내보내기(0) 인쇄
모두 확장

AppLocker: 질문과 대답

업데이트 날짜: 2011년 3월

적용 대상: Windows 7, Windows Server 2008 R2

이 IT 전문가용 항목에는 AppLocker 이해, 배포 및 관리에 대한 질문과 대답이 나와 있습니다. AppLocker는 Windows Server 2008 R2 및 Windows 7의 응용 프로그램 제어 기능입니다.

AppLocker 이해

AppLocker 정책 계획 및 배포

AppLocker 정책 관리

AppLocker 이해

AppLocker란 무엇입니까?

AppLocker는 소프트웨어 제한 정책 기능을 개선하는 Windows Server 2008 R2 및 Windows 7의 새로운 기능입니다. AppLocker에는 관리 오버헤드를 줄이고 사용자가 실행 파일, 스크립트, Windows Installer 파일, DLL 등의 파일에 액세스하고 사용하는 방법을 관리자가 제어하는 데 도움이 되는 새로운 기능과 확장이 포함되어 있습니다. AppLocker를 사용하여 다음과 같은 작업을 수행할 수 있습니다.

  • 게시자, 제품 이름, 파일 이름, 파일 버전 등, 디지털 서명에서 파생된 파일 특성에 따라 규칙을 정의합니다. 예를 들어 업데이트를 수행해도 일관되게 유지되는 게시자 특성에 따라 규칙을 만들거나 특정 버전의 파일에 대한 규칙을 만들 수 있습니다.

  • 보안 그룹이나 개별 사용자에게 규칙을 할당합니다.

  • 규칙에 대한 예외를 만듭니다. 예를 들어 레지스트리 편집기(Regedit.exe)를 제외한 모든 Windows 프로세스의 실행을 허용하는 규칙을 만들 수 있습니다.

  • 감사만 모드를 사용하여 정책을 배포하고 정책 적용 전에 정책의 영향을 파악합니다.

  • 규칙을 가져오고 내보냅니다. 가져오기 및 내보내기 작업은 전체 정책에 영향을 줍니다. 예를 들어 정책을 내보낼 때는 규칙 컬렉션의 적용 설정을 비롯하여 모든 규칙 컬렉션의 모든 규칙을 내보냅니다. 그리고 정책을 가져올 때는 기존 정책을 덮어씁니다.

  • AppLocker용 Windows PowerShell cmdlet을 사용하면 AppLocker 규칙을 간편하게 만들고 관리할 수 있습니다.

AppLocker와 SRP(소프트웨어 제한 정책)는 어떻게 다릅니까?

SRP(소프트웨어 제한 정책)는 원래 Windows XP 및 Windows Server 2003에서 IT 전문가가 관리자 액세스를 필요로 하는 응용 프로그램 수를 제한하는 데 사용하도록 설계된 것입니다. Windows Vista에서 UAC(사용자 계정 컨트롤)이 도입되고 표준 사용자 계정이 강화됨에 따라, 현재는 관리자 권한을 필요로 하는 응용 프로그램의 수가 줄어들었습니다. 이에 따라 IT 관리자가 실행을 허용해야 하는 포괄적 응용 프로그램 목록을 만들도록 함으로써 원래 SRP의 목적을 확장할 수 있도록 AppLocker가 도입되었습니다.

다음 표에는 AppLocker와 SRP를 비교한 내용이 나와 있습니다.

 

기능 SRP AppLocker

규칙 범위

특정 사용자 또는 그룹(GPO별)

특정 사용자 또는 그룹(규칙별)

제공되는 규칙 조건

파일 해시, 경로, 인증서, 레지스트리 경로 및 인터넷 영역 규칙

파일 해시, 경로 및 게시자 규칙

제공되는 규칙 유형

허용 및 거부

허용 및 거부

기본 규칙 작업

허용 및 거부

거부

감사만 모드

X

O

여러 규칙을 동시에 만드는 마법사

X

O

규칙 가져오기 또는 내보내기

X

O

규칙 컬렉션

X

O

PowerShell 지원

X

O

사용자 지정 오류 메시지

X

O

파일을 설치 및 실행할 수 있는 사용자는 누구입니까?

관리자는 AppLocker를 사용하여 개별 컴퓨터에서 실행할 수 있는 파일을 제어할 수 있습니다. AppLocker 정책에서 특정 파일 실행이 명시적으로 거부되거나 허용되는 파일 중 하나로 특정 파일이 포함되지 않는 경우 관리자 그룹의 구성원이 아닌 사용자는 해당 파일을 실행할 수 없습니다.

파일을 설치하거나 실행하는 데 관리 자격 증명이 필요한 경우 관리 자격 증명을 제공할 수 없는 사용자는 AppLocker 정책에서 해당 파일이 명시적으로 허용되더라도 파일을 실행할 수 없습니다. AppLocker 정책이 적용된 상태에서도 관리 자격 증명이 필요한 파일은 관리자 그룹 구성원만 설치하거나 실행할 수 있습니다.

AppLocker를 통해 관리할 수 있는 파일 형식은 무엇입니까?

AppLocker에서는 실행 파일(.exe), Windows Installer(.msi, .msp), 스크립트(.bat, .cmd, .js, .ps1, .vbs), DLL(.dll, .ocx)의 네 가지 파일 형식을 관리할 수 있습니다. 이러한 각 파일 형식은 고유한 규칙 컬렉션에서 관리됩니다.

규칙 조건이란 무엇입니까?

규칙 조건은 AppLocker에서 규칙을 적용하는 데 사용하는 파일의 속성입니다. 각 AppLocker 규칙은 주 규칙 조건 하나를 사용할 수 있습니다. AppLocker에서는 다음의 세 가지 규칙 조건을 사용할 수 있습니다.

  • 게시자 규칙 조건: 소프트웨어 게시자가 디지털 서명한 파일에만 사용할 수 있습니다. 이 조건 유형은 디지털 인증서(게시자 이름 및 제품 이름)와 파일의 속성(파일 이름 및 파일 버전)을 사용합니다. 전체 제품군에 대해 이 규칙 유형을 만들 수 있으며, 그러면 응용 프로그램을 업데이트할 때 대부분의 경우 규칙이 계속 적용됩니다.

  • 경로 규칙 조건: 특정 응용 프로그램의 파일 또는 폴더 설치 경로를 기반으로 합니다.

  • 파일 해시 규칙 조건: Windows에서 각 파일에 대해 암호화 방식으로 계산하는 고유한 파일 해시를 기반으로 합니다. 이 조건 유형은 각 파일마다 고유하므로 게시자가 파일을 업데이트할 때마다 새 규칙을 만들어야 합니다.

휴대용 장치의 실행 파일에 AppLocker 정책이 적용됩니까?

예. AppLocker를 통해 컴퓨터에서 권한이 없는 실행 파일을 실행하지 못하도록 지정할 수 있습니다. 그러나 응용 프로그램을 악의적인 방식으로 수정하는 작업을 차단할 수는 없습니다. 따라서 AppLocker 규칙은 실행 파일의 위치(예: 네트워크, USB 드라이브, 메일 첨부 파일)에 관계없이 적용됩니다. 예를 들어 USB 드라이브에서 호스팅되는 응용 프로그램에 대한 AppLocker 규칙이 운영 체제에 있는 경우 악의적인 사용자가 응용 프로그램을 변경하면 해당 운영 체제에서 응용 프로그램을 실행할 수 없습니다.

AppLocker는 이진 서명이 여전히 유효한지 여부를 정의할 때 인증서 해지를 확인합니까?

예. AppLocker는 이진 서명을 확인하는 중에 인증서 해지를 확인합니다. 그러나 인증서가 허용된 후에 해지되면 24시간 후에 해지가 적용됩니다.

규칙에 대한 거부 작업이 항상 우선적으로 수행됩니까?

예. 그러나 AppLocker에는 규칙에 대한 거부 작업에 예외를 지정할 수 있는 기능이 있습니다. 거부 작업이나 허용 작업에 적용할 수 있는 규칙 예외를 활용하면 규칙에서 제외할 파일이나 폴더를 지정할 수 있습니다. 예를 들어 모든 사용자 그룹이 regedit.exe를 제외한 Windows 폴더의 모든 응용 프로그램을 실행하도록 허용하는 규칙을 만들고 기술 지원팀 그룹이 regedit.exe를 실행하도록 허용하는 다른 규칙을 만들 수 있습니다. 그러나 regedit.exe에 대한 명시적 거부 작업이 있으면 기술 지원팀 그룹에게 regedit.exe 액세스를 허용하는 다른 어떤 규칙도 해당 규칙보다 먼저 적용되지 않습니다.

AppLocker 정책 계획 및 배포

AppLocker 규칙이 지원되는 Windows 7 및 Windows Server 2008 R2 버전은 무엇입니까?

Windows 7 Ultimate, Windows 7 Enterprise 또는 모든 버전의 Windows Server 2008 R2(Windows Web Server 2008 R2 및 Windows Server 2008 R2 Foundation 제외)를 실행하는 컴퓨터에서 AppLocker 규칙을 적용할 수 있습니다.

AppLocker 규칙을 만드는 데 사용할 수 있는 Windows 버전은 무엇입니까?

로컬 컴퓨터에 대한 규칙을 만들려면 컴퓨터에서 Windows 7 Ultimate 또는 Windows 7 Enterprise를 실행해야 합니다. GPO(그룹 정책 개체)에 대한 규칙을 만들려면 Windows 7의 모든 버전(원격 서버 관리 도구가 설치되어 있어야 함)을 실행하는 컴퓨터를 사용할 수 있습니다. 모든 버전의 Windows Server 2008 R2에서 AppLocker 규칙을 만들 수 있습니다. Windows 7 Professional 실행 컴퓨터에서 AppLocker 규칙을 만들 수는 있지만, 이러한 컴퓨터에 규칙이 적용되지는 않습니다. 그러나 Windows 7 Professional 실행 컴퓨터에서 규칙을 만든 다음 AppLocker 규칙 적용을 지원하는 Windows 버전을 실행하는 컴퓨터에서 구현하도록 정책을 내보낼 수는 있습니다.

SRP 규칙을 AppLocker 규칙으로 마이그레이션할 수 있습니까?

아니요, 직접 마이그레이션할 수는 없습니다. AppLocker는 Windows Server 2008 R2 및 Windows 7에서 새롭게 제공되는 기능이므로 AppLocker 규칙은 SRP 규칙과 같은 기술을 기반으로 하지 않습니다. 따라서 기존 SRP 규칙을 면밀하게 분석하여 새로운 AppLocker 규칙과의 개념적 일치 방식을 확인해야 합니다.

기본 AppLocker 규칙 작업을 구성할 수 있습니까?

기본 규칙 작업은 AppLocker 규칙 컬렉션에서 구체적으로 허용되는 응용 프로그램만 실행하는 것입니다. 기본 규칙 동작을 구성하는 설정은 없지만, AppLocker의 기본 규칙 컬렉션을 사용하여 기본 규칙 동작을 재정의할 수 있습니다. 이렇게 하려면 경로 조건을 *로 설정하여 허용 규칙을 만듭니다. 이 구성을 사용하면 모든 파일을 실행할 수 있습니다. 그러면 특정 파일을 차단하는 거부 규칙을 만들 수 있습니다.

기본 규칙 작업을 변경할 수 없는 이유는 무엇입니까?

조직에서 응용 프로그램을 안전하고 관리가 용이한 방식으로 제어하려면 거부되는 파일을 지정하기보다 허용되는 파일을 지정하는 것이 좋습니다. 처음에는 거부 목록을 사용하면 규칙을 보다 쉽게 설정할 수 있지만, 환경을 제한하려는 조직의 경우 허용되는 파일 목록을 만드는 것보다 특정 파일을 차단하는 데 규칙이 훨씬 많이 필요합니다.

AppLocker 규칙을 적용하기 전에 테스트할 수 있습니까?

예. AppLocker의 감사만 적용 모드를 사용하여 규칙을 적용하기 전에 테스트할 수 있습니다. 규칙이 구현되면 차단된 응용 프로그램은 AppLocker 로그에 경고 이벤트로 기록됩니다.

AppLocker 규칙을 특정 사용자나 그룹에 적용할 수 있습니까?

예. 특정 사용자나 그룹에 대해 규칙을 만들 수 있습니다. 그러나 규칙은 사용자나 그룹당 하나만 적용할 수 있습니다. 모든 사용자(모든 사용자 그룹)에게 적용할 AppLocker 규칙을 만든 다음 해당 GPO를 특정 컴퓨터 그룹에 적용할 수도 있습니다.

AppLocker 규칙을 사용하려면 도메인 컨트롤러를 업그레이드해야 합니까?

아니요. 도메인 컨트롤러를 업데이트하지 않아도 됩니다. Windows Server 2003 또는 Windows Server 2008을 실행하는 기존 도메인 컨트롤러를 사용해 AppLocker 정책을 호스팅할 수 있습니다. 그러나 Windows Server 2003 또는 Windows Server 2008을 실행하는 컴퓨터를 사용하여 AppLocker 규칙을 만들 수는 없습니다.

AppLocker는 서비스를 사용하여 규칙을 적용합니까?

예. AppLocker는 AppIDSvc(응용 프로그램 ID 서비스)를 사용하여 규칙을 적용합니다. AppLocker 규칙을 적용하려면 GPO에서 이 서비스가 자동으로 시작되도록 설정해야 합니다.

DLL 규칙은 어떻게 만듭니까?

GPO에서 DLL 규칙을 만들려면 DLL 규칙 컬렉션을 사용하도록 설정해야 합니다. DLL 규칙 컬렉션은 기본적으로 사용할 수 없도록 설정되어 있습니다.

DLL 규칙 컬렉션이 기본적으로 사용할 수 없도록 설정되는 이유는 무엇입니까?

DLL 관리 작업은 까다로울 수 있습니다. 각 응용 프로그램에서 특정 DLL 실행을 허용해야 하며, 한 응용 프로그램에서 여러 DLL을 시작할 수도 있습니다. 따라서 AppLocker를 보다 효율적으로 사용하기 위해 DLL 규칙을 구현할 수 있습니다. DLL 규칙을 잘못 구성하면 응용 프로그램 호환성 문제가 발생할 수 있으며, AppLocker는 DLL 실행을 허용하기 전에 매번 DLL 허용 여부를 확인하기 때문에 이벤트 로그에 많은 AppLocker 이벤트가 생성될 수 있습니다. 그러므로 규칙 컬렉션을 사용하도록 설정하기 전에 DLL 규칙을 주의 깊게 계획해야 합니다.

특정 소프트웨어 게시자의 응용 프로그램을 제외한 모든 응용 프로그램을 차단할 수 있습니까?

예. 이렇게 하려면 특정 소프트웨어 게시자가 서명한 모든 파일의 실행을 허용하는 게시자 조건 규칙을 만들면 됩니다. 동적으로 작성되는 일부 이진 파일의 경우에는 경로 규칙 조건을 만들 수 있습니다.

note참고
규칙을 적용하기 전에 응용 프로그램 목록에 원하는 항목이 모두 포함되어 있는지 확인하려면 감사만 적용 모드를 사용합니다.

응용 프로그램 시작 시 성능이 영향을 받습니까?

일반적으로는 AppLocker 규칙을 적용해도 응용 프로그램 시작 시에 사용자가 체감할 수 있는 차이는 없습니다. 대부분의 정책과 마찬가지로 정책 확인이나 설정 시 추가 오버헤드는 발생하지 않습니다. 단, AppLocker는 각 DLL을 확인하기 때문에 DLL 규칙 컬렉션을 적용할 때 응용 프로그램이 많은 DLL을 로드하는 경우에는 응용 프로그램 시작 시 성능이 저하될 수 있습니다.

AppLocker는 App-V(응용 프로그램 가상화) 응용 프로그램을 차단합니까?

예. 그러나 다음의 몇 가지 사항을 고려해야 합니다.

  • AppLocker 규칙을 사용하도록 설정하는 경우 허용 작업이 포함된 경로 규칙 조건을 App-V 설치 경로에 대해 설정해야 합니다.

  • App-V를 기본 위치에 설치하는 경우 기본 AppLocker 규칙만 생성해도 App-V 실행이 허용됩니다.

AppLocker 정책 관리

AppLocker 규칙이 적용되지 않는 이유는 무엇입니까?

AppLocker 규칙을 적용할 수 없는 가장 일반적인 이유는 다음과 같습니다.

  • AppIDsvc(응용 프로그램 ID 서비스)가 실행되고 있지 않습니다.

  • 규칙 적용이 감사만으로 설정되어 있습니다.

클라이언트 컴퓨터에서 AppLocker 이벤트를 확인하려면 어떻게 해야 합니까?

AppLocker 이벤트를 확인하려면 이벤트 전달 기능인 이벤트 뷰어(eventvwr.msc)나 Get-WinEvent Windows PowerShell cmdlet을 사용하면 됩니다.

원격 데스크톱을 사용해 클라이언트 컴퓨터에 로그온하거나 해당 컴퓨터에 실제로 로그온하여 AppLocker 이벤트를 확인 또는 수집할 수 있습니다.

이벤트 뷰어에서 AppLocker 이벤트는 Applications and Services Logs\Microsoft\Windows\AppLocker 위치의 로그에 저장됩니다. 두 개의 자식 로그가 있는데, 하나는 실행 파일과 DLL용 로그이고 다른 하나는 Windows Installer 파일과 스크립트용 로그입니다.

규칙이 너무 제한적이고 Windows가 제대로 작동하지 않거나 시작되지 않으면 어떻게 해야 합니까?

AppLocker가 사용하도록 설정되어 있으면 지정된 응용 프로그램만 실행이 허용됩니다. 규칙을 처음 만들 때 AppLocker에서 기본 규칙을 만들라는 메시지가 표시됩니다. 이러한 기본 규칙은 주요 Windows 시스템 파일 및 Program Files 디렉터리의 모든 파일 실행을 허용합니다. 기본 규칙을 반드시 사용해야 하는 것은 아니지만, 처음에는 기본 규칙을 사용하고 Windows가 제대로 작동하도록 기본 규칙을 필요한 대로 편집하거나 새 규칙을 직접 만드는 것이 좋습니다.

AppLocker 정책으로 인해 컴퓨터가 제대로 시작되지 않으면 해당하는 GPO에서 AppLocker 규칙을 편집하여 제한을 완화하십시오. AppLocker 규칙이 컴퓨터의 로컬 정책에 정의되어 있는 경우에는 컴퓨터를 안전 모드로 시작하여 기본 AppLocker 규칙을 만든 후에 컴퓨터를 다시 시작하십시오.

명령줄을 통해 AppLocker를 제어할 수 있습니까?

예. AppLocker는 AppLocker 정책 관리 작업을 도와 주는 Windows PowerShell cmdlet을 제공합니다. 이러한 cmdlet을 사용하면 AppLocker 정책을 쉽게 작성, 테스트 및 유지 관리하고 관련 문제를 해결할 수 있습니다. cmdlet은 사용자 인터페이스는 로컬 보안 정책 스냅인 및 그룹 정책 관리 콘솔에 대한 MMC(Microsoft Management Console) 스냅인 확장을 통해 액세스하는 AppLocker 사용자 인터페이스와 함께 사용해야 합니다.

가상 컴퓨터를 통해 AppLocker를 관리할 수 있습니까?

아니요. 가상 컴퓨터는 별도의 이미지이므로 AppLocker 정책을 호스팅하는 컴퓨터의 정책 파일에 액세스할 수 없습니다.

단일 사용자에게 정책 예외를 적용하는 등의 긴급 관리 작업을 원격 데스크톱에서 수행할 수 있습니까?

일부 작업은 원격 데스크톱을 통해 수행할 수 있습니다. 도메인 GPO나 로컬 GPO 또는 두 GPO를 모두 사용해 AppLocker 정책을 적용할 수 있습니다. 사용자가 응용 프로그램 액세스 권한을 요청하는 경우 Windows PowerShell cmdlet 중 하나를 사용하거나 로컬 보안 정책 스냅인(secpol.msc)을 사용하여 해당 응용 프로그램을 임시로 허용하는 로컬 규칙을 추가할 수 있습니다. 두 경우 모두 관리자 권한이 있어야 합니다. 이 작업은 원격 데스크톱을 사용하거나 Windows PowerShell 원격 액세스 기능을 사용해 수행할 수 있습니다.

실수를 한 경우 관리자가 정책을 실행 취소하거나 수정할 수 있습니까?

AppLocker에서 작업 실행을 취소할 수는 없습니다. 그러나 정책이 적용될 때까지는 약간 지연되므로 AppLocker 스냅인이 계속 열려 있으면 규칙을 변경할 수 있습니다. 도메인에 가입된 클라이언트 컴퓨터로 정책이 전파되려면 다소 시간이 걸리므로, 잘못된 규칙이 있으면 적용되기 전에 삭제하고 올바른 규칙을 만들 수 있습니다.

Caution주의
그룹 정책에서 적용되는 중인 AppLocker 규칙 컬렉션은 편집하면 안 됩니다. AppLocker는 실행이 허용되는 파일을 제어하므로, 적용 중인 정책을 변경하면 예기치 않은 동작이 수행될 수 있습니다.

사용 권한이나 규칙을 백업할 수 있습니까?

예. 세 가지 방법으로 백업할 수 있습니다.

  • GPMC를 사용하여 GPO 백업(도메인 정책에 한함)

  • AppLocker 스냅인을 사용하여 AppLocker 정책 내보내기

  • Get-AppLockerPolicy Windows PowerShell cmdlet을 사용해 정책을 내보내는 스크립트 만들기

AppLocker를 통해 하루 중에 응용 프로그램을 사용할 수 있는 시간대를 지정할 수 있습니까?

아니요. AppLocker를 사용하여 응용 프로그램이 하루 중의 특정 시간에 실행되도록 하거나 하루에 응용 프로그램을 실행할 수 있는 시간을 제한할 수는 없습니다.

관리자만 AppLocker 정책을 변경할 수 있는 이유는 무엇입니까?

컴퓨터에 로그온되어 있는 표준 사용자가 응용 프로그램 추가 또는 액세스를 위해 AppLocker 규칙을 수정하지 못하도록 하기 위해서입니다. 도메인에 가입된 컴퓨터에서 컴퓨터 관리자는 도메인 GPO에 설명된 대로 도메인 수준 규칙과 병합할 수 있는 AppLocker 규칙을 만들 수 있습니다.

특정 컴퓨터 사용자가 프로그램에 액세스하도록 허용하고 다른 사용자의 액세스는 거부하는 AppLocker 규칙을 만들 수 있습니까?

예. 특정 사용자 및 그룹을 대상으로 AppLocker 규칙을 만들 수 있습니다. 같은 응용 프로그램에 대해 원하는 수만큼 규칙을 만들 수 있습니다. 예를 들어 재무 그룹에서 winword.exe를 실행하도록 허용하는 규칙을 만들고 인사 그룹에서 winword.exe를 실행하도록 허용하는 두 번째 규칙을 만들 수 있습니다.

특정 사용자가 응용 프로그램을 실행 또는 설치하도록 임시로 허용하려면 어떻게 해야 합니까?

여러 가지 방법이 있으며 가장 효율적인 방법은 관리 작업 방식에 따라 다릅니다. 다음과 같은 방법을 사용할 수 있습니다.

  • AppLocker가 당분간 응용 프로그램을 차단하지 않도록 관련 규칙 컬렉션에 대한 적용 모드를 감사만으로 설정할 수 있습니다. 나중에 준비가 되면 적용 모드를 규칙 적용으로 변경하면 됩니다.

  • 별도의 규칙 집합을 가지지만 사용자의 특정 응용 프로그램 실행을 차단하지는 않는 OU(조직 구성 단위)를 만들 수 있습니다. 사용자가 업데이트나 응용 프로그램을 설치하는 동안 일시적으로 사용자를 이 OU로 이동했다가 작업이 끝나면 원래 규칙이 적용되었던 OU로 사용자를 다시 이동하면 됩니다.

AppLocker는 규칙 충돌을 검색할 수 있습니까?

아니요. 그러나 Windows PowerShell cmdlet Get-AppLockerPolicyTest-AppLockerPolicy를 사용하여 AppLocker 정책을 기준으로 특정 파일이 허용되는지를 확인할 수는 있습니다. 또한 참조 컴퓨터를 사용하는 등의 방법으로 중복 정책을 만들 수도 있습니다. 이렇게 하면 정책을 배포하기 전에 테스트하여 원하는 결과가 제공되는지를 확인할 수 있습니다.

AppLocker 정책을 사용하려면 도메인 및 그룹 정책 인프라가 필요합니까?

아니요. AppLocker는 Windows 7 Ultimate 또는 Windows 7 Enterprise를 실행하는 독립 실행형 컴퓨터에서 실행할 수 있습니다. AppLocker의 내보내기/가져오기 기능을 사용하면 이러한 컴퓨터로 규칙을 배포할 수 있습니다.

note참고
운영 체제 파일의 실행을 차단하는 너무 제한적인 목록을 만들지 않도록 주의하십시오. 이러한 목록을 만들지 않으려면 먼저 기본 규칙을 정의한 후에 제한을 필요한 대로 점차 적용하면 됩니다.

게시자 규칙을 가지고 있는 파일에 대해 인증서가 만료되면 어떻게 됩니까? AppLocker는 타임스탬프를 지원합니까?

규칙이 적용되어 있는 상태에서 응용 프로그램 인증서가 만료되면 이진 파일 실행이 차단됩니다. 타임스탬프가 인증서 서명 유효 기간과 인증서 체인에 있는 인증서의 타임스탬프 유효 기간에 모두 포함되어야 이진 파일이 서명된 것으로 간주됩니다.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft