내보내기(0) 인쇄
모두 확장

Windows 7 AppLocker 기능 개요

업데이트 날짜: 2010년 1월

적용 대상: Windows 7

이 항목에서는 Windows 7에서 제공되는 새로운 응용 프로그램 제어 기능인 AppLocker를 소개합니다. AppLocker는 불필요하거나 알 수 없는 응용 프로그램이 조직의 네트워크에서 실행되지 않도록 하는 동시에 보안, 운영 및 규정 준수 측면에서 다양한 이점을 제공합니다.

Windows 7 리소스, 문서, 데모 및 가이드를 한곳에서 보려면 Windows Client TechCenter의 Windows 7의 Springboard Series를 방문하십시오.

소개

일반적인 데스크톱 컴퓨터의 소프트웨어 구성은 대개 표준이 아니거나 승인되지 않은 소프트웨어를 설치하고 실행할 때 원하는 상태나 초기 상태에서 변경됩니다. 사용자가 가정, 인터넷 다운로드, 피어 투 피어 파일 공유, 전자 메일 등을 통해 소프트웨어를 설치하면 맬웨어에 감염될 가능성이 높으며 지원 센터에 도움을 요청하는 일이 늘어나고 데스크톱 컴퓨터에서 사용이 허가되고 승인된 소프트웨어만 실행되도록 하는 것이 어려워집니다. 또한 비즈니스 생산성도 저하됩니다. 따라서 많은 조직에서는 관리자 자격 증명을 제한하는 등의 다양한 잠금 체계를 통해 데스크톱 환경을 보다 철저하게 관리하려고 합니다. 관리자가 아닌 표준 사용자 권한으로 실행하는 것은 데스크톱 환경에서 변경할 수 있는 구성을 제한하는 데 도움이 되므로 권장되는 방법이지만, 표준 사용자 권한으로 실행할 경우 조직에서 알 수 없거나 원하지 않는 소프트웨어를 설치하거나 실행하는 것을 막지 못합니다.

Windows XP 및 Windows Vista의 SRP(소프트웨어 제한 정책)는 응용 프로그램 제어 정책을 정의하고 적용하기 위한 메커니즘을 IT 관리자에게 제공합니다. 그러나 응용 프로그램 제어 정책이 해시 규칙을 우선적으로 사용하기 때문에 일관된 방식으로 응용 프로그램이 설치되고 업데이트되는 매우 역동적인 데스크톱 환경에서는 SRP가 상당한 관리 부담이 될 수 있습니다. 해시 규칙을 사용할 경우 응용 프로그램이 업데이트될 때마다 새로운 해시 규칙을 만들어야 합니다.

Windows 7 AppLocker

Windows 7에서는 AppLocker를 도입하여 기업 환경에서 커져가는 응용 프로그램 제어 솔루션에 대한 요구를 해결합니다. AppLocker는 관리자가 자사의 데스크톱 환경에서 실행할 수 있는 항목을 정확히 지정할 수 있게 해 주는 단순하면서도 유연한 메커니즘입니다. 결과적으로 AppLocker는 보안 보호 기능을 제공할 뿐 아니라 관리자가 다음을 수행할 수 있도록 하여 운영 및 규정 준수를 위한 다양한 이점도 제공합니다.

  • 소프트웨어가 허용 목록에 없는 경우 데스크톱 환경에서 허가되지 않은 소프트웨어가 실행되지 않도록 방지

  • 데스크톱 환경에서 맬웨어를 비롯한 승인되지 않은 취약한 응용 프로그램이 실행되지 않도록 방지

  • 네트워크 대역폭을 불필요하게 소모하거나 기업 컴퓨팅 환경에 부정적인 영향을 주는 응용 프로그램을 사용자가 실행하지 못하도록 차단

  • 데스크톱 환경을 불안정하게 만들고 지원 센터 지원 비용을 늘리는 응용 프로그램을 사용자가 실행하지 못하도록 차단

  • 효과적인 데스크톱 구성 관리를 위한 추가 옵션 제공

  • 관리자 자격 증명이 있는 사용자만 응용 프로그램과 소프트웨어 업데이트를 설치하거나 실행할 수 있는 요구 사항을 유지하는 한편 정책에 따라 승인된 응용 프로그램과 소프트웨어 업데이트를 사용자가 실행할 수 있도록 허용

  • 데스크톱 환경이 회사 정책 및 업계 규정을 준수하도록 보장

AppLocker는 허용 및 거부라는 두 가지 규칙 동작을 통해 단순하면서도 강력한 체계를 제공합니다. 또한 이러한 동작의 예외를 식별하는 수단도 제공합니다. 규칙의 허용 동작은 응용 프로그램의 실행을 허용된 응용 프로그램 목록으로 제한하고 그 밖의 모든 프로그램을 차단합니다. 규칙의 거부 동작은 반대의 방식을 취하여 거부된 응용 프로그램 목록에 있는 프로그램을 제외한 모든 응용 프로그램의 실행을 허용합니다. 많은 기업에서 허용 동작과 거부 동작을 조합해서 사용하는 방식을 선택하기 쉽지만 AppLocker의 이상적인 배포에서는 기본 제공되는 예외와 함께 규칙의 허용 동작을 사용합니다. 예외 규칙을 사용하면 규칙의 허용 또는 거부 동작에서 일반적으로 포함되는 파일을 제외할 수 있습니다. 예외 규칙을 통해 "Windows 운영 체제에서 기본 제공 게임을 제외하고 모든 프로그램이 실행되도록 허용"하는 규칙을 만들 수 있습니다. 규칙의 허용 동작을 예외와 함께 사용하면 과도하게 많은 규칙을 만들지 않고도 허용된 응용 프로그램 목록을 효과적으로 만들 수 있습니다.

AppLocker에는 응용 프로그램 디지털 서명을 기준으로 하는 게시자 규칙이 도입되었습니다. 게시자 규칙을 이용하면 응용 프로그램 버전과 같은 특성을 지정할 수 있어 응용 프로그램이 업데이트되어도 계속 사용할 수 있는 규칙을 만들 수 있습니다. 예를 들어 조직에서 "소프트웨어 게시자 Adobe가 서명한 경우 Acrobat Reader 프로그램 9.0 이상의 모든 버전이 실행되도록 허용"하는 규칙을 만들 수 있습니다. 이제 Adobe에서 Acrobat을 업데이트해도 새 버전의 응용 프로그램에 사용할 규칙을 새로 만들 필요 없이 응용 프로그램 업데이트를 배포할 수 있습니다.

AppLocker는 실행 파일, 설치 관리자, 스크립트, DLL 등, 규칙 모음이라고 하는 서로 독립적으로 구성 가능한 여러 가지 정책을 지원합니다. 이와 같은 여러 모음을 통해 조직은 실행 파일에만 적용되는 기존의 솔루션을 뛰어넘어 더욱 탁월한 유연성과 강력한 보호를 제공하는 규칙을 만들 수 있습니다. 예를 들어 조직에서 "Adobe Photoshop 버전이 아직 14.*인 경우 Graphics 보안 그룹이 Adobe에서 얻은 Photoshop 설치 관리자나 응용 프로그램을 실행할 수 있도록 허용"하는 규칙을 만들 수 있습니다. 즉, IT 관리자가 계속 통제권을 갖지만 사용자가 각자의 비즈니스 요구에 따라 자신의 컴퓨터를 최신으로 유지할 수 있습니다. 더불어 이러한 각 정책을 감사 전용 모드에 개별적으로 배치함으로써 해당 정책이 응용 프로그램의 실행을 차단하고 잠재적으로 사용자의 생산성에 영향을 미치기 전에 규칙을 테스트할 수 있습니다.

AppLocker 규칙을 조직 내 특정 사용자 또는 그룹과 연결할 수 있습니다. 따라서 어떤 사용자가 특정 응용 프로그램을 실행할 수 있는지 검증하고 제한하는 방식으로, 구체적인 제어가 가능해짐으로써 규정 준수에 도움이 될 수 있습니다. 예를 들어 "Finance 보안 그룹의 사용자가 재무 분야의 LOB(기간 업무) 응용 프로그램을 실행할 수 있도록 허용"하는 규칙을 만들 수 있습니다. 이 규칙은 Finance 보안 그룹에 속하지 않은 모든 사용자(관리자 포함)가 누구라도 재무 응용 프로그램을 실행할 수 없도록 차단하지만 업무 요구상 해당 응용 프로그램을 실행해야 할 필요가 있는 사용자에게는 액세스 권한이 계속 허용됩니다.

AppLocker는 새로운 규칙 만들기 도구 및 마법사를 통해 IT 관리자에게 강력한 환경을 제공합니다. 예를 들어 IT 관리자가 테스트 참조 컴퓨터를 사용하여 자동으로 규칙을 생성한 다음 널리 배포할 수 있도록 프로덕션 환경으로 규칙을 가져올 수 있습니다. 또한 정책을 내보내 프로덕션 구성의 백업을 제공하거나 규정 준수 용도로 문서를 제공할 수도 있습니다. 그룹 정책 인프라를 사용하여 AppLocker 규칙을 만들고 배포할 수도 있으며 이를 통해 조직의 교육 및 지원 비용을 절감할 수 있습니다.

AppLocker는 Windows 7 Enterprise 및 Windows 7 Ultimate에서 사용할 수 있는 새로운 기술입니다. 또한 Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter 및 Itanium 시스템용 Windows Server 2008 R2에서도 AppLocker를 사용할 수 있습니다. 소프트웨어 제한 정책도 이러한 동일한 버전에서 사용할 수 있습니다.

요약

데스크톱 환경은 가장 핵심적인 생산성 도구 중 하나일 뿐 아니라 중요한 투자 요소이기도 합니다. 사용자가 업무 생산성을 높이는 데 필요한 응용 프로그램을 실행할 수 있게 해 주는 동시에 정체를 알 수 없거나 원하지 않는 소프트웨어로부터 효과적으로 컴퓨터를 보호할 수 있는 도구가 필요합니다.

Windows 7에서는 AppLocker를 도입하여 기업 환경에서 응용 프로그램 제어 솔루션에 대한 요구를 해결합니다. AppLocker는 관리자가 자사의 데스크톱 환경에서 실행할 수 있는 항목을 정확히 지정할 수 있게 해 주는 단순하면서도 유연한 메커니즘입니다. 결과적으로 AppLocker는 보안 보호 기능을 제공할 뿐 아니라 운영 및 규정 준수를 위한 다양한 이점도 제공합니다. 또한 AppLocker는 잘 알려진 증명된 도구와 기법을 사용하여 관리할 수 있으므로 동적으로 변화하는 비즈니스 요구에 맞춰 IT 인프라를 조정하는 데 IT 리소스를 집중 투입할 수 있도록 합니다.

참고 항목

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
Microsoft는 MSDN 웹 사이트에 대한 귀하의 의견을 이해하기 위해 온라인 설문 조사를 진행하고 있습니다. 참여하도록 선택하시면 MSDN 웹 사이트에서 나가실 때 온라인 설문 조사가 표시됩니다.

참여하시겠습니까?
표시:
© 2014 Microsoft