내보내기(0) 인쇄
모두 확장

AppLocker를 사용하는 경우

업데이트 날짜: 2009년 11월

적용 대상: Windows 7, Windows Server 2008 R2

이 항목에서는 AppLocker가 도움이 되는 시나리오와 응용 프로그램에 대해 설명합니다.

대부분의 조직에서 정보는 가장 중요한 자산이므로 승인된 사용자만 정보에 액세스할 수 있도록 해야 합니다. AD RMS(Active Directory Rights Management Services) 및 ACL(액세스 제어 목록)과 같은 액세스 제어 기술은 사용자가 액세스할 수 있는 항목을 제어하는 데 유용합니다. 그러나 사용자가 프로세스를 실행할 때 이 프로세스에서는 사용자 소유의 데이터에 대해 동일한 액세스 수준을 사용합니다. 따라서 사용자의 의사와는 관계없이 실행되는 악성 소프트웨어로 인해 중요한 정보가 삭제되거나 조직의 외부로 유출되기 쉽습니다. AppLocker는 사용자 또는 그룹이 실행할 수 있는 파일을 제한하여 이러한 종류의 공격 위험을 완화하는 데 유용합니다.

현재 소프트웨어 게시자는 많은 응용 프로그램을 관리자가 아닌 표준 사용자가 설치할 수 있도록 만들기 시작하고 있습니다. 이러한 종류의 소프트웨어를 배포할 경우 조직이 작성한 보안 정책을 위반하고 소프트웨어를 제어되는 위치에만 설치할 수 있도록 하는 일반적인 응용 프로그램 배포 솔루션을 우회할 수 있습니다. AppLocker를 사용하면 관리자가 파일 실행을 허용하거나 거부하는 규칙을 만들 수 있으므로 이러한 사용자별 응용 프로그램이 실행되는 것을 방지할 수 있습니다.

AppLocker는 현재 그룹 정책을 사용하여 해당 Windows 기반 컴퓨터를 관리하고 있는 조직에 적합합니다. AppLocker는 추가적인 그룹 정책 메커니즘이므로 관리자는 그룹 정책을 만들고 배포한 경험이 있어야 합니다. 설치되는 ActiveX 컨트롤이나 사용자별 응용 프로그램 설치를 제어하려는 조직에도 AppLocker가 유용합니다.

소프트웨어 제한 정책과 AppLocker의 응용 프로그램 제어 기능 비교

다음 표에서는 SRP(소프트웨어 제한 정책)의 기능과 AppLocker의 기능을 비교합니다.

 

응용 프로그램 제어 기능 SRP AppLocker

범위

SRP 정책은 Windows XP 및 Windows Server 2003 이상의 모든 Windows 운영 체제에 적용할 수 있습니다.

AppLocker 정책은 Windows Server 2008 R2 및 Windows 7에만 적용되지만 동일한 GPO에 있는 SRP 정책으로 구현할 수 있습니다. SRP 정책은 Windows Server 2008 R2 및 Windows 7을 실행하는 컴퓨터에서 사용할 수 있습니다.

사용자 지원

SRP를 사용할 경우 사용자가 관리자 권한으로 응용 프로그램을 설치할 수 있습니다.

AppLocker 정책은 그룹 정책을 통해 유지 관리되며 컴퓨터의 관리자만 AppLocker 정책을 업데이트할 수 있습니다.

AppLocker를 사용할 경우 사용자를 지원 웹 페이지로 안내하기 위해 오류 메시지를 사용자 지정할 수 있습니다.

정책 유지 관리

SRP 정책은 로컬 보안 정책 스냅인이나 GPMC(그룹 정책 관리 콘솔)를 사용하여 업데이트합니다.

AppLocker 정책은 로컬 보안 정책 스냅인이나 GPMC를 사용하여 업데이트합니다.

AppLocker는 관리 및 유지 관리에 도움이 되는 일부 PowerShell cmdlet을 지원합니다.

정책 관리 인프라

SRP 정책을 관리하기 위해 SRP는 도메인 내에서 그룹 정책을 사용하고 로컬 컴퓨터의 로컬 보안 정책 스냅인을 사용합니다.

AppLocker 정책을 관리하기 위해 AppLocker는 도메인 내에서 그룹 정책을 사용하고 로컬 컴퓨터의 로컬 보안 정책 스냅인을 사용합니다.

악성 스크립트 차단

악성 스크립트를 차단하는 규칙을 사용하여 조직에서 디지털 서명한 스크립트를 제외하고 Windows 스크립트 호스트와 관련된 모든 스크립트가 실행되지 않도록 합니다.

AppLocker 규칙은 .ps1, .bat, .cmd, .vbs 및 .js 파일 형식을 제어할 수 있습니다. 또한 특정 파일의 실행을 허용하도록 예외를 설정할 수 있습니다.

소프트웨어 설치 관리

SRP는 모든 Windows Installer 패키지가 설치되지 않도록 할 수 있습니다. 그러나 조직에서 디지털 서명한 .msi 파일은 설치되도록 할 수 있습니다.

Windows Installer 규칙 컬렉션은 Windows Installer 파일 형식(.msi 및 .msp)에 대해 만들어진 규칙 집합으로, 클라이언트 컴퓨터 및 서버에서 파일 설치를 제어할 수 있습니다.

컴퓨터의 모든 소프트웨어 관리

모든 소프트웨어가 하나의 규칙 집합으로 관리됩니다. 기본적으로 컴퓨터의 모든 소프트웨어를 관리하기 위한 정책은 Windows 폴더, Program Files 폴더 또는 그 하위 폴더에 설치된 소프트웨어를 제외하고 사용자 컴퓨터의 모든 소프트웨어를 허용하지 않습니다.

SRP와 달리 각 AppLocker 규칙 컬렉션은 허용되는 파일 목록의 기능을 합니다. 즉, 규칙 컬렉션 내에 나열된 파일만 실행이 허용됩니다. 이 구성을 통해 관리자는 AppLocker 규칙이 적용될 때의 결과를 보다 쉽게 확인할 수 있습니다.

사용자별로 다른 정책 적용

규칙이 특정 컴퓨터의 모든 사용자에게 일관되게 적용됩니다.

여러 사용자가 공유하는 컴퓨터에서 설치된 소프트웨어에 액세스할 수 있는 사용자 그룹을 관리자가 지정할 수 있습니다. AppLocker를 사용하면 관리자가 특정 규칙을 적용할 사용자를 지정할 수 있습니다.

추가 리소스

  • AppLocker 정책 사용 시나리오

    이 항목에는 AppLocker 정책을 효과적으로 구현할 수 있는 다양한 응용 프로그램 제어 시나리오가 나와 있습니다.

  • Understanding AppLocker Policy Design Decisions

    이 항목에서는 디자인 관련 질문과 대답을 제공하고, Windows 운영 체제 환경 내에서 AppLocker를 사용하여 응용 프로그램 제어 정책의 배포를 계획할 때 결정하는 사항에 따른 결과를 설명합니다.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
Microsoft는 MSDN 웹 사이트에 대한 귀하의 의견을 이해하기 위해 온라인 설문 조사를 진행하고 있습니다. 참여하도록 선택하시면 MSDN 웹 사이트에서 나가실 때 온라인 설문 조사가 표시됩니다.

참여하시겠습니까?
표시:
© 2014 Microsoft