Windows Defender 애플리케이션 제어 정책 디자인 결정 이해
참고
Windows Defender WDAC(애플리케이션 제어)의 일부 기능은 특정 Windows 버전에서만 사용할 수 있습니다. Windows Defender Application Control 기능 가용성에 대해 자세히 알아봅니다.
이 문서는 IT 전문가를 위한 것입니다. Windows 운영 체제 환경 내에서 Windows Defender WDAC(애플리케이션 제어)를 사용하여 애플리케이션 제어 정책 배포를 계획할 때의 결정에 대한 디자인 질문, 가능한 답변 및 파급 효과를 나열합니다.
디자인 및 계획 프로세스를 시작할 때 디자인 선택의 파급 효과를 고려해야 합니다. 결과 결정은 정책 배포 체계 및 후속 애플리케이션 제어 정책 유지 관리에 영향을 줍니다.
다음과 같은 경우 Windows Defender 애플리케이션 제어를 organization 애플리케이션 제어 정책의 일부로 사용하는 것이 좋습니다.
- organization 지원되는 버전의 Windows를 배포하거나 배포할 계획입니다.
- organization 애플리케이션에 대한 액세스 및 사용자가 액세스하는 데이터에 대한 향상된 제어가 필요합니다.
- organization 애플리케이션 관리 및 배포를 위해 잘 정의된 프로세스가 있습니다.
- organization 요구 사항에 대해 정책을 테스트할 리소스가 있습니다.
- 지원 센터 또는 최종 사용자 애플리케이션 액세스 문제에 대한 자가 진단 프로세스를 빌드할 리소스가 있습니다.
- 생산성, 관리 효율성 및 보안에 대한 그룹의 요구 사항은 제한적인 정책에 의해 제어될 수 있습니다.
만들 정책 결정
Windows 10 버전 1903부터 Windows Defender 애플리케이션 제어를 사용하면 각 디바이스에 여러 개의 동시 정책을 적용할 수 있습니다. 이 동시 애플리케이션은 조직에 대한 많은 새로운 사용 사례를 열지만 만들 정책 수와 유형에 대한 잘 생각된 계획 없이는 정책 관리가 쉽게 다루기 어려울 수 있습니다.
첫 번째 단계는 WDAC 정책에 대해 원하는 "신뢰 원"을 정의하는 것입니다. "신뢰의 원"을 통해 자연어로 표현된 정책의 비즈니스 의도에 대한 설명을 의미합니다. 이 "신뢰 원" 정의는 정책 XML에 대한 실제 정책 규칙을 만들 때 안내합니다.
예를 들어 %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies에서 찾을 수 있는 DefaultWindows 정책은 Microsoft Store에서 Windows, 타사 하드웨어 및 소프트웨어 커널 드라이버 및 애플리케이션을 허용하는 "신뢰의 원"을 설정합니다.
Configuration Manager 정책의 기준으로 DefaultWindows 정책을 사용하지만 정책 규칙을 수정하여 Configuration Manager 및 해당 종속성을 허용하고, 관리되는 설치 관리자 정책 규칙을 설정하고, Configuration Manager 관리되는 설치 관리자로 구성합니다. 또한 필요에 따라 긍정적인 평판을 가진 앱에 권한을 부여하고 Configuration Manager 관리자가 지정한 폴더 경로를 일회성으로 검색하여 관리형 엔드포인트의 지정된 경로에 있는 모든 앱에 대한 규칙을 추가할 수 있습니다. 이 프로세스는 Configuration Manager 네이티브 WDAC 통합에 대한 "신뢰 원"을 설정합니다.
다음 질문은 Windows Defender 애플리케이션 제어 배포를 계획하고 정책에 적합한 "신뢰 원"을 결정하는 데 도움이 될 수 있습니다. 우선 순위 또는 순차적 순서가 아니며 완전한 디자인 고려 사항 집합이 아닙니다.
WDAC 디자인 고려 사항
organization 앱은 어떻게 관리되고 배포되는가?
잘 정의된 중앙에서 관리되는 앱 관리 및 배포 프로세스가 있는 조직은 보다 제한적이고 안전한 정책을 만들 수 있습니다. 다른 조직에서는 보다 완화된 규칙으로 Windows Defender 애플리케이션 제어를 배포하거나 감사 모드에서 WDAC를 배포하여 organization 사용되는 앱에 대한 가시성을 높일 수 있습니다.
| 가능한 답변 | 디자인 고려 사항 |
|---|---|
| 모든 앱은 중앙에서 관리되고 Microsoft Intune 같은 엔드포인트 관리 도구를 사용하여 배포됩니다. | 모든 앱을 중앙에서 관리하는 조직은 애플리케이션 제어에 가장 적합합니다. 관리되는 설치 관리자와 같은 Windows Defender 애플리케이션 제어 옵션을 사용하면 organization 앱 배포 관리 솔루션에 의해 배포된 앱에 쉽게 권한을 부여할 수 있습니다. |
| 일부 앱은 중앙에서 관리 및 배포되지만 팀은 구성원을 위해 다른 앱을 설치할 수 있습니다. | 추가 정책을 사용하여 핵심 organization 전체 Windows Defender 애플리케이션 제어 정책에 대한 팀별 예외를 허용할 수 있습니다. 또는 팀에서 관리되는 설치 관리자를 사용하여 팀별 앱을 설치하거나 관리자 전용 파일 경로 규칙을 사용하여 관리자 사용자가 앱을 설치할 수 있습니다. |
| 사용자와 팀은 앱을 자유롭게 다운로드하고 설치할 수 있지만 organization 널리 퍼져 있고 평판이 좋은 앱으로만 해당 권리를 제한하려고 합니다. | Windows Defender 애플리케이션 제어는 Microsoft의 지능형 보안 그래프(바이러스 백신 및 Windows Defender SmartScreen에 Microsoft Defender 지원하는 동일한 인텔리전스 원본)와 통합하여 긍정적인 평판을 가진 앱과 이진 파일만 허용합니다. |
| 사용자와 팀은 제한 없이 앱을 무료로 다운로드하고 설치할 수 있습니다. | Windows Defender 애플리케이션 제어 정책을 감사 모드로 배포하여 사용자 및 팀 생산성에 영향을 주지 않고 organization 실행되는 앱 및 이진 파일에 대한 인사이트를 얻을 수 있습니다. |
내부적으로 개발된 LOB(기간 업무) 앱과 앱은 타사에서 디지털 서명으로 개발되었나요?
Windows의 기존 Win32 앱은 디지털 서명 없이 실행할 수 있습니다. 이 방법은 Windows 디바이스를 악의적이거나 변조된 코드에 노출하고 Windows 디바이스에 보안 취약성을 표시할 수 있습니다. organization 앱 개발 사례의 일부로 코드 서명을 채택하거나 앱 수집 및 배포의 일부로 서명된 카탈로그 파일을 사용하여 앱을 보강하면 사용되는 앱의 무결성과 보안을 크게 향상시킬 수 있습니다.
| 가능한 답변 | 디자인 고려 사항 |
|---|---|
| organization 사용되는 모든 앱에 서명해야 합니다. | 모든 실행 코드에 대한 코드 서명을 적용하는 조직은 악성 코드 실행으로부터 Windows 컴퓨터를 보호하는 데 가장 적합합니다. Windows Defender 애플리케이션 제어 규칙을 만들어 organization 내부 개발 팀과 신뢰할 수 있는 ISV(독립 소프트웨어 공급업체)의 앱 및 이진 파일에 권한을 부여할 수 있습니다. |
| organization 사용되는 앱은 코드 서명 요구 사항을 충족할 필요가 없습니다. | 조직은 기본 제공 Windows 도구를 사용하여 앱 배포 프로세스의 일부로 기존 앱에 organization 특정 앱 카탈로그 서명을 추가할 수 있으며, 이를 사용하여 코드 실행에 권한을 부여할 수 있습니다. Microsoft Intune 같은 솔루션은 서명된 앱 카탈로그를 배포하는 여러 가지 방법을 제공합니다. |
사용자 지정된 애플리케이션 제어 정책이 필요한 특정 그룹이 organization 있나요?
대부분의 비즈니스 팀 또는 부서에는 데이터 액세스 및 해당 데이터에 액세스하는 데 사용되는 애플리케이션과 관련된 특정 보안 요구 사항이 있습니다. 전체 organization 대한 애플리케이션 제어 정책을 배포하기 전에 각 그룹에 대한 프로젝트의 scope 및 그룹의 우선 순위를 고려합니다. 광범위한 organization 전체 정책과 여러 팀별 정책 중에서 선택할 수 있는 정책 관리에는 오버헤드가 있습니다.
| 가능한 답변 | 디자인 고려 사항 |
|---|---|
| 예 | WDAC 정책은 팀별로 고유하게 만들거나 팀별 추가 정책을 사용하여 중앙에서 정의된 공통 기본 정책에서 허용하는 것을 확장할 수 있습니다. |
| 아니오 | WDAC 정책은 Windows 10 및 Windows 11 실행하는 PC에 설치된 애플리케이션에 전역적으로 적용할 수 있습니다. 제어해야 하는 앱 수에 따라 모든 규칙 및 예외를 관리하는 것이 어려울 수 있습니다. |
IT 부서에 애플리케이션 사용량을 분석하고 정책을 설계 및 관리하는 리소스가 있나요?
연구 및 분석을 수행하는 데 사용할 수 있는 시간과 리소스는 지속적인 정책 관리 및 유지 관리를 위한 계획 및 프로세스의 세부 사항에 영향을 줄 수 있습니다.
| 가능한 답변 | 디자인 고려 사항 |
|---|---|
| 예 | 시간을 투자하여 organization 애플리케이션 제어 요구 사항을 분석하고 가능한 한 생성되는 규칙을 사용하는 완전한 배포를 계획합니다. |
| 아니오 | 몇 가지 규칙을 사용하여 특정 그룹에 대한 집중적이고 단계적인 배포를 고려합니다. 특정 그룹의 애플리케이션에 컨트롤을 적용할 때 해당 배포에서 학습하여 다음 배포를 계획합니다. 또는 광범위한 신뢰 프로필을 사용하여 가능한 한 많은 앱에 권한을 부여하는 정책을 만들 수 있습니다. |
organization 지원하나요?
사용자가 알려진, 배포된 또는 개인 애플리케이션에 액세스하지 못하게 하면 처음에는 최종 사용자 지원이 증가합니다. 보안 정책을 따르고 비즈니스 워크플로가 방해되지 않도록 organization 다양한 지원 문제를 해결해야 합니다.
| 가능한 답변 | 디자인 고려 사항 |
|---|---|
| 예 | 사용자가 실수로 애플리케이션 사용을 차단하거나 특정 애플리케이션을 사용하기 위해 예외를 검색할 수 있으므로 계획 단계 초기에 지원 부서를 참여시킵니다. |
| 아니오 | 배포 전에 온라인 지원 프로세스 및 설명서를 개발하는 데 시간을 투자합니다. |
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기