AppLocker 정책 관리에 대 한 계획

  • 아티클

 

적용 대상: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

이 항목에 대 한 관리 및 AppLocker 정책 유지 관리 하기 위한 프로세스를 설정할 수 있도록 결정 사항을 설명 합니다.

정책 관리

배포 프로세스를 시작 하기 전에 AppLocker 규칙 어떻게 관리 되는 것이 좋습니다. AppLocker를 관리 하기 위한 프로세스를 개발 규칙을 사용 하면 AppLocker 계속 효과적으로 응용 프로그램 사용자의 조직에서 실행할 수 있는 방법을 제어 합니다.

응용 프로그램 및 사용자에 대 한 지원 정책

AppLocker를 관리 하기 위한 프로세스를 개발 규칙을 사용 하면 AppLocker 계속 효과적으로 응용 프로그램 사용자의 조직에서 실행할 수 있는 방법을 제어 합니다. 고려해 야 합니다.

  • 차단 된 응용 프로그램에 대 한는 어떤 유형의 최종 사용자 지원 제공 합니다.

  • 정책에 새 규칙을 추가 하는 방법을

  • 기존 규칙을 업데이트 하는 방법

  • 이벤트 검토를 위해 전달 됩니다.

헬프데스크 지원

조직에에서는 설정 된 도움말 센터 지원 부서의 있으면 AppLocker 정책을 배포 하는 경우 다음을 고려 하십시오.

  • 지원 부서에서 새로운 정책 배포를 위한 어떤 설명서 필요 합니까?

  • 작업 흐름에 모두 그룹 이란 각 비즈니스에 중요 한 프로세스 및 타이밍는 영향을 받습니다 응용 프로그램 제어 정책 및 지원 부서의 작업 미치는 영향 수 있습니다.?

  • 지원 부서의 연락처는?

  • 지원 부서에서 최종 사용자와 AppLocker 규칙을 유지 관리 하는 사람들 간의 응용 프로그램 제어 문제를 해결 하는 방법이 됩니다?

최종 사용자 지원

AppLocker 승인 되지 않은 응용 프로그램이 실행을 하지 못하게 되므로 조직에 신중 하 게 최종 사용자 지원을 제공 하는 방법을 계획 합니다. 고려해 야 합니다.

  • 차단 된 응용 프로그램을 실행 하 려 했습니다 있는 사용자에 대 한 지원의 첫번째 줄으로 인트라넷 사이트를 사용 하 시겠습니까?

  • 정책에 대 한 예외를 지원 하 시겠습니까? 사용자가 일시적으로 차단 된 응용 프로그램에 대 한 액세스를 허용 하는 스크립트를 실행 하도록 하 시겠습니까?

인트라넷 사이트를 사용 하 여

기본 메시지를 표시 하도록 AppLocker를 구성할 수 있습니다 하지만 사용자 지정 URL을 사용 합니다. 이 URL을 사용 하 여 사용자를 리디렉션할 수 이유에 대 한 정보를 포함 하는 지원 사이트에 사용자 받은 오류 및 응용 프로그램 허용 됩니다. 응용 프로그램이 차단 하는 경우에 메시지에 대 한 사용자 지정 URL을 표시 하지 않습니다 기본 URL이 사용 됩니다.

다음 이미지는 차단 된 응용 프로그램에 대 한 오류 메시지의 예를 보여줍니다. 사용할 수는지원 웹 링크를 설정정책 설정을 사용자 지정 하는자세한 내용은링크 합니다.

AppLocker blocked application error message

차단 된 응용 프로그램 오류 메시지

메시지에 대 한 사용자 지정 URL을 표시 하는 단계를 참조 하십시오.표시를 사용자 지정 URL 메시지 때 사용자가 하려고 차단 하는 응용 프로그램을 실행(https://go.microsoft.com/fwlink/?LinkId=160265).

AppLocker 이벤트 관리

AppLocker는 프로세스를 실행할 수 있는 권한을 요청 하는 각 시간 AppLocker 이벤트 로그에 이벤트를 만듭니다. 이벤트 세부 정보를 어떤 파일이 해당 파일을, 요청 및 GUID AppLocker 실행 결정을 내리는 데 사용 된 규칙을 시작한 사용자의 특성을 실행 하려고 합니다. AppLocker 이벤트 로그는 다음 경로에 있습니다. 응용 프로그램 및 서비스 Logs\Microsoft\Windows\AppLocker. AppLocker 로그에 3 개의 로그에 포함 됩니다.

  1. EXE 및 DLL. 실행 파일 (.exe,.com,.dll, 및.ocx) DLL 규칙 컬렉션에 영향을 받는 모든 파일에 대 한 이벤트를 포함 합니다.

  2. MSI와 스크립트. (.Msi,.msp,.ps1,.bat,.cmd,.vbs 및.js) Windows Installer 및 스크립트 규칙 컬렉션에 의해 영향을 받는 모든 파일에 대 한 이벤트를 포함 합니다.

  3. 앱 배포 패키지또는패키징된 응용 프로그램 실행패키지 된 앱의 영향을 받는 모든 Windows 8 앱에 대 한 이벤트를 포함 하 고 앱 설치 관리자 규칙 컬렉션 (.appx)을 압축 합니다.

중앙 위치에서 이러한 이벤트를 수집 하면 AppLocker 정책 유지 관리 하 고 규칙 구성 문제를 해결 하는데 도움이 됩니다. Windows에서 사용할 수 있는 허용 관리자가 특정 이벤트 채널을 구독할 수 등의 이벤트 컬렉션 기술 및 이벤트 원본 컴퓨터에서 Windows Server 운영 체제 수집기는 전달 된 이벤트 로그에 집계 합니다. 이벤트 구독 설정에 대 한 자세한 내용은 참조수집 하도록 컴퓨터 구성 및 앞으로 이벤트(https://go.microsoft.com/fwlink/?LinkId=145012).

정책 유지 관리

을 새 응용 프로그램을 배포 하거나 기존 응용 프로그램 소프트웨어 게시자에 의해 업데이트 됩니다 정책이 현재 인지 확인 하는 프로그램 규칙 컬렉션을 수정 해야 합니다.

추가, 변경 또는 규칙을 제거 하 여 AppLocker 정책을 편집할 수 있습니다. 그러나 추가 규칙을 가져와서 정책에 대 한 버전을 지정할 수 없습니다. AppLocker 정책을 수정 하는 경우 버전 제어 위해 그룹 정책 개체 (Gpo)의 버전을 만들 수 있도록 하는 그룹 정책 관리 소프트웨어를 사용 하십시오. 이러한 종류의 소프트웨어의 예는 Microsoft Desktop Optimization Pack에서 고급 그룹 정책 관리 기능입니다. 고급 그룹 정책 관리에 대 한 자세한 내용은 참조고급 그룹 정책 관리 개요(https://go.microsoft.com/fwlink/?LinkId=145013).

경고

이 그룹 정책에서 시행 되는 동안 AppLocker 규칙 컬렉션을 편집 하지 마십시오. AppLocker는 어떤 파일을 실행할 수를 제어 하므로 라이브 정책 변경 하기 예기치 않은 동작을 만들 수 있습니다.

지원 되는 응용 프로그램의 새 버전

조직에서 응용 프로그램의 새 버전을 배포 하면 해당 응용 프로그램의 이전 버전을 지원 하기 위해 계속 여부를 결정 해야 합니다. 새 버전을 추가 하는 응용 프로그램에 연관 된 각 파일에 대 한 새 규칙을 만들려면만 해야 합니다. 게시자 조건을 사용 하는 경우는 버전이 지정 되지 않은 다음 기존 규칙 또는 규칙 수 있습니다 업데이트 된 파일을 실행을 허용 하기에 충분 합니다. 그러나 확인 해야, 업데이트 된 응용 프로그램에 파일 이름을 변경 또는 새 기능을 지 원하는 파일을 추가 하지 않습니다. 그럴 경우 기존 규칙을 수정 하거나 새 규칙을 만들 해야 있습니다. 특정 파일 버전을 하지 않고 게시자 기반 규칙을 다시 사용을 계속 하려면 또한 확인 해야 해당 파일의 디지털 서명이 이전 버전과 여전히 동일 하다-게시자, 제품 이름 및 파일 이름 (규칙에 구성 된) 경우 모두 올바르게 적용 되도록 규칙에 대 한 일치 해야 합니다.

응용 프로그램 업데이트를 사용 하는 동안 파일을 수정 되었는지 여부를 확인 하려면 업데이트 패키지와 함께 제공 되는 게시자의 릴리스 세부 정보를 검토 합니다. 이 정보를 검색 하는 게시자의 웹 페이지를 검토할 수 있습니다. 각 파일 버전을 확인 하도 검사할 수 있습니다.

허용 또는 거부 파일 해시 조건으로 하는 파일에 대 한 새 파일 해시를 검색 해야 합니다. 새 버전에 대 한 지원을 추가 하는 이전 버전에 대 한 지원을 유지 관리 중 하나 새 버전에 대 한 새 파일 해시 규칙을 만들어 또는 기존 규칙을 편집 하 수 새 파일 해시 조건 목록에 추가 합니다.

파일 경로 조건에 대 한 설치 경로 규칙에 설명 된 것에서 변경 되지 않은 확인 해야 합니다. 경로 변경 된 경우 응용 프로그램의 새 버전을 설치 하기 전에 규칙을 업데이트 해야 합니다.

최근에 응용 프로그램 배포

새 응용 프로그램을 지원 하려면 기존 AppLocker 정책에 하나 이상의 규칙을 추가 해야 합니다.

응용 프로그램은 더이상 지원

조직이 AppLocker 규칙 연관 된 응용 프로그램을 지원 합니다 더이상 결정, 사용자가 응용 프로그램을 실행 하지 못하도록 하는 가장 쉬운 방법은 이러한 규칙을 삭제 하는.

응용 프로그램은 차단 하지만 허용 되어야

파일 세 이유로 차단 될 수 있습니다.

  • 가장 일반적인 원인은 응용 프로그램을 실행할 수 있도록 규칙이 있는지입니다.

  • 너무 제한적 이어서 파일에 대해 만들어진 기존 규칙 있을 수 있습니다.

  • 명시적으로 재정의할 수 없으며, 하는 거부 규칙 파일을 차단 합니다.

규칙 컬렉션을 편집 하기 전에 먼저 어떤 규칙으로 인해 파일 실행 중에서 결정 합니다. 사용 하 여 문제를 해결할 수는Test-AppLockerPolicyWindows PowerShell cmdlet입니다. AppLockerpolicy 문제를 해결 하는 방법에 대 한 자세한 내용은 참조테스트 및 AppLocker 정책을 업데이트(https://go.microsoft.com/fwlink/?LinkId=160269).

다음 단계

조직은 AppLocker 정책을 관리 하는 방법, 결정 한 후 결과 기록 합니다.

  • 최종 사용자 지원 정책입니다. 차단 된 응용 프로그램을 실행 하 려 할 수 있는 사용자의 호출을 처리 하기 위해 사용 하 고 있는지 확인 하십시오 고객 지원 담당자 지우기 에스컬레이션 단계는 관리자는 AppLocker 정책을 업데이트할 수 있도록 필요한 경우는 프로세스를 문서화 합니다.

  • 이벤트를 처리 합니다. 저장소, 보관 됩니다 하 고 분석에 대 한 이벤트를 처리할지 여부는 저장소를 어떻게 라는 중앙 위치에서 이벤트를 수집 합니다 여부를 문서화 합니다.

  • 정책 유지 관리 합니다. 어떻게 규칙 정책에 추가 되 고 규칙을 정의 하는 GPO에 자세히 설명 합니다.

정보 및 단계에 대 한 참조를 사용자 프로세스를 문서화 하는 방법응용 프로그램 제어 관리 프로세스를 문서화 합니다.합니다.