내보내기(0) 인쇄
모두 확장

AppLocker 정책 테스트 및 업데이트

업데이트 날짜: 2009년 11월

적용 대상: Windows 7, Windows Server 2003 R2, Windows Server 2008 R2

이 항목에서는 배포 전 AppLocker 정책을 테스트하는 데 필요한 단계에 대해 설명합니다.

각 규칙 집합을 테스트하여 규칙이 제대로 동작하는지 확인해야 합니다. 그룹 정책을 사용하여 AppLocker 정책을 관리하는 경우 AppLocker 규칙을 만든 각 GPO(그룹 정책 개체)에 대해 다음 단계를 완료합니다. AppLocker 규칙은 연결된 GPO에서 상속되므로, 모든 테스트 GPO에서 동시에 테스트를 진행할 수 있도록 모든 규칙을 배포해야 합니다.

1단계: '감사만' 적용 설정 사용

감사만 적용 설정을 사용하면 이미 만든 AppLocker 규칙이 조직에 맞게 올바르게 구성되었는지 확인할 수 있습니다. AppLocker 속성 대화 상자의 적용 탭에서 이 설정을 사용하도록 지정할 수 있습니다. 이 작업을 수행하는 절차는 감사만 하도록 AppLocker 정책 구성을 참조하십시오.

2단계: Application Identity 서비스가 자동으로 시작되도록 구성

AppLocker에서는 Application Identity 서비스를 사용하여 파일의 특성을 확인하므로 AppLocker 규칙을 적용하는 하나의 GPO에서 이 서비스가 자동으로 시작되도록 구성해야 합니다. 이 작업을 수행하는 절차는 Application Identity 서비스 구성을 참조하십시오. GPO에서 관리되지 않는 AppLocker 정책의 경우 해당 정책을 적용하려면 이 서비스가 각 컴퓨터에서 실행되고 있어야 합니다.

3단계: 정책 테스트

AppLocker 정책을 테스트하여 규칙 컬렉션을 수정해야 하는지 확인합니다. AppLocker 규칙을 만들고 Application Identity 서비스와 감사만 적용 설정을 사용하도록 지정했으므로 AppLocker 정책을 받도록 구성된 모든 클라이언트 컴퓨터에 AppLocker 정책이 있어야 합니다.

Test-AppLockerPolicy Windows PowerShell cmdlet을 사용하면 규칙 컬렉션에 포함된 규칙 중 참조 컴퓨터에서 차단되는 규칙이 있는지를 확인할 수 있습니다. 이 작업을 수행하는 절차는 Test-AppLockerPolicy를 사용하여 AppLocker 정책 테스트를 참조하십시오.

4단계: AppLocker 이벤트 분석

AppLocker 이벤트를 수동으로 분석하거나 Get-AppLockerFileInformation Windows PowerShell cmdlet을 사용하여 분석을 자동화할 수 있습니다.

AppLocker 이벤트를 수동으로 분석하려면

이벤트 뷰어나 텍스트 편집기에서 이벤트를 보고 이를 정렬하여 응용 프로그램 사용 이벤트의 패턴, 액세스 빈도 또는 사용자 그룹별 액세스를 확인하는 등의 분석을 수행할 수 있습니다. 이벤트 구독을 구성하지 않은 경우에는 조직에서 샘플링한 컴퓨터에 대한 로그를 검토해야 합니다. 이벤트 뷰어를 사용하는 방법에 대한 자세한 내용은 이벤트 뷰어에서 AppLocker 로그 확인을 참조하십시오.

Get-AppLockerFileInformation을 사용하여 AppLocker 이벤트를 분석하려면

Get-AppLockerFileInformation Windows PowerShell cmdlet을 사용하여 원격 컴퓨터에서 AppLocker 이벤트를 분석할 수 있습니다. 차단되고 있는 응용 프로그램을 허용해야 하는 경우 AppLocker cmdlet을 사용하면 문제를 쉽게 해결할 수 있습니다.

이벤트 구독과 로컬 이벤트의 경우 Get-AppLockerFileInformation cmdlet을 사용하여 차단되었거나 차단되었을(감사만 적용 모드를 사용하는 경우) 파일과 각 파일에 대해 이벤트가 발생한 횟수를 확인할 수 있습니다. 이 작업을 수행하는 절차는 Get-AppLockerFileInformation을 사용하여 AppLocker 이벤트 검토를 참조하십시오.

Get-AppLockerFileInformation을 사용하여 파일이 실행 차단된 횟수를 확인한 후에는 규칙 목록을 검토하여 차단된 파일에 대한 새 규칙을 만들어야 하는지 여부나 기존 규칙이 너무 엄격하게 정의되어 있는지 여부를 검토해야 합니다. 현재 해당 파일의 실행을 차단하고 있는 GPO를 확인해야 합니다. 이를 확인하려면 그룹 정책 결과 마법사를 사용하여 규칙 이름을 확인합니다.

5단계: AppLocker 정책 수정

편집하거나 정책에 추가해야 하는 규칙을 확인한 후에는 그룹 정책 관리 콘솔을 사용하여 관련 GPO의 AppLocker 규칙을 수정할 수 있습니다. GPO에서 관리되지 않는 AppLocker 정책의 경우 로컬 보안 정책 스냅인을 사용할 수 있습니다. AppLocker 정책을 수정하는 방법에 대한 자세한 내용은 AppLocker 정책 편집을 참조하십시오.

6단계: 정책 테스트, 분석 및 정책 수정 반복

모든 규칙이 제대로 동작할 때까지 위의 3~5단계를 반복한 후에 규칙을 적용해야 합니다.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft