다양한 시나리오에서 애플리케이션 제어 배포를 Windows Defender: 디바이스 유형

참고

Windows Defender WDAC(애플리케이션 제어)의 일부 기능은 특정 Windows 버전에서만 사용할 수 있습니다. Windows Defender Application Control 기능 가용성에 대해 자세히 알아봅니다.

일반적으로 WDAC(Windows Defender 애플리케이션 제어)의 배포는 단순히 "켜기"하는 기능이 아니라 단계에서 가장 잘 수행됩니다. 단계의 선택 및 순서는 다양한 컴퓨터 및 기타 디바이스가 organization 사용되는 방식과 IT에서 해당 디바이스를 관리하는 정도에 따라 달라집니다. 다음 표는 organization WDAC 배포 계획을 개발하는 데 도움이 될 수 있습니다. 조직에서는 설명된 각 범주에서 디바이스 사용 사례를 사용하는 것이 일반적입니다.

장치의 유형

장치의 유형 WDAC가 이러한 유형의 디바이스와 어떻게 관련되어 있는지
느슨하게 관리되는 장치: 회사 소유이지만 사용자가 자유롭게 소프트웨어를 설치할 수 있습니다.
장치는 조직의 바이러스 백신 솔루션 및 클라이언트 관리 도구를 실행해야 합니다.		 Windows Defender 애플리케이션 제어를 사용하여 실행할 수 있는 애플리케이션을 제한하지 않고 커널을 보호하고 문제 애플리케이션을 모니터링(감사)할 수 있습니다.
완전히 관리되는 장치: 허용되는 소프트웨어는 IT 부서에서 제한합니다.
사용자는 더 많은 소프트웨어를 요청하거나 IT 부서에서 제공하는 애플리케이션 목록에서 설치할 수 있습니다.
예: 잠긴 회사 소유의 데스크톱 및 노트북		 초기 기준 Windows Defender 애플리케이션 제어 정책을 설정하고 적용할 수 있습니다. IT 부서가 더 많은 애플리케이션을 승인할 때마다 WDAC 정책 및 (서명되지 않은 LOB 애플리케이션의 경우) 카탈로그를 업데이트합니다.
고정 작업 장치: 매일 동일한 작업을 수행합니다.
승인된 응용 프로그램 목록은 거의 변경되지 않습니다.
예: 키오스크, POS(Point of Sale) 시스템, 콜 센터 컴퓨터		 Windows Defender 애플리케이션 제어를 완전히 배포할 수 있으며 배포 및 진행 중인 관리는 비교적 간단합니다.
애플리케이션 제어 배포를 Windows Defender 후에는 승인된 애플리케이션만 실행할 수 있습니다. 이 규칙은 WDAC에서 제공하는 보호 때문입니다.
BYOD(Bring Your Own Device): 직원은 자신의 장치를 가져와 업무에 해당 장치를 사용할 수 있습니다. 대부분의 경우 Windows Defender 애플리케이션 제어는 적용되지 않습니다. 대신, Microsoft Intune 같은 MDM 기반 조건부 액세스 솔루션을 사용하여 다른 강화 및 보안 기능을 살펴볼 수 있습니다. 그러나 이러한 디바이스에 감사 모드 정책을 배포하거나 차단 목록 전용 정책을 사용하여 organization 악의적이거나 취약한 것으로 간주되는 특정 앱 또는 이진 파일을 방지할 수 있습니다.

Lamna Healthcare Company 소개

다음 문서 집합에서는 Lamna Healthcare Company라는 가상의 organization 사용하여 위의 각 시나리오를 살펴봅니다.

Lamna Healthcare Company(Lamna)는 미국 운영하는 대형 의료 서비스 제공업체입니다. Lamna는 의사와 간호사에서 회계사, 사내 변호사 및 IT 기술자에 이르기까지 수천 명의 직원을 고용하고 있습니다. 그들의 장치 사용 사례는 다양하며 전문 직원을위한 단일 사용자 워크스테이션, 환자 기록에 액세스하기 위해 의사와 간호사가 사용하는 공유 키오스크, MRI 스캐너와 같은 전용 의료 장치 및 기타 많은 것을 포함합니다. 또한 Lamna는 많은 전문 직원을 위한 편안하고 고유한 디바이스 정책을 제공합니다.

Lamna는 하이브리드 모드에서 Configuration Manager 및 Intune 모두 Microsoft Intune 사용합니다. Microsoft Intune 사용하여 많은 애플리케이션을 배포하지만 Lamna는 항상 애플리케이션 사용 사례를 완화했습니다. 개별 팀과 직원은 자신의 워크스테이션에서 자신의 역할에 필요하다고 판단되는 애플리케이션을 설치하고 사용할 수 있었습니다. Lamna는 또한 최근에 더 나은 엔드포인트 검색 및 응답을 위해 엔드포인트용 Microsoft Defender 사용하기 시작했습니다.

최근 Lamna는 비용이 많이 드는 복구 프로세스가 필요하고 알 수 없는 공격자의 데이터 반출을 포함했을 수 있는 랜섬웨어 이벤트를 경험했습니다. 공격의 일부에는 Lamna의 바이러스 백신 솔루션에 의한 탐지를 회피했지만 애플리케이션 제어 정책에 의해 차단된 악의적인 이진 파일을 설치하고 실행하는 것이 포함되었습니다. 이에 대한 대응으로 Lamna의 집행 위원회는 애플리케이션 사용에 대한 정책 강화 및 애플리케이션 제어 도입을 포함하여 많은 새로운 보안 IT 응답을 승인했습니다.

다음으로