• FilePath 규칙

  파일 경로 규칙에 대한 자세한 정보 참조

  가능한 완화 방법:

  • 디바이스에서 관리자 권한으로 승격할 수 있는 사용자를 제한합니다.
  • 파일 경로 규칙에서 관리되는 설치 관리자 또는 서명 기반 규칙으로 마이그레이션합니다.

• 서명된 파일

  코드 서명된 파일은 작성자의 ID를 확인하고 작성자가 아닌 다른 사람이 코드를 변경하지 않았는지 확인하지만 서명된 코드가 안전하다고 보장하지는 않습니다.

  가능한 완화 방법:

  • Microsoft Defender 같은 실시간 보호를 통해 신뢰할 수 있는 맬웨어 방지 또는 바이러스 백신 소프트웨어를 사용하여 악성 파일, 광고웨어 및 기타 위협으로부터 디바이스를 보호합니다.

다음으로

• 완전 관리형 디바이스에 대한 Windows Defender 애플리케이션 제어 정책 만들기
• Windows Defender 애플리케이션 제어 정책 배포 준비