내보내기(0) 인쇄
모두 확장

Windows XP 보안 가이드

6장: Windows XP 클라이언트에 대한 소프트웨어 제한 정책

업데이트 날짜: 2005년 10월 20일

이 페이지에서

개요
소프트웨어 제한 정책 구조
소프트웨어 제한 정책 옵션
소프트웨어 제한 정책의 설계 및 배포
요약

개요

소프트웨어 제한 정책을 사용하여 관리자는 소프트웨어를 식별하고 로컬 컴퓨터에서 해당 소프트웨어에 대한 실행을 제어할 수 있습니다. 이 도구는 Microsoft® Windows® XP Professional 실행 컴퓨터를 알려진 충돌이나 바이러스 및 트로이 목마 프로그램과 같은 악의적인 소프트웨어로부터 보호하는 데 도움이 됩니다. 소프트웨어 제한 정책은 Active Directory® 디렉터리 서비스 및 그룹 정책과 완전하게 통합됩니다. 또한 독립 실행형 컴퓨터에서도 이 정책을 사용할 수 있습니다.

이 장은 소프트웨어 제한 정책의 작동 방식 때문에 이 가이드의 이전 장과는 다른 구조로 이루어져 있습니다. 이전 장에서는 그룹 정책 설정 옵션에 대한 권장 구성 방법을 설명했습니다. 소프트웨어 제한 정책의 경우 관리자가 작업 환경에 있는 클라이언트 컴퓨터에서 실행할 수 있는 응용 프로그램을 정의한 후 해당 정책으로 인해 클라이언트에 적용될 제한 사항을 결정해야 합니다.

소프트웨어 제한 정책을 구현할 때는 먼저 기본 보안 수준이 제한 안 됨인지 또는 허용 안 함인지 결정해야 합니다. 기본 보안 수준이 제한 안 됨이면 모든 소프트웨어의 실행이 허용되며 특정 응용 프로그램을 차단하기 위한 추가 규칙을 구성해야 합니다. 좀 더 안전한 방법은 기본 보안 수준을 허용 안 함으로 구성하여 모든 소프트웨어의 실행을 허용하지 않은 다음 특정 응용 프로그램을 허용하기 위한 추가 규칙을 구성하는 것입니다. 소프트웨어 제한 정책은 도메인 기반 그룹 정책을 통해 여러 컴퓨터에 적용하거나 로컬 그룹 정책을 통해 개별 컴퓨터에 적용할 수 있습니다.

중요: 소프트웨어 제한 정책 설정을 비롯하여 이 가이드에 설명된 모든 정책 설정을 프로덕션 시스템에 배포하기 전에 철저히 테스트하는 것이 중요합니다. 이 기능을 잘못 디자인하거나 구현하면 심각한 문제가 발생할 수 있습니다.

소프트웨어 제한 정책은 소프트웨어를 식별하는 다양한 방법은 물론 규칙을 적용하여 식별된 소프트웨어가 실행되는 방식을 제어하는 정책 기반 인프라를 제공합니다. 컴퓨터 사용자는 작업 환경의 관리자가 소프트웨어 제한 정책에 대해 설정한 지침을 잘 따라야 합니다.

소프트웨어 제한 정책을 사용하여 다음을 수행할 수 있습니다.

  • 작업 환경의 클라이언트 컴퓨터에서 실행될 수 있는 소프트웨어를 제어합니다.

  • 다중 사용자 컴퓨터에서 특정 파일에 대한 사용자 액세스를 제한합니다.

  • 클라이언트 컴퓨터에 신뢰할 수 있는 게시자를 추가할 수 있는 사람을 결정합니다.

  • 정책을 클라이언트 컴퓨터의 모든 사용자에게 적용할지 또는 일부 사용자에게만 적용할지를 지정합니다.

  • 실행 파일이 컴퓨터, OU, 사이트 또는 도메인 수준에서 설정된 정책을 기반으로 로컬 컴퓨터에서 실행되지 않도록 합니다.

소프트웨어 제한 정책 구조

소프트웨어 제한 정책은 다음과 같은 강력한 기능을 제공합니다.

  • 도메인 기반 또는 로컬 컴퓨터 기반으로 정책 적용. 관리자는 정책을 만든 다음 신뢰할 수 있는 응용 프로그램과 그렇지 않은 응용 프로그램을 정의합니다. 이 정책은 실행 시에 적용되며 실행 파일의 실행 여부를 선택할 수 있는 대화 상자는 표시되지 않습니다.

  • 이진 실행 파일을 비롯한 다양한 소프트웨어에 적용. 소프트웨어 구성 요소에 대한 정의는 모호합니다. 소프트웨어 제한 정책을 사용하여 Microsoft Visual Basic® Scripting Edition(VBScript), JScript® 및 기타 스크립트 언어를 제어할 수 있습니다. 또한 이 정책은 클라이언트 컴퓨터에 설치할 수 있는 패키지를 제어하기 위해 Windows Installer 기능과 통합됩니다. 이 기능에는 다른 런타임에 맞게 정책 런타임을 조정하는 데 사용할 수 있는 API(응용 프로그래밍 인터페이스)가 포함됩니다.

  • 뛰어난 확장성. 소프트웨어 제한 정책을 그룹 정책을 통해 구현되므로 수만 대의 컴퓨터로 구성된 도메인에서 효과적으로 구현 및 관리될 수 있습니다.

  • 융통성. 관리자는 허가되지 않은 스크립트를 금지하고, Microsoft ActiveX® 컨트롤을 관리하고, 클라이언트 컴퓨터를 잠그는 등의 작업을 융통성 있게 할 수 있습니다.

  • 강력한 암호화를 통해 소프트웨어 식별. 소프트웨어 제한 정책은 해시 또는 디지털 서명을 사용하여 소프트웨어를 식별할 수 있습니다.

소프트웨어 제한 정책은 다음의 세 단계로 구현됩니다.

  1. 관리자나 권한을 위임 받은 기관이 Active Directory 컨테이너 사이트, 도메인 또는 OU에 대해 MMC(Microsoft Management Console) 그룹 정책 스냅인을 사용하여 정책을 만듭니다. 소프트웨어 제한 정책에 대한 GPO(그룹 정책 개체)를 따로 만드는 것이 좋습니다.

    참고: 사용자가 로컬 독립 실행형 컴퓨터에 대한 소프트웨어 제한 정책을 새로 만들려면 로컬 컴퓨터에서 Administrators 그룹의 구성원이어야 합니다. 이러한 정책 설정을 구성하려면 Windows 설정을 클릭하고 보안 설정을 클릭한 다음 소프트웨어 제한 정책을 클릭합니다.

  2. 컴퓨터 수준 정책은 다운로드된 후 사용자가 컴퓨터를 시작하면 적용됩니다. 사용자 정책은 사용자가 시스템이나 도메인에 로그온하면 적용됩니다. 정책을 업데이트하려면 gpupdate.exe /force 명령을 실행합니다.

  3. 사용자가 응용 프로그램이나 스크립트 같은 실행 파일을 시작하면 소프트웨어 제한 정책은 우선 순위 규칙에 따라 실행 가능 여부를 결정합니다.

제한 안 됨 또는 허용 안 함 설정

소프트웨어 제한 정책은 다음의 두 부분으로 구성됩니다.

  • 실행될 수 있는 프로그램을 지정하는 기본 규칙

  • 기본 규칙에 대한 예외 인벤토리

소프트웨어를 식별하는 데 사용되는 기본 규칙을 제한 안 됨 또는 허용 안 함으로 설정하여 모든 소프트웨어를 실행하거나 실행하지 못하도록 할 수 있습니다.

기본 규칙을 제한 안 됨으로 설정하면 관리자는 예외 또는 실행이 허용되지 않는 프로그램 집합을 정의할 수 있습니다. 클라이언트 컴퓨터가 엄격하게 관리되지 않는 환경에서는 제한 안 됨 기본 설정을 사용하십시오. 예를 들어 기존 프로그램과 충돌하는 프로그램을 차단하는 규칙을 만들어 이러한 프로그램의 설치를 제한할 수 있습니다.

좀 더 안전한 접근 방법은 기본 규칙을 허용 안 함으로 설정한 다음 특정 프로그램 집합만 실행을 허용하는 것입니다. 허용 안 함 기본 설정에서는 관리자가 각 프로그램에 대한 규칙을 모두 정의하고 사용자들이 실행할 수 있는 응용 프로그램에만 액세스할 수 있도록 사용자 컴퓨터의 보안 정책 설정이 올바른지 확인해야 합니다. Windows XP 클라이언트 컴퓨터를 보호하려는 경우에는 허용 안 함 기본 설정이 더 안전한 방법입니다.

소프트웨어 식별을 위한 4가지 규칙

소프트웨어 제한 정책의 규칙은 하나 이상의 응용 프로그램을 식별하고 실행이 허용되는지를 지정합니다. Windows XP의 실행 엔진은 프로그램 실행을 허용하기 전에 소프트웨어 제한 정책의 규칙을 쿼리합니다. 규칙을 만들려면 응용 프로그램을 식별한 후 허용 안 함 기본 설정에 대한 예외로 구분해야 합니다. 각 규칙에는 그 목적에 대한 설명이 포함될 수 있습니다.

소프트웨어 제한 정책은 소프트웨어 식별을 위해 다음의 4가지 규칙을 사용합니다.

  • 해시 규칙. 실행 파일의 암호화 지문을 사용합니다.

  • 인증서 규칙. .exe 파일의 소프트웨어 게시자로부터 받은 디지털 서명 인증서를 사용합니다.

  • 경로 규칙. .exe 파일 위치에 대해 로컬, UNC(Universal Naming Convention) 또는 레지스트리 경로를 사용합니다.

  • 영역 규칙. Microsoft Internet Explorer를 사용하여 다운로드한 경우 실행 파일을 가져온 인터넷 영역을 사용합니다.

해시 규칙

해시는 소프트웨어 프로그램 또는 실행 파일을 이동하거나 이름을 바꾼 경우에도 고유하게 식별할 수 있는 디지털 지문입니다. 따라서 관리자는 해시를 사용하여 사용자가 실행할 수 없도록 되어 있는 실행 파일 또는 프로그램 버전을 추적할 수 있습니다.

해시 규칙을 사용하면 파일 내용을 통한 암호화 계산 작업에 따라 해시의 일치 여부가 확인되므로 소프트웨어 프로그램을 고유하게 식별할 수 있습니다. 해시 규칙의 영향을 받는 파일 형식은 소프트웨어 제한 정책의 세부 정보 창에 있는 지정된 파일 형식 섹션에 표시됩니다.

해시 규칙은 정적인 환경에서 효과적입니다. 작업 환경의 소프트웨어가 업그레이드되면 업데이트된 각 실행 파일에 대해 해시 값을 다시 계산해야 합니다. 해시 규칙은 소프트웨어 변경이나 업그레이드가 자주 수행되지 않는 환경에 적합합니다.

해시 규칙은 콜론으로 구분된 다음의 3가지 데이터 부분으로 구성됩니다.

  • MD5 또는 SHA-1 해시 값

  • 파일 길이

  • 해시 알고리즘 ID 번호

디지털 서명된 파일은 서명에 포함된 해시 값(MD5 또는 SHA -1일 수 있음)을 사용하고 디지털 서명되지 않은 실행 파일은 MD5 해시 값을 사용합니다.

해시 규칙의 형식은 다음과 같습니다.

[MD5 또는 SHA1 해시 값]:[파일 길이]:[해시 알고리즘 ID]

다음의 해시 규칙 예는 MD5 해시 값(7bc04acc0d6480af862d22d724c3b049) 및 해시 알고리즘(해시 알고리즘 ID는 32771임)과 일치하는 내용을 갖는 126바이트 길이의 파일에 대한 것입니다.

7bc04acc0d6480af862d22d724c3b049:126:32771

관리자가 제한하거나 허용하려는 각 파일에는 해시 규칙이 포함되어야 합니다. 소프트웨어가 업데이트되면 원본 실행 파일의 해시 값이 새 파일의 해시 값과 일치하지 않으므로 관리자는 각 응용 프로그램에 대해 새 해시 규칙을 만들어야 합니다.

실행 파일에 대한 해시 규칙을 만들려면 다음 절차의 단계를 따르십시오.

기존 실행 파일에 대해 해시 규칙을 만들려면

  1. 그룹 정책 개체 편집기 도구 모음에서 Windows 설정, 보안 설정, 소프트웨어 제한 정책을 차례로 클릭한 다음 추가 규칙을 마우스 오른쪽 단추로 클릭합니다.

  2. 바로 가기 메뉴에서 새 해시 규칙 만들기를 클릭합니다.

    그림 6.1 새 해시 규칙 만들기 대화 상자

    그림 6.1 새 해시 규칙 만들기 대화 상자

  3. 찾아보기를 클릭하여 해시 규칙을 만들 파일을 선택합니다. 이 예에서는 실행 파일이 Excel.exe입니다. 새로운 파일 해시 값이 파일 해시: 상자에 표시되고 응용 프로그램 버전이 파일 정보: 상자에 표시됩니다.

  4. 이 규칙에 대한 보안 수준 기본 설정을 선택합니다. 다음과 같은 옵션이 있습니다.

    • 허용 안 함

    • 제한 안 됨

인증서 규칙

인증서 규칙은 프로그램의 실행이 허용되려면 코드 서명에 사용되는 소프트웨어 게시자의 인증서가 있어야 함을 지정합니다. 예를 들어 관리자는 모든 스크립트 및 ActiveX 컨트롤에 대해 서명된 인증서를 요구할 수 있습니다. 인증서 규칙에 맞는 허용되는 인증서 원본에는 다음이 포함됩니다.

  • VeriSign 같은 상업용 CA(인증 기관)

  • Microsoft Windows 2000/Windows Server™ 2003 PKI(공개 키 구조)

  • 자체 서명된 인증서

인증서 규칙은 서명된 파일의 서명에 있는 서명된 해시를 사용하여 파일 이름 또는 위치에 관계없이 파일을 찾아내므로 소프트웨어를 식별하는 강력한 방법입니다. 그러나 코드 서명 기술을 사용하는 소프트웨어 공급업체는 극히 드물며 배포하는 실행 파일 중 일부에만 서명을 하고 있습니다. 따라서 인증서 기술은 ActiveX 컨트롤과 같은 특정 응용 프로그램 유형이나 내부적으로 개발한 응용 프로그램에만 주로 사용되고 있습니다. 예를 들어 컴퓨터 및 사용자를 관리하는 데 사용되는 스크립트에 디지털로 서명하여 서명되지 않은 모든 스크립트를 차단하는 것이 좋습니다. 인증서 규칙의 예외를 식별하는 데는 해시 규칙을 사용할 수 있습니다.

인증서 규칙 활성화

인증서 규칙은 기본적으로 활성화되어 있지 않습니다. 다음 절차의 단계를 완료하여 인증서 규칙을 활성화하십시오.

인증서 규칙을 활성화하려면

  1. 그룹 정책 개체 편집기에서 GPO를 엽니다.

  2. 콘솔 트리에서 보안 옵션을 클릭합니다.

  3. 세부 정보 창에서 시스템 설정: 소프트웨어 제한 정책의 Windows 실행 파일에 인증서 규칙 사용을 두 번 클릭합니다.

  4. 사용을 클릭하여 인증서 규칙을 사용 가능하게 설정합니다.

파일에 디지털 서명하는 방법에 대한 자세한 내용은 "소프트웨어 제한 정책을 사용하여 허가되지 않은 소프트웨어로부터 보호"(www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx)의 “테스트 인증서로 파일을 디지털 서명하기 위한 단계별 지침” 섹션을 참조하십시오.

많은 상업용 웹 사이트에서 사용되는 소프트웨어는 상업용 CA(인증 기관)로 코드 서명되어 있습니다. 이러한 인증서는 보통 1년에서 수년 동안 유효합니다. 인증서 규칙을 사용할 때는 인증서에 만료 날짜가 있는지 확인하십시오. 게시된 인증서의 만료 기간에 대한 자세한 내용은 소프트웨어 게시자에게 문의할 수 있습니다. 상업용 CA로부터 인증서를 받을 때는 파일로 내보내 인증서 규칙을 만들 수 있습니다. 다음 절차의 단계를 완료하여 인증서를 내보냅니다.

인증서 내보내기

  1. 인증서를 발급할 신뢰할 수 있는 게시자를 선택합니다. 이 예에서는 인증서 게시자가 Microsoft MSN®입니다.

    그림 6.2 신뢰할 수 있는 게시자를 보여 주는 보안 경고 대화 상자

    그림 6.2 신뢰할 수 있는 게시자를 보여 주는 보안 경고 대화 상자

  2. 자세히 탭을 클릭하고 파일에 복사...를 클릭하여 해당 인증서를 파일로 복사한 후 인증서 규칙을 만드는 데 사용합니다.

    그림 6.3 인증서 대화 상자의 자세히 탭

    그림 6.3 인증서 대화 상자의 자세히 탭

  3. 인증서 내보내기 마법사 시작 페이지가 표시됩니다. 다음을 클릭하여 계속합니다.

    그림 6.4 인증서 내보내기 마법사 시작 페이지

    그림 6.4 인증서 내보내기 마법사 시작 페이지

  4. 파일 내보내기 형식 페이지에서 DER로 인코드된 X.509 바이너리(.CER)를 선택하고 다음을 클릭하여 확장명이 .cer인 인증서 파일을 만듭니다.

    그림 6.5 선택한 인코딩 방법을 보여 주는 인증서 내보내기 마법사, 파일 내보내기 형식 페이지

    그림 6.5 선택한 인코딩 방법을 보여 주는 인증서 내보내기 마법사, 파일 내보내기 형식 페이지

  5. 내보낼 파일페이지에서 설명 형식의 인증서 규칙 파일 이름을 지정합니다. 선택한 위치에 선택한 파일 이름으로 인증서가 저장됩니다.

    그림 6.6 파일 이름의 예를 보여 주는 인증서 내보내기 마법사, 내보낼 파일 페이지

    그림 6.6 파일 이름의 예를 보여 주는 인증서 내보내기 마법사, 내보낼 파일 페이지

  6. 인증서 내보내기 마법사 완료 페이지에는 인증서 파일의 지정된 설정이 표시됩니다. 설정을 검토하고 마침을 클릭하여 파일을 내보냅니다.

    그림 6.7 지정된 설정을 보여 주는 인증서 내보내기 마법사 완료 페이지

    그림 6.7 지정된 설정을 보여 주는 인증서 내보내기 마법사 완료 페이지

경로 규칙

경로 규칙은 프로그램에 대한 폴더 또는 정규화된 경로를 지정합니다. 경로 규칙이 폴더를 지정하면 폴더에 포함된 프로그램 또는 해당 폴더의 하위 폴더에 포함된 프로그램을 나타냅니다. 경로 규칙은 로컬 경로와 UNC 경로를 모두 지원합니다.

관리자는 경로 규칙에 특정 응용 프로그램이 시작될 모든 디렉터리를 정의해야 합니다. 예를 들어 바탕 화면 바로 가기를 사용하여 응용 프로그램을 시작할 경우 경로 규칙에는 실행 파일과 해당 응용 프로그램 실행을 위한 바로 가기 경로가 모두 지정되어야 합니다. 부분 경로 규칙만 지정하여 응용 프로그램을 시작하려고 하면 소프트웨어 제한 경고가 표시됩니다.

많은 응용 프로그램에서는 %ProgramFiles% 변수를 사용하여 Windows XP 기반 컴퓨터의 하드 드라이브에 파일을 설치합니다. 그러나 일부 응용 프로그램은 C:\Program Files 하위 디렉터리로 파일을 복사하도록 하드 코드되어 있으며 이 변수가 다른 드라이브의 다른 디렉터리로 설정된 경우에도 이러한 동작을 수행합니다. 경로 규칙을 만들어 테스트할 때는 이러한 제한을 고려하십시오.

경로 규칙에서 환경 변수 사용

환경 변수를 사용하도록 경로 규칙을 정의할 수 있습니다. 경로 규칙은 클라이언트 환경에서 평가되므로 관리자는 환경 변수를 사용하여 특정 사용자 환경에 맞게 규칙을 조정할 수 있습니다.

다음의 두 예에서는 경로 규칙에 환경 변수를 적용하는 경우를 보여 줍니다.

  • “%UserProfile%”은 C:\Documents and Settings\ <User>  및 모든 하위 폴더를 나타냅니다.

  • “%ProgramFiles%\<Application>”은  C:\Program Files\ <Application> 및 모든 하위 폴더를 나타냅니다.

    참고: 환경 변수는 ACL(액세스 제어 목록)에 의해 보호되지 않습니다. 환경 변수에는 UserSystem의 두 가지 유형이 있습니다. 명령 프롬프트를 시작할 수 있으면 누구나 Users 환경 변수를 다른 경로로 다시 정의할 수 있습니다. System 환경 변수는 Administrators 그룹의 사용자만 변경할 수 있습니다.

앞의 두 예제가 아주 유용하게 사용될 수 있지만 다른 환경 변수를 사용하는 경우도 있을 것입니다. 전체 환경 변수 목록을 보려면 “명령 셸 개요”(www.microsoft.com/resources/documentation/windows/xp/all/proddocs/
en-us/ntcmds_shelloverview.mspx)를 참조하십시오.

경로 규칙에 와일드카드 사용

경로 규칙에 "?" 및 "*" 와일드카드를 포함할 수 있습니다. 다음 예에서는 다른 경로 규칙에 적용된 와일드카드를 보여 줍니다.

  • \\DC – ??\login$\\DC – 01\login$, \\DC – 02\login$ 등을 나타냅니다.

  • *\WindowsC:\Windows, D:\Windows, E:\Windows 및 각 디렉터리의 모든 하위 폴더를 나타냅니다.

  • C:\win*C:\winnt, C:\windows, C:\windir 및 각 디렉터리의 모든 하위 폴더를 나타냅니다.

  • *.vbs는 Windows XP Professional에서 이 확장명을 갖는 모든 응용 프로그램을 나타냅니다.

  • C:\Application Files\*.*는 지정된 하위 디렉터리에 있는 모든 응용 프로그램 파일을 나타냅니다.

레지스트리 경로 규칙

많은 응용 프로그램에서는 설치 폴더 또는 응용 프로그램 디렉터리의 경로를 Microsoft Windows 레지스트리에 저장합니다. 일부 응용 프로그램은 파일 시스템의 어느 위치에나 설치될 수 있습니다. 이러한 프로그램을 찾기 위해 레지스트리 키를 조회하는 경로 규칙을 만들 수 있습니다.

C:\Program Files\Microsoft Platform SDK 같은 특정 폴더 경로나 %ProgramFiles%\Microsoft Platform SDK 같은 환경 변수를 사용하는 방법으로는 이러한 위치를 쉽게 식별하지 못할 수 있습니다. 그러나 프로그램이 해당 응용 프로그램 디렉터리를 레지스트리에 저장할 경우 레지스트리에 저장된 값을 사용하는 다음과 같은 경로 규칙을 만들 수 있습니다.

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\
Install Dir%

레지스트리 경로 규칙이라고 하는 이러한 유형의 경로 규칙은 다음 형식을 갖습니다.

%<레지스트리 하이브>\<레지스트리 키 이름>\<값 이름>%

참고: 레지스트리 키 규칙 접미사에서 마지막 % 기호 바로 뒤에는 \ 문자가 올 수 없습니다. 레지스트리 하이브 이름은 전체를 모두 써야 하며 약어를 사용하면 안 됩니다.

기본 규칙을 허용 안 함으로 설정하면 운영 체제에서 시스템 파일에 액세스할 수 있도록 네 개의 레지스트리 경로 규칙이 설정됩니다. 이러한 레지스트리 경로 규칙은 사용자 자신 및 다른 모든 사용자들이 시스템을 사용하지 못하게 하는 안전 장치로 만들어지며 제한 안 됨으로 설정됩니다. 이러한 규칙은 고급 사용자만 수정하거나 삭제해야 합니다. 레지스트리 경로 규칙 설정은 다음과 같습니다.

  • %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
    CurrentVersion\SystemRoot%

  • %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
    CurrentVersion\SystemRoot%\*.exe

  • %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
    CurrentVersion\SystemRoot%\System32\*.exe

  • %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\ProgramFilesDir%

경로 규칙 우선 순위

일치하는 경로 규칙이 여러 개 있으면 가장 상세하게 일치하는 규칙이 우선적으로 적용됩니다. 다음 경로 집합은 가장 높은 우선 순위(가장 상세하게 일치)에서 가장 낮은 우선 순위(대체적으로 일치) 순으로 정렬됩니다.

  • Drive:\Folder1\Folder2\FileName.Extension

  • Drive:\Folder1\Folder2\*.Extension

  • *.Extension

  • Drive:\Folder1\Folder2\

  • Drive:\Folder1\

영역 규칙

영역 규칙을 사용하여 Internet Explorer에 정의된 다음 영역 중 하나에서 다운로드한 소프트웨어를 식별할 수 있습니다.

  • 인터넷

  • 인트라넷

  • 제한된 사이트

  • 신뢰할 수 있는 사이트

  • 내 컴퓨터

현재의 인터넷 영역 규칙 버전은 Windows Installer(*.msi) 패키지에만 적용되며 Internet Explorer를 통해 다운로드한 소프트웨어에는 적용되지 않습니다. 영역 규칙의 영향을 받는 다른 모든 파일 형식은 이 장 뒷부분의 지정된 파일 형식에 대한 표에 나와 있습니다. 지정된 파일 형식 목록 하나가 모든 영역 규칙에서 공유됩니다.

규칙 권장 사항

다음 표의 정보를 참조하여 응용 프로그램의 사용자 및 환경에 가장 적합한 규칙 유형을 결정하십시오.

표 6.1 지정된 응용 프로그램에 대한 최상의 경로 규칙 결정

작업

권장되는 규칙

특정 프로그램 버전을 허용하거나 허용하지 않습니다.

해시 규칙
해당 파일을 찾아 해시 규칙을 만듭니다.

항상 같은 위치에 설치되는 프로그램을 식별합니다.

환경 변수를 포함하는 경로 규칙
%ProgramFiles%\Internet Explorer\iexplore.exe

클라이언트 컴퓨터의 어떠한 위치에도 설치할 수 있는 프로그램을 식별합니다.

레지스트리 경로 규칙
%HKEY_LOCAL_MACHINE\SOFTWARE\ ComputerAssociates\InoculateIT\6.0\Path\HOME%

중앙 서버의 스크립트 집합을 식별합니다.

경로 규칙
\\SERVER_NAME\Share

서버 집합의 스크립트 집합을 식별합니다. 예로 DC01, DC02 및 DC03을 들 수 있습니다.

와일드카드를 포함하는 경로 규칙
\\DC??\Share

로그인 스크립트 디렉터리에 있는 파일을 제외한 모든 .vbs 파일을 허용하지 않습니다.

와일드카드를 포함하는 경로 규칙

허용 안 함으로 설정한 *.VBS

제한 안 됨으로 설정한 \\LOGIN_SRV\Share\*.VBS

항상 Flcss.exe 바이러스에 의해 설치된 파일을 허용하지 않습니다.

경로 규칙

허용 안 함으로 설정한 Flcss.exe

어디에서나 실행할 수 있는 스크립트 집합을 식별합니다.

인증서 규칙

인증서를 사용하여 스크립트에 디지털 서명합니다.

신뢰할 수 있는 인터넷 영역 사이트로부터 소프트웨어를 설치할 수 있도록 합니다.

영역 규칙

신뢰할 수 있는 사이트제한 안 됨으로 설정합니다.


소프트웨어 제한 정책 우선 순위 규칙

규칙은 특정 순서로 평가됩니다. 프로그램과 보다 상세하게 일치하는 규칙이 같은 프로그램에 대체적으로 일치하는 규칙보다 우선적으로 적용됩니다. 같은 소프트웨어에 대해 보안 수준이 다른 두 개의 동일한 규칙이 설정되면 보안 수준이 가장 높은 규칙이 가장 우선적으로 적용됩니다. 예를 들어 하나는 보안 수준이 허용 안 함으로 설정되고 다른 하나는 제한 안 됨으로 설정된 두 개의 해시 규칙이 같은 소프트웨어 프로그램에 적용될 경우 보안 수준이 허용 안 함인 규칙이 우선적으로 적용되므로 프로그램은 실행되지 않습니다. 다음 목록은 가장 상세한 규칙에서 덜 상세한 규칙까지 규칙의 우선 순위를 정의합니다.

  1. 해시 규칙

  2. 인증서 규칙

  3. 경로 규칙

  4. 영역 규칙

  5. 기본 규칙

소프트웨어 제한 정책 옵션

이 섹션에서는 소프트웨어 제한 정책의 작동 방식에 영향을 주는 다양한 강요 옵션에 대해 논의합니다. 이러한 옵션은 디지털 서명된 파일의 Microsoft Authenticode® 트러스트 설정이 적용되는 방식을 변경합니다. 강요 옵션에는 DLL(동적 연결 라이브러리) 검사 및 관리자 제외의 두 가지가 있습니다.

DLL 검사

대부분의 프로그램은 실행 파일과 다양한 지원 DLL로 구성됩니다. 기본적으로 소프트웨어 제한 정책 규칙은 DLL에는 적용되지 않습니다. 이 기본 설정은 다음의 세 가지 이유로 대부분의 고객에게 권장됩니다.

  • 주 실행 파일의 사용을 허용하지 않으면 프로그램 자체가 실행될 수 없으므로 구성 DLL의 사용을 금지할 필요가 없습니다.

  • DLL 검사 중에는 응용 프로그램에 연결된 모든 라이브러리가 검사되므로 시스템 성능이 저하됩니다. 예를 들어 사용자가 로그온 세션 동안 10개의 프로그램을 실행하는 경우 소프트웨어 제한 정책은 각 프로그램을 평가합니다. DLL 검사가 설정되어 있으면 소프트웨어 제한 정책은 각 프로그램 내의 각 DLL 로드를 평가합니다. 각 프로그램이 20개의 DLL을 사용하는 경우 10개의 실행 프로그램과 200개의 DLL이 검사되므로 소프트웨어 제한 정책은 210가지 항목을 평가해야 합니다.

    Internet Explorer 같은 프로그램은 하나의 실행 파일(iexplore.exe)과 여러 개의 지원 DLL로 구성되어 있습니다.

  • 기본 보안 수준을 허용 안 함으로 설정하면 프로그램의 실행을 허용하기 전에 시스템은 주 실행 파일을 식별할 뿐 아니라 해당 .exe 파일의 구성 DLL을 모두 식별해야 하므로 시스템의 부하가 높아집니다.

바이러스는 1차적으로는 실행 파일, 특히 DLL을 대상으로 합니다. 따라서 DLL 검사는 사용자 환경에서 실행되는 프로그램의 안전을 최대한 보장하려는 경우에 권장되는 옵션입니다.

프로그램에 바이러스가 유입되지 않게 하려면 실행 파일 및 구성 DLL 전체를 식별하는 해시 규칙 집합을 사용합니다.

DLL 검사 옵션 해제

  • 소프트웨어 제한 정책을 편집할 경우 다음 그림에 나오는 것처럼 강요 등록 정보 대화 상자에서 라이브러리(예: DLL)을 제외한 모든 소프트웨어 파일을 선택합니다.

    그림 6.8 파일 및 사용자에 대한 강요 옵션을 보여 주는 강요 등록 정보 대화 상자

    그림 6.8 파일 및 사용자에 대한 강요 옵션을 보여 주는 강요 등록 정보 대화 상자

관리자 제외

대부분의 사용자들이 실행하지 못하는 모든 프로그램을 관리자들만 실행하도록 할 수도 있습니다. 예를 들어 Terminal Server를 사용하여 여러 사용자가 연결할 수 있는 공유 컴퓨터가 있을 수 있습니다. 관리자는 사용자들이 해당 컴퓨터의 특정 응용 프로그램만 실행하도록 하고 로컬 Administrators 그룹의 구성원들은 모든 프로그램을 실행하도록 할 수 있습니다. 이와 같이 설정하려면 관리자 제외 강요 옵션을 사용합니다.

Active Directory의 개체에 연결된 GPO에서 소프트웨어 제한 정책을 만들 경우 Administrators 그룹의 GPO에 대한 그룹 정책 적용 사용 권한을 거부하고 관리자 제외 옵션을 사용하지 않는 것이 좋습니다. 이렇게 하면 관리자에게 적용되지 않는 GPO 설정이 다운로드되지 않으므로 네트워크 대역폭이 줄어듭니다.

참고: 로컬 보안 정책 개체에 정의된 소프트웨어 제한 정책은 사용자 그룹을 걸러낼 수 없으므로 관리자 제외 옵션을 사용해야 합니다.

관리자 제외 옵션 설정

  • 아래의 그림 6.8에 나오는 강요 등록 정보 대화 상자에서 로컬 Administrator를 제외한 모든 사용자를 선택합니다.

실행 파일 정의

다음 그림에 나오는 지정된 파일 형식 등록 정보 대화 상자에서는 소프트웨어 제한 정책의 영향을 받는 파일 목록을 보여 줍니다. 이러한 파일 형식은 실행 파일로 간주됩니다. 예를 들어 화면 보호기 파일(.scr)은 Windows 탐색기에서 두 번 클릭할 때 프로그램으로 로드되므로 실행 파일로 간주됩니다.

소프트웨어 제한 정책 규칙은 지정된 파일 형식 등록 정보 대화 상자에 나열된 파일 형식에만 적용됩니다. 사용 중인 파일 형식에 규칙을 적용하려면 이 목록에 추가하십시오. 예를 들어 Perl 스크립트 파일의 경우 .pl 및 Perl 엔진과 관련된 기타 파일 형식을 지정된 파일 형식 등록 정보 대화 상자의 일반 탭에 있는 지정된 파일 형식: 목록에 추가하도록 선택할 수 있습니다.

그림 6.9 지정된 파일 형식 등록 정보 대화 상자

그림 6.9 지정된 파일 형식 등록 정보 대화 상자

이 가이드에 정의된 GPO 디자인에서는 파일 형식 .mdb 및 .lnk가 제거되고 .ocx가 추가됩니다. 다음 표는 지정된 파일 형식을 보여 줍니다.

표 6.2 지정된 파일 형식

파일 확장명

Description

파일 확장명

Description

.ade

Microsoft Access 프로젝트 익스텐션

.msc

Microsoft Common Console 문서

.adp

Microsoft Access 프로젝트

.msi

Windows Installer 패키지

.bas

Visual Basic 클래스 모듈

.msp

Windows Installer 패치

.bat

배치 파일

.mst

Visual Test 소스 파일

.chm

컴파일한 HTML 도움말 파일

.ocx

ActiveX 컨트롤

.cmd

Windows NT 명령 스크립트

.pcd

Photo CD 이미지

.com

MS-DOS 응용 프로그램

.pif

MS-DOS 프로그램 바로 가기

.cpl

제어판 확장

.reg

레지스트리 항목

.crt

보안 인증서

.scr

화면 보호기

.exe

응용 프로그램

.sct

Windows 스크립트 구성 요소

.hlp

Windows 도움말 파일

.shs

셸 스크랩 개체

.hta

HTML 응용 프로그램

.url

인터넷 바로 가기(URL)

.inf

설치 정보 파일

.vb

Visual Basic 파일

.ins

인터넷 통신 설정

.vbe

VBScript 인코드된 스크립트 파일

.isp

인터넷 통신 설정

.vbs

VBScript 스크립트 파일

.js

JScript 파일

.wsc

Windows 스크립트 구성 요소

.jse

JScript 인코드된 스크립트 파일

.wsf

Windows 스크립트 파일

.mde

Microsoft Access MDE 데이터베이스

.wsh

Windows Scripting Host 설정 파일

신뢰할 수 있는 게시자

신뢰할 수 있는 게시자 등록 정보 대화 상자를 사용하여 신뢰할 수 있는 게시자를 선택할 수 있는 사용자를 구성할 수 있습니다. 또한 게시자를 신뢰하도록 설정하기 전에 수행할 인증서 해지 검사를 결정할 수 있습니다. 인증서 규칙을 설정하면 소프트웨어 제한 정책은 CRL(인증서 해지 목록)을 검사하여 소프트웨어 인증서 및 서명이 유효한지 확인합니다. 그러나 서명된 프로그램을 시작할 경우 성능이 저하될 수 있습니다.

다음 그림에 나오는 신뢰할 수 있는 게시자 등록 정보 대화 상자의 일반 탭에 포함된 옵션을 사용하여 ActiveX 컨트롤 및 기타 서명된 콘텐츠와 관련된 설정을 구성할 수 있습니다.

그림 6.10 신뢰할 수 있는 게시자 등록 정보 대화 상자

그림 6.10 신뢰할 수 있는 게시자 등록 정보 대화 상자

다음 표는 ActiveX 컨트롤 및 기타 서명된 콘텐츠와 관련된 신뢰할 수 있는 게시자 옵션을 보여 줍니다.

표 6.3 신뢰할 수 있는 게시자 작업 및 설정

설정 이름

작업

엔터프라이즈 관리자

엔터프라이즈 관리자만 서명된 액티브 콘텐츠와 관련된 설정을 지정하는 데 사용됩니다.

로컬 컴퓨터 관리자

로컬 컴퓨터 관리자가 서명된 액티브 콘텐츠에 대한 모든 설정을 지정하는 데 사용됩니다.

최종 사용자

사용자가 서명된 액티브 콘텐츠와 관련된 설정을 지정하는 데 사용됩니다.

게시자

소프트웨어 게시자가 사용한 인증서가 해지되지 않도록 하는 데 사용됩니다.

타임스탬프

조직에서 액티브 콘텐츠에 타임스탬프를 지정하는 데 사용한 인증서가 해지되지 않도록 하는 데 사용됩니다.


소프트웨어 제한 정책의 설계 및 배포

이 섹션에서는 그룹 정책 스냅인을 사용한 소프트웨어 제한 정책 관리, 처음 정책을 편집할 때 고려해야 할 사항 및 사용자 그룹에 소프트웨어 제한 정책을 적용하는 방법 등을 다룹니다. 또한 소프트웨어 제한 정책을 배포할 때 고려해야 할 다양한 사항에 대해서도 논의합니다.

그룹 정책과의 통합

그룹 정책 스냅인을 사용하여 클라이언트 컴퓨터 집합 및 컴퓨터에 로그온하는 모든 사용자에 대한 소프트웨어 제한 정책을 관리할 수 있습니다. 이 정책은 이 가이드에 정의된 데스크톱 OU 및 랩톱 OU에 적용됩니다.

도메인

관리자는 소프트웨어 제한 정책에 대한 GPO를 따로 만들어야 합니다. 이렇게 하면 예상치 못한 문제가 발생할 경우 개체에 적용된 다른 정책을 그대로 유지하면서 그룹 정책을 비활성화할 수 있습니다.

로컬

이 가이드의 5장 "독립 실행형 Windows XP 클라이언트 보안 설정"에 설명된 것처럼 작업 환경의 독립 실행형 클라이언트에 대해서는 로컬 정책을 구성해야 합니다.

정책 설계

이 섹션에서는 소프트웨어 제한 정책을 디자인하고 배포할 때 수행해야 하는 단계에 대해 설명합니다. 정책 디자인을 위해서는 다음 표에 설명되는 것과 같은 여러 가지 항목을 결정해야 합니다.

표 6.4 중요한 정책 디자인 고려 사항

결정 사항

고려해야 할 요인

랩톱 또는 워크스테이션

사용자 환경에서 이동이 잦은 사용자의 요구를 조사하여 랩톱에 데스크톱과는 다른 정책이 필요한지 여부를 결정합니다. 랩톱에는 데스크톱보다 융통성이 더 필요합니다.

서버 공유, 로그온 스크립트 및 홈 드라이브

서버 공유 또는 홈 디렉터리부터 시작되는 응용 프로그램에 대한 경로 규칙을 정의해야 합니다. 경로 규칙에 로그온 스크립트 파일을 추가할 수 있습니다. 스크립트에서 다른 스크립트를 호출하는 경우 해당 실행 파일의 위치도 경로 규칙에 추가해야 합니다.

GPO 또는 로컬 보안 정책

이 가이드에서는 디자인을 위해 GPO가 사용됩니다. 그러나 로컬 정책이 디자인에 미치는 영향을 고려해야 합니다.

사용자 또는 컴퓨터 정책

이 디자인은 클라이언트 수준의 모든 설정에 적용됩니다.

기본 보안 수준

기본 설정을 허용 안 함으로 구성한 다음 그에 맞게 나머지 정책을 구성하는 것이 좋습니다. 제한 안 됨 기본 설정을 사용할 수도 있습니다.

추가 규칙

허용 안 함 기본 정책을 사용하는 경우에는 필요에 따라 추가 운영 체제 경로 규칙을 적용해야 합니다. 허용 안 함 구성에서는 4개의 규칙이 자동으로 만들어집니다.

정책 옵션

로컬 보안 정책을 사용하고 있으며 클라이언트 컴퓨터 관리자에게 해당 정책을 적용하지 않으려면 정책 강요 옵션인 관리자 제외를 선택합니다.

실행 파일과 스크립트는 물론 DLL도 검사하려면 정책 적용 옵션 DLL 검사를 선택합니다.

지정된 파일 형식의 기본 목록에 없는 파일 형식에 대해 규칙을 설정하려면 필요에 따라 이 옵션을 사용하여 해당 파일 형식을 지정된 파일 형식 등록 정보 대화 상자에 추가합니다.

ActiveX 컨트롤 및 기타 서명된 콘텐츠의 다운로드 여부를 결정할 수 있는 사람을 변경하려면 신뢰할 수 있는 게시자 등록 정보 대화 상자의 일반 탭에서 게시자 확인란을 선택합니다.

사이트, 도메인 또는 OU에 정책 적용

정책은 데스크톱 및 랩톱이 있는 OU에 위치합니다.


참고: 이 가이드에서는 소프트웨어 제한 정책을 컴퓨터 수준에서 적용할 것을 권장하지만 사용자 수준에서 적용하는 것이 적절한 경우도 많습니다. 예를 들어 터미널 서버 응용 프로그램 서버나 호출 센터 워크스테이션과 같은 공유 컴퓨터를 보유하는 조직에서는 특정 사용자만 응용 프로그램 제품군을 실행하도록 하고 다른 모든 사용자의 액세스는 거부할 수 있습니다.

유용한 정보

소프트웨어 제한 정책에 대한 GPO를 따로 만들어 긴급한 상황에 정책을 비활성화해야 하는 경우 나머지 도메인 또는 로컬 정책에 영향을 주지 않도록 해야 합니다.

또한 OU의 설계 단계 중에 소프트웨어 제한 정책 때문에 잘못하여 워크스테이션이 잠기게 된 경우 안전 모드에서 컴퓨터를 다시 시작하고 로컬 관리자로 로그온한 다음 정책을 수정합니다. Windows를 안전 모드에서 시작하면 소프트웨어 제한 정책이 적용되지 않습니다. 안전 모드에서 컴퓨터를 시작하고 Ggpupdate.exe를 실행한 다음 컴퓨터를 다시 시작합니다.

최상의 보안을 위해서는 소프트웨어 제한 정책과 ACL을 함께 사용하고 사용자에게 관리 권한을 부여하지 마십시오. 사용자는 허용되지 않은 파일을 이동 또는 이름을 변경하거나 제한되지 않은 파일을 덮어써서 소프트웨어 제한 정책을 피할 수 있습니다. ACL을 통해 사용자의 액세스 권한을 거부하여 이러한 작업을 수행하지 못하게 합니다. 로컬 Administrators 그룹의 구성원인 사용자는 구현된 소프트웨어 제한 정책을 무시할 수 있습니다. 따라서 가능한 경우 사용자에게 관리 권한을 부여하지 않는 것이 좋습니다.

로그인 스크립트는 일반적으로 도메인 컨트롤러나 중앙 서버의 SYSVOL에 있습니다. 도메인 컨트롤러는 로그인할 때마다 달라질 수 있습니다 기본 규칙을 허용 안 함으로 설정하면 로그온 스크립트의 위치를 식별하는 규칙을 만들어야 합니다. 로그온 서버들의 이름이 비슷하면 와일드카드를 사용하여 찾거나 설정을 제한하지 않고 로그온 스크립트 이름을 사용합니다.

참고: 새로운 소프트웨어 제한 정책을 도메인에 적용하기 전에 테스트 환경에서 해당 설정을 완전히 테스트합니다. 새로운 정책 설정이 처음에 예상한 것과 다르게 작동될 수 있습니다. 충분한 테스트를 수행하면 네트워크에 실제로 소프트웨어 제한 정책 설정을 배포할 때 문제가 발생할 가능성을 줄일 수 있습니다.

단계별로 프로세스 진행

다음 단계에 따라 소프트웨어 제한 정책을 디자인한 다음 사용자 환경의 랩톱 및 데스크톱에 GPO로 적용하십시오.

1단계. OU의 GPO 만들기

사용자 환경의 데스크톱 또는 랩톱에 대해 만들어진 OU를 찾습니다. 독립 실행형 클라이언트에서 작업하는 경우에는 해당 정책 설정이 로컬 컴퓨터 정책에 들어 있습니다. 이 정책에서 속성을 클릭하고 GPO를 새로 만듭니다. 조직의 이름 지정 규칙에 따라 정책의 이름을 지정합니다. 이 정책은 소프트웨어 제한을 적용하는 데만 사용된다는 점에 유의하십시오.

2단계. 소프트웨어 제한 정책 설정

GPO를 강조한 다음 편집을 클릭합니다. 트리를 따라 이동하여 Windows 설정\보안 설정\소프트웨어 제한 정책을 찾습니다. 정책을 처음 편집하는 경우에는 다음 메시지가 표시됩니다.

정의된 소프트웨어 보안 정책이 없습니다.

이 메시지는 정책을 만들 때 기본값이 정의됨을 알려 줍니다. 이러한 기본값은 다른 소프트웨어 제한 정책의 설정을 재정의할 수 있습니다. 소프트웨어 제한 정책 설정이 아직 지정되지 않았으므로 기본 설정을 사용하여 시작합니다. 동작 메뉴를 마우스 오른쪽 단추로 클릭하고 새 소프트웨어 제한 정책을 선택합니다.

3단계. 경로 규칙 설정

워크스테이션에 사용될 응용 프로그램과 스크립트를 확인한 후에는 경로 규칙을 설정할 수 있습니다. 일부 프로그램은 작업을 수행하기 위해 다른 프로그램을 실행하며 작업 환경의 소프트웨어 응용 프로그램은 다른 프로그램을 지원하는 하나 이상의 프로그램에 의존합니다. 현재 설치된 소프트웨어에 대한 인벤토리 및 설치 설명서는 경로 규칙을 추적하는 데 많은 도움이 됩니다. 다음은 워크스테이션 설계 시 사용할 수 있는 지침의 예입니다.

  • 응용 프로그램 = *\Program Files

  • 공유 그룹 응용 프로그램 = g:\Group Applications

  • 로그온 스크립트 = Logon.bat

  • 바탕 화면 바로 가기 = *.lnk

  • 승인된 VBS 스크립트 =*.vbs

4단계. 정책 옵션 설정

다음 옵션에는 이 가이드에 정의된 디자인에 대한 권장 정책 설정이 포함되어 있습니다. 이러한 옵션은 디지털 서명된 파일의 강요 동작 범위 또는 Authenticode 트러스트 설정을 변경합니다.

  • 강요. 컴퓨터가 도메인에 속해 있는 경우 Domain Admins 그룹이 Administrators 그룹에 자동으로 추가되는지 확인합니다.

  • 사용자에게 적용. 로컬 Administrators를 제외한 모든 사용자 이 옵션을 사용하면 각 응용 프로그램이 늦게 시작됩니다. 이러한 지연을 보완하려면 DLL을 확인하지 않도록 정책을 구성합니다.

  • 파일에 적용. 라이브러리(예: DLL)를 제외한 모든 소프트웨어 파일 이 옵션을 사용하면 각 응용 프로그램이 늦게 시작됩니다. 이러한 지연을 보완하려면 DLL을 확인하지 않도록 정책을 구성합니다.

  • 지정된 파일 형식. 이 가이드에 정의된 GPO 디자인에서는 .ocx 파일이 목록에 추가되고 .mdb 및 .lnk 파일 형식이 제거되었습니다. 필요에 따라 사용자 지정 응용 프로그램 파일 형식 확장명을 추가하여 같은 규칙을 적용할 수 있습니다.

  • 신뢰할 수 있는 게시자. 이 가이드에 정의된 GPO 디자인에서는 Administrators 그룹이 활성화되고 신뢰할 수 있는 게시자 등록 정보: 로컬 컴퓨터 관리자 옵션이 선택되었습니다.

게시자를 신뢰하기 전에 GPO를 디자인할 때 확인: 게시자 옵션을 선택하여 정책에 따라 인증서가 검증되도록 지정합니다.

5단계. 기본 설정 적용

정책을 제한 안 됨 기본 설정으로 구성하는 것이 가장 좋습니다. 이렇게 하면 소프트웨어 제한을 적용하기 전에 정책에 제대로 초기화됩니다. 정책 설정을 검토한 후에는 기본 설정을 허용 안 함으로 다시 설정합니다.

6단계. 정책 테스트

컴퓨터가 도메인에 속해 있는 경우 정책이 적용된 OU 컨테이너로 해당 컴퓨터를 이동합니다. 테스트 컴퓨터를 다시 시작하고 로그온합니다. 테스트 계획에는 정책이 적용될 때 각 응용 프로그램의 작동 방식에 대한 지침이 포함되어야 합니다. 응용 프로그램을 실행하여 기능상에 문제가 없는지와 모든 기능에 액세스할 수 있는지 확인합니다. 응용 프로그램의 기능을 검사한 후에는 응용 프로그램에 대한 공격을 시뮬레이트하여 정책에 보안 취약점이 없는지 확인합니다.

컴퓨터가 독립 실행형 클라이언트이면 테스트 컴퓨터로 로그온한 다음 테스트 계획에 따라 진행합니다. 응용 프로그램을 검사한 후에는 시뮬레이트된 공격을 다시 실행하여 정책에 보안 취약점이 없는지 확인합니다.

소프트웨어 제한 정책 배포

정책을 철저히 테스트한 후에는 사용자 환경의 데스크톱 또는 랩톱 OU에 적용합니다. 컴퓨터가 독립 실행형 클라이언트이면 클라이언트의 로컬 컴퓨터 설정에 정책을 적용합니다. MMC 컴퓨터 및 사용자 스냅인을 열고 디렉터리를 데스크톱 및 랩톱에 대한 OU 컨테이너로 이동합니다. 그런 후 그룹 정책 개체 편집기를 사용하여 GPO를 새로 만듭니다. 다음 표의 내용을 참고하여 속성을 편집한 후 Windows 설정\보안 설정소프트웨어 제한 정책에 해당 정책 설정을 적용합니다.

표 6.5 보안 수준

UI의 기본 규칙

Description

설정

허용 안 함

사용자의 액세스 권한에 관계없이 소프트웨어가 실행되지 않습니다.

이 기본 규칙 사용


표 6.6 추가 규칙

경로 규칙

설정

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\SystemRoot%

제한 안 됨

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\SystemRoot%\*.exe

제한 안 됨

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\SystemRoot%\System32\*.exe

제한 안 됨

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\ProgramFilesDir%

제한 안 됨

*.vbs

허용 안 함

G:\Group Applications

제한 안 됨

Logon.bat 또는 로그온 스크립트

제한 안 됨

*\Program Files

제한 안 됨


표 6.7 파일 및 사용자에 대한 강요

강요 옵션

권장 사항

소프트웨어 제한 정책 적용 파일:

DLL을 제외한 모든 소프트웨어 파일

소프트웨어 제한 정책 적용 사용자:

로컬 관리자를 제외한 모든 사용자


표 6.8 지정된 파일 형식

파일 형식

권장 사항

지정된 파일 형식 등록 정보

.mdb 및 .lnk 파일 형식을 제거하고 .ocx 형식을 추가합니다.


표 6.9 신뢰할 수 있는 게시자

신뢰할 수 있는 게시자

권장 사항

신뢰할 수 있는 게시자를 선택하도록 허용되는 사용자:

로컬 컴퓨터 관리자

인증서가 해지되었는지 여부를 결정합니다.

게시자 옵션을 선택합니다.


요약

관리자는 소프트웨어 제한 정책을 사용하여 Windows XP Professional이 실행되는 컴퓨터의 소프트웨어를 효과적으로 식별하고 제어할 수 있습니다. 악의적인 스크립트를 차단하거나, 다양한 방법으로 사용자 환경의 컴퓨터를 잠그거나, 응용 프로그램이 실행되지 않게 하는 정책을 만들 수 있습니다. 엔터프라이즈 조직에서는 GPO를 사용하여 소프트웨어 제한 정책을 관리한 다음 만든 각 정책을 여러 다른 사용자 그룹 및 컴퓨터의 요구에 맞게 조정하는 것이 가장 좋습니다. 독립 실행형 환경에서 사용자 그룹을 관리하지 않는 것이 좋습니다..

소프트웨어 제한 정책을 적절히 적용할 경우 조직에서 사용되는 컴퓨터에 무결성 및 관리 효율을 높이고 궁극적으로는 해당 컴퓨터에 설치된 운영 체제의 소유 비용 및 유지 관리 비용을 절감할 수 있습니다.

추가 정보

다음 링크에서는 Windows XP Professional 보안 관련 항목에 대한 추가 정보를 제공합니다.


다운로드

Windows XP 보안 가이드 다운로드


이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.
표시:
© 2014 Microsoft