만들려는 규칙 유형 선택
적용 대상: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
이 항목에서는 AppLocker를 사용 하 여 응용 프로그램 제어 정책 규칙을 선택할 때 사용할 수 있는 리소스를 나열 합니다.
어떤 유형의를 만들려면 각 그룹에 대 한 규칙을 결정할 때에 각 그룹에 대해 사용 하 여 어떤 적용 설정을 파악 해야 합니다. 다른 규칙 종류는 특정 비즈니스 그룹에는 응용 프로그램을 배포 하는 방법에 따라 일부 응용 프로그램에 대 한 더 잘 적용 됩니다.
다음 항목에서는 응용 프로그램에 사용 하 여 어떤 규칙을 결정 하는데 도움이 되는 AppLocker 규칙에 대 한 추가 정보를 제공 합니다.
AppLocker 규칙 조건 종류 이해AppLocker 규칙 조건 종류 이해
규칙 컬렉션을 선택 합니다.
다음 규칙 컬렉션 중 하나에서 직접 만든 규칙이 됩니다.
실행 파일:.exe 및.com
Windows Installer 파일:.msi,.msp 및.mst
스크립트:.ps1,.bat,.cmd,.vbs 및.js
패키지 된 앱 및 앱 설치 관리자 패키지:.appx
Dll:.dll,.ocx
참고
.appx 및.mst 파일 형식을 Windows Server 2008 R2 및 Windows 7에서 실행 되는 AppLocker에 적용 되지 않습니다.
기본적으로 파일을 사용자 또는 그룹 권한을 기반으로 실행할 규칙에서 허용 됩니다. DLL 규칙을 사용 하면 DLL 규칙에는 모든 허용 된 응용 프로그램에서 사용 되는 각 DLL에 대해 생성 될 것을 허용 합니다. DLL 규칙 컬렉션은 기본적으로 사용되지 않습니다.
Woodgrove Bank 예에서는 은행 출납 계 원이 비즈니스 그룹에 대 한 기간 업무 응용 프로그램 C:\Program Files\Woodgrove\Teller.exe 되었으며이 응용 프로그램 규칙에 포함 해야 합니다. 또한이 규칙 목록이 허용 된 응용 프로그램의 일부 이기 때문에 C:\Windows에 있는 모든 Windows 파일 포함 되어야 합니다도 합니다.
규칙 조건 확인
규칙 조건이 조건을 기반이 AppLocker 규칙 기반 및 다음 표에 규칙 조건 중 하나가 수만 있습니다.
규칙 조건 |
사용 시나리오 |
리소스 |
|---|---|---|
게시자 |
게시자 조건을 사용 하려면 파일 디지털로 서명 되어야 합니다 소프트웨어 게시자 또는 내부 인증서를 사용 하 여 수행 해야 합니다. 버전 수준으로 지정 된 규칙을 파일의 새 버전이 출시 되는 경우 업데이트 해야할 수 있습니다. |
이 규칙 조건에 대 한 자세한 내용은 참조AppLocker의 게시자 규칙 조건 이해합니다. |
경로 |
모든 파일에이 규칙 조건은; 할당 될 수 있습니다. 그러나 파일 시스템 내에서 위치를 지정 하는 경로 규칙 때문에 모든 하위 디렉터리도 영향을 줍니다 규칙에 의해 (없는 경우 명시적으로 제외). |
이 규칙 조건에 대 한 자세한 내용은 참조AppLocker의 경로 규칙 조건 이해합니다. |
파일 해시 |
모든 파일에이 규칙 조건은; 할당 될 수 있습니다. 그러나 해시 값은 부분적으로 버전에 기반 하기 때문에 파일의 새 버전은 출시 되는 각 시간 규칙 업데이트 해야 합니다. |
이 규칙 조건에 대 한 자세한 내용은 참조AppLocker의 파일 해시 규칙 조건 이해합니다. |
Woodgrove Bank 예에서는 은행 출납 계 원이 비즈니스 그룹에 대 한 기간 업무 응용 프로그램 서명 및 C:\Program Files\Woodgrove\Teller.exe에 위치한 합니다. 따라서 게시자 조건 규칙을 정의할 수 있습니다. 규칙 및 특정 버전 위에 정의 된 경우 (예 Teller.exe 버전 8.0 이상), 이렇게 하면 응용 프로그램의 이름 및 서명 된 경우 사용자에 대 한 액세스 중단 특성 상태를 유지 하지 않고 적용 되려면이 응용 프로그램에 대 한 모든 업데이트는 동일 합니다.
시스템 파일을 실행 하도록 허용 하는 방법을 결정합니다
허용 된 응용 프로그램의 목록을 작성 하는 AppLocker 규칙을 하기 때문에 모든 Windows 파일 실행을 허용 하도록 규칙 또는 규칙을 생성 해야 합니다. AppLocker는 시스템 파일을 확인 하는 방법을 제대로 것으로 간주 됩니다 규칙 컬렉션에 각 규칙 컬렉션에 대 한 기본 규칙을 생성 하 여 제공 합니다. 기본 규칙을 사용자 고유의 규칙을 만들 때 템플릿으로 사용할 수 있습니다. 그러나 이러한 규칙 것일뿐 Windows 폴더의 시스템 파일은 실행할 수 있도록 먼저 AppLocker 규칙을 테스트할 때 스타터 정책으로 작동 합니다. 기본 규칙을 만들 때 것은로 표시 "(기본 규칙)"의 이름에 규칙 컬렉션에 표시 된 대로 있습니다.
또한 경로 조건에 따라 시스템 파일에 대 한 규칙을 만들 수 있습니다. 앞의 예에서 은행 출납 계 원이 그룹에 대 한 모든 Windows 파일 C:\Windows 아래에 위치 하 고 경로 규칙 조건 유형으로 정의할 수 있습니다. 이렇게 하면 이러한 파일에 대 한 액세스 때마다 업데이트가 적용 되 고 파일을 변경 합니다. 추가 응용 프로그램 보안을 해야하는 경우 기본 제공 규칙 컬렉션에서 만든 규칙을 수정 해야 합니다. 예를들어, 모든 사용자가 Windows 폴더의.exe 파일을 실행할 수 있도록 기본 규칙 실행 하려면 Windows 폴더 내의 모든 파일을 허용 하는 경로 조건을 기반으로 합니다. Windows 폴더를 사용자 그룹에는 다음 사용 권한을 부여 됩니다 Temp 하위 폴더를 포함 합니다.
통과 폴더/파일 실행
파일 만들기/데이터 쓰기
폴더 만들기/데이터 추가
이러한 사용 권한 설정은 응용 프로그램 호환성을 위해이 폴더에 적용 됩니다. 그러나 모든 사용자는이 위치에 파일을 만들 수, 때문에이 위치에서 실행 되도록 응용 프로그램 충돌할 수 있는 조직의 보안 정책입니다.
다음 단계
만들려는 규칙 종류를 선택한 후 결과에서 설명한 것 처럼 기록AppLocker 규칙을 문서화합니다.
만드는 AppLocker 규칙에 대 한 결과 기록한 후 규칙을 적용 하는 방법을 고려해 해야 합니다. 이 작업을 수행 하는 방법에 대 한 정보를 참조 하십시오.그룹 정책을 결정 구조 및 규칙 적용합니다.