내보내기(0) 인쇄
모두 확장

AppLocker 기술 개요

게시: 2012년 2월

업데이트 날짜: 2012년 10월

적용 대상: Windows 8 Enterprise, Windows Server 2012

AppLocker™에 대해 설명하는 이 IT 전문가용 기술 개요는 AppLocker 정책을 배포할 경우 이점을 얻을 수 있는지를 확인하는 데 도움이 됩니다. AppLocker는 Windows Server 2012, Windows Server 2008 R2, Windows 8 및 Windows 7의 응용 프로그램 제어 기능입니다.

관리자는 AppLocker를 통해 사용자가 실행할 수 있는 응용 프로그램 및 파일을 제어할 수 있습니다. 여기에는 실행 파일, 스크립트, Windows® Installer 파일, DLL, 패키지된 앱 및 패키지된 앱 설치 관리자가 포함됩니다.

AppLocker를 사용하여 다음과 같은 작업을 수행할 수 있습니다.

  • 게시자 이름(디지털 서명에서 파생), 제품 이름, 파일 이름, 파일 버전 등 응용 프로그램 업데이트 중에 유지되는 파일 특성을 기반으로 규칙을 정의합니다. 파일 경로와 해시를 기반으로 규칙을 만들 수도 있습니다.

  • 보안 그룹이나 개별 사용자에게 규칙을 할당합니다.

  • 규칙에 대한 예외를 만듭니다. 예를 들어 모든 사용자가 레지스트리 편집기(Regedit.exe)를 제외한 모든 Windows 바이너리를 실행하도록 허용하는 규칙을 만들 수 있습니다.

  • 감사만 모드를 사용하여 정책을 배포하고 정책 적용 전에 정책의 영향을 파악합니다.

  • 준비 서버에서 규칙을 만들고 테스트한 다음 프로덕션 환경으로 내보내고 그룹 정책 개체로 가져옵니다.

  • AppLocker용 Windows PowerShell cmdlet을 사용하면 AppLocker 규칙을 간편하게 만들고 관리할 수 있습니다.

AppLocker는 관리 오버헤드를 줄이고, 사용자가 승인되지 않은 응용 프로그램을 실행해 발생하는 기술 지원팀의 통화 횟수를 줄임으로써 조직의 컴퓨팅 리소스 관리 비용을 절감하는 데 유용합니다. AppLocker는 다음과 같은 응용 프로그램 보안 시나리오를 해결합니다.

  • 응용 프로그램 인벤토리

    AppLocker에는 모든 응용 프로그램 액세스 작업이 이벤트 로그에 등록되는 감사 전용 모드에서 정책을 적용할 수 있는 기능이 있습니다. 이러한 이벤트는 추가 분석을 위해 수집할 수 있습니다. Windows PowerShell cmdlet을 사용하여 이 데이터를 프로그래밍 방식으로 분석할 수도 있습니다.

  • 사용자 동의 없이 설치되는 소프트웨어로부터 보호

    AppLocker에는 허용되는 응용 프로그램 목록에서 제외된 응용 프로그램 실행을 거부하는 기능이 있습니다. 프로덕션 환경에서 AppLocker 규칙을 적용하면 허용 목록에 포함되지 않은 응용 프로그램의 실행이 차단됩니다.

  • 라이선싱 준수

    AppLocker에서는 사용이 허가되지 않은 소프트웨어 실행을 차단하고 사용이 허가된 소프트웨어를 권한이 있는 사용자만 사용할 수 있도록 제한하는 규칙을 만들 수 있습니다.

  • 소프트웨어 표준화

    지원되거나 승인된 응용 프로그램만 비즈니스 그룹 내 컴퓨터에서 실행할 수 있도록 AppLocker 정책을 구성할 수 있습니다. 이렇게 하면 보다 일관되게 응용 프로그램을 배포할 수 있습니다.

  • 관리 효율성 향상

    AppLocker에서는 이전 버전인 SRP(소프트웨어 제한 정책)와 비교할 때 다양한 관리 효율성 기능이 개선되었습니다. SRP에 비해 개선된 기능으로는 정책 가져오기/내보내기, 여러 파일에서의 규칙 자동 생성, 감사 전용 모드 배포, PowerShell cmdlet 등이 있습니다.

대부분의 조직에서 정보는 가장 중요한 자산이므로 승인된 사용자만 정보에 액세스할 수 있도록 해야 합니다. AD RMS(Active Directory Rights Management Services) 및 ACL(액세스 제어 목록)과 같은 액세스 제어 기술은 사용자가 액세스할 수 있는 항목을 제어하는 데 유용합니다. 그러나 사용자가 프로세스를 실행할 때 이 프로세스의 액세스 수준은 사용자 소유의 데이터에 대한 액세스 수준과 동일합니다. 따라서 사용자가 의도적으로 또는 실수로 악성 소프트웨어를 실수하는 경우 중요한 정보가 쉽게 삭제되거나 조직 외부로 전송될 수 있습니다. AppLocker는 사용자 또는 그룹이 실행할 수 있는 파일을 제한함으로써 이러한 유형의 보안 위반을 완화할 수 있습니다.

현재 소프트웨어 게시자는 많은 응용 프로그램을 관리자가 아닌 표준 사용자가 설치할 수 있도록 만들기 시작하고 있습니다. 이로 인해 조직의 서면 보안 정책이 위험해질 수 있으며, 표준 사용자가 응용 프로그램을 설치할 수 없도록 하는 기존의 응용 프로그램 제어 솔루션을 피해갈 수 있습니다. AppLocker는 관리자가 승인된 파일 및 응용 프로그램의 허용되는 목록을 만들도록 함으로써 이러한 사용자별 응용 프로그램의 실행을 차단합니다. AppLocker는 dll을 제어할 수 있으므로 ActiveX 컨트롤 설치 및 실행을 제어하는 데도 유용합니다.

AppLocker는 그룹 정책을 사용하여 Windows 기반 컴퓨터를 관리하고 있는 조직에 적합합니다. AppLocker는 작성 및 배포 시 그룹 정책을 사용하므로 그룹 정책 사용 환경에서 효율적입니다.

다음은 AppLocker를 사용할 수 있는 시나리오의 예입니다.

  • 조직의 보안 정책을 통해 사용이 허가된 소프트웨어만 사용하도록 규정하여 사용이 허가되지 않은 소프트웨어를 사용자들이 실행하지 못하도록 해야 하며, 권한이 있는 사용자만 사용이 허가된 소프트웨어를 사용하도록 제한해야 하는 경우

  • 응용 프로그램을 조직에서 더 이상 지원하지 않아 모든 사용자가 해당 응용 프로그램을 사용하지 못하도록 해야 하는 경우

  • 사용자 동의 없이 설치되는 소프트웨어가 사용 환경에 침입할 수 있는 가능성이 높아 이 위협을 줄여야 하는 경우

  • 조직에서 응용 프로그램에 대한 라이선스가 해지되었거나 만료되어 모든 사용자가 해당 응용 프로그램을 사용하지 못하도록 해야 하는 경우

  • 새 응용 프로그램이나 새 버전의 응용 프로그램이 배포되어 사용자들이 이전 버전을 실행하지 못하도록 해야 하는 경우

  • 특정 소프트웨어 도구가 조직 내에서 허용되지 않거나 특정 사용자만 이러한 도구에 액세스해야 하는 경우

  • 단일 사용자 또는 소규모 사용자 그룹이 다른 모든 사용자에게 거부된 특정 응용 프로그램을 사용해야 하는 경우

  • 조직의 일부 컴퓨터가 사용해야 하는 소프트웨어를 서로 다른 사용자가 공유하는 경우

  • 다른 방법 외에도 응용 프로그램을 사용하여 중요한 데이터에 대한 액세스를 제어해야 하는 경우

AppLocker는 조직 내의 디지털 자산을 보호하고, 사용 환경에 악성 소프트웨어가 침입하는 위협을 줄이며, 응용 프로그램 제어의 관리와 응용 프로그램 제어 정책의 유지 관리를 향상시키는 데 유용합니다.

지원되는 버전

AppLocker 정책은 Windows 운영 체제인 아래 버전을 실행하는 컴퓨터에서만 구성 및 적용할 수 있습니다.

  • Windows Server 2008 R2 Standard

  • Windows Server 2008 R2 Enterprise

  • Windows Server 2008 R2 Datacenter

  • Windows Server 2008 R2 for Itanium-Based Systems

  • Windows 7 Ultimate

  • Windows 7 Enterprise

  • Windows Server 2012 Standard

  • Windows Server 2012 Datacenter

  • Windows 8 Enterprise

note참고
로컬 컴퓨터에 대한 규칙을 만들려면 컴퓨터에서 Windows 7 Ultimate, Windows 7 Enterprise 또는 Windows 8의 엔터프라이즈급 버전을 실행해야 합니다. GPO(그룹 정책 개체) 규칙을 만들려는 경우 모든 Windows 7 또는 Windows 8 버전을 실행하는 컴퓨터를 사용할 수 있습니다. 단, 원격 서버 관리 도구가 설치되어 있어야 합니다. AppLocker 규칙은 모든 버전의 Windows Server 2008 R2 또는 Windows Server 2012에서 만들 수 있습니다. Windows 7 Professional을 실행하는 컴퓨터에서 AppLocker 규칙을 만들 수는 있지만, 이러한 컴퓨터에 규칙이 적용되지는 않습니다. 그러나 Windows 7 Professional을 실행하는 컴퓨터에서 규칙을 만든 다음 AppLocker 규칙 적용을 지원하는 Windows 버전을 실행하는 컴퓨터에서 구현하도록 정책을 내보낼 수는 있습니다.

상호 운용성 고려 사항

실행 파일, Dll, Windows Installer 및 스크립트 규칙을 포함하는 AppLocker 정책은 Windows Server 2008 R2, Windows Server 2012, Windows 7 및 Windows 8 지원 버전을 실행하는 컴퓨터에 적용할 수 있습니다. 패키지된 앱과 패키지된 앱 설치 관리자에 대한 규칙을 포함하는 AppLocker 정책은 Windows Server 2008 R2, Windows Server 2012, Windows 8 및 Windows 7 지원 버전을 실행하는 컴퓨터에도 적용할 수 있습니다. 그러나 패키지된 앱 규칙 컬렉션은 Windows Server 2012 및 Windows 8 지원 버전을 실행하는 컴퓨터에만 적용됩니다.

버전 간 기능 차이

아래 표에는 각 운영 체제 버전에서의 AppLocker에 대한 주요 기능 차이가 나와 있습니다.

 

기능 Windows Server 2008 R2 및 Windows 7 Windows Server 2012 및 Windows 8

패키지된 앱 및 패키지된 앱 설치 관리자에 대한 규칙을 설정할 수 있습니다.

아니요

AppLocker 정책은 그룹 정책을 통해 유지 관리되며, 컴퓨터의 관리자만 AppLocker 정책을 업데이트할 수 있습니다.

AppLocker를 사용할 경우 사용자를 지원 웹 페이지로 안내하기 위해 오류 메시지를 사용자 지정할 수 있습니다.

소프트웨어 제한 정책과 함께 실행할 수 있는 기능(개별 GPO 사용)

AppLocker는 관리 및 유지 관리에 도움이 되는 일부 PowerShell cmdlet을 지원합니다.

AppLocker 규칙이 제어할 수 있는 파일 형식

  • .exe

  • .com

  • .ps1

  • .bat

  • .cmd

  • .vbs

  • .js

  • .msi

  • .msp

  • .dll

  • .ocx

  • .exe

  • .com

  • .ps1

  • .bat

  • .cmd

  • .vbs

  • .js

  • .msi

  • .msp

  • .mst

  • .dll

  • .ocx

  • .appx

소프트웨어 제한 정책과 AppLocker의 응용 프로그램 제어 기능을 비교한 내용과 두 기능을 함께 사용하는 방법에 대한 자세한 내용은 AppLocker 및 소프트웨어 제한 정책을 함께 사용을 참조하십시오.

AppLocker 정책은 지원되는 Windows 운영 체제 버전을 실행하는 컴퓨터에서만 구성 및 적용할 수 있으며, 그룹 정책은 AppLocker 정책을 포함하는 그룹 정책 개체를 배포하는 데 필요합니다. 자세한 내용은 이 항목의 버전, 상호 운용성 및 기능의 차이을 참조하십시오.

AppLocker 규칙은 도메인 컨트롤러에서 만들 수 있습니다.

패키지된 앱 및 패키지된 앱 설치 관리자에 대한 규칙을 작성하는 기능은 Windows Server 2008 R2 및 Windows 7에서 사용할 수 없습니다.

AppLocker는 엔터프라이즈급 Windows 버전에 포함되어 있습니다. 단일 컴퓨터 또는 컴퓨터 그룹에 대해 AppLocker 규칙을 작성할 수 있습니다. 단일 컴퓨터의 경우 로컬 보안 정책 편집기(secpol.msc)를 사용하여 규칙을 작성할 수 있으며, 컴퓨터 그룹의 경우 그룹 정책 관리 콘솔을 사용하여 그룹 정책 개체 내에서 규칙을 작성할 수 있습니다. GPMC는 원격 서버 관리 도구를 설치하고 Windows 서버에 대해 그룹 정책 관리 기능을 설치해야 Windows 클라이언트 컴퓨터에서 사용할 수 있습니다.

Windows PowerShell을 사용하면 AppLocker cmdlet 및 그룹 정책 cmdlet(GPO 내에서 관리되는 경우)을 통해 Server Core 설치에서 AppLocker를 관리할 수 있습니다. 자세한 내용은 AppLocker PowerShell 명령 참조를 참조하십시오.

위에 나와 있는 시스템 요구 사항이 모두 충족된다면 가상화된 Windows 인스턴스를 사용하여 AppLocker 정책을 관리할 수 있습니다. 또한 가상화된 인스턴스에서 그룹 정책을 실행할 수도 있습니다. 그러나 가상화된 인스턴스가 제거되거나 오류가 발생하는 경우에는 만들어 유지 관리하던 정책이 손실될 위험이 있습니다.

응용 프로그램 제어 정책은 로컬 컴퓨터에서 실행할 수 있는 프로그램과 그렇지 않은 프로그램을 지정합니다.

악성 소프트웨어는 다양한 형식을 취할 수 있어 사용자가 실행해도 안전한 소프트웨어와 그렇지 않은 소프트웨어를 구분하기가 어렵습니다. 악성 소프트웨어는 활성화되면 하드 디스크 드라이브의 콘텐츠를 손상시키거나, 요청을 통해 네트워크 서비스 장애를 유발하여 DoS(서비스 거부 공격)를 수행하거나, 인터넷에 기밀 정보를 보내거나, 컴퓨터 보안을 손상시킬 수 있습니다.

이러한 상황을 방지하려면 조직의 최종 사용자 컴퓨터에서 응용 프로그램 제어 정책을 적절하게 디자인하고 랩 환경에서 정책을 철저하게 테스트한 후에 프로덕션 환경으로 배포해야 합니다. 컴퓨터에서 실행하도록 허용된 소프트웨어를 제어할 수 있으므로 AppLocker를 응용 프로그램 제어 전략에 포함할 수 있습니다.

응용 프로그램 제어 정책 구현에 결함이 있으면 필요한 응용 프로그램을 사용할 수 없거나 악성 소프트웨어 또는 의도하지 않은 소프트웨어가 실행될 수 있습니다. 따라서 조직에서는 이러한 정책의 구현을 관리하고 문제를 해결할 수 있도록 충분한 전담 리소스를 배치해야 합니다.

특정 보안 문제에 대한 자세한 내용은 Windows Server 기술 라이브러리에서 AppLocker의 보안 고려 사항을 참조하십시오.

AppLocker를 사용하여 응용 프로그램 제어 정책을 만들 때는 다음 보안 관련 사항을 고려해야 합니다.

  • AppLocker 정책 설정 권한이 있는 사람

  • 정책이 적용되었는지 확인하는 방법

  • 감사할 이벤트

아래 표에는 보안 계획 시 참조할 수 있도록 AppLocker 기능이 설치된 클라이언트 컴퓨터의 기본 설정이 나와 있습니다.

 

설정 기본값

작성되는 계정

없음

인증 방법

해당 없음

관리 인터페이스

MMC 스냅인, 그룹 정책 관리 및 PowerShell을 사용하여 AppLocker를 관리할 수 있습니다.

열린 포트

없음

필요한 최소 권한

로컬 컴퓨터의 관리자/그룹 정책 개체 작성, 편집 및 배포를 허용하는 도메인 관리자 또는 임의의 권한 집합

사용된 프로토콜

해당 없음

예약된 작업

Appidpolicyconverter가 요청 시 실행되도록 예약 작업에 추가됩니다.

보안 정책

필요 없음. AppLocker에서 보안 정책을 만듭니다.

필요한 시스템 서비스

응용 프로그램 ID 서비스(appidsvc)가 LocalServiceANdNoImpersonation에서 실행됩니다.

자격 증명 저장소

없음

정책 유지 관리는 다음 항목으로 나뉩니다.

  • 정책 관리

  • 응용 프로그램 사용 모니터링

  • 성능 최적화

  • 문제 해결

Windows Server 2008 R2 및 Windows 7의 각 작업 절차를 수행하는 방법에 대한 자세한 내용은 AppLocker 작업 가이드를 참조하십시오. Windows Server 2012 및 Windows 8 관련 절차 정보는 AppLocker 관리를 참조하십시오.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft