AppLocker 기술 개요

 

적용 대상: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8 Enterprise

IT 전문가를 위한 이 기술 개요는 AppLocker에 대해 설명합니다. 이 정보는 AppLocker 정책을 배포할 경우 이점을 얻을 수 있는지를 확인하는 데 도움이 됩니다. 관리자는 AppLocker를 통해 사용자가 실행할 수 있는 응용 프로그램 및 파일을 제어할 수 있습니다. 여기에는 실행 파일, 스크립트, Windows Installer 파일, DLL(동적 연결 라이브러리), 패키지된 앱 및 패키지된 앱 설치 관리자가 포함됩니다.

이 라이브러리에서 페이지를 디지털로 저장하거나 인쇄하려면 페이지 오른쪽 위에 있는 내보내기를 클릭하고 지침을 따르세요.

AppLocker의 기능

AppLocker를 사용하여 다음과 같은 작업을 수행할 수 있습니다.

  • 게시자 이름(디지털 서명에서 파생), 제품 이름, 파일 이름, 파일 버전 등 응용 프로그램 업데이트 중에 유지되는 파일 특성을 기반으로 규칙을 정의합니다. 파일 경로와 해시를 기반으로 규칙을 만들 수도 있습니다.

  • 보안 그룹이나 개별 사용자에게 규칙을 할당합니다.

  • 규칙에 대한 예외를 만듭니다. 예를 들어 모든 사용자가 레지스트리 편집기(Regedit.exe)를 제외한 모든 Windows 이진을 실행하도록 허용하는 규칙을 만들 수 있습니다.

  • 감사만 모드를 사용하여 정책을 배포하고 정책 적용 전에 정책의 영향을 파악합니다.

  • 준비 서버에서 규칙을 만들고 테스트한 다음 프로덕션 환경으로 내보내고 그룹 정책 개체로 가져옵니다.

  • AppLocker용 Windows PowerShell cmdlet을 사용하면 AppLocker 규칙을 간편하게 만들고 관리할 수 있습니다.

AppLocker는 관리 오버헤드를 줄이고, 사용자가 승인되지 않은 응용 프로그램을 실행해 발생하는 기술 지원팀의 통화 횟수를 줄임으로써 조직의 컴퓨팅 리소스 관리 비용을 절감하는 데 유용합니다. AppLocker는 다음과 같은 응용 프로그램 보안 시나리오를 해결합니다.

  • 응용 프로그램 인벤토리

    AppLocker에는 모든 응용 프로그램 액세스 작업이 이벤트 로그에 등록되는 감사 전용 모드에서 정책을 적용할 수 있는 기능이 있습니다. 이러한 이벤트는 추가 분석을 위해 수집할 수 있습니다. Windows PowerShell cmdlet을 사용하여 이 데이터를 프로그래밍 방식으로 분석할 수도 있습니다.

  • 사용자 동의 없이 설치되는 소프트웨어로부터 보호

    AppLocker에는 허용되는 응용 프로그램 목록에서 제외된 응용 프로그램 실행을 거부하는 기능이 있습니다. 프로덕션 환경에서 AppLocker 규칙을 적용하면 허용된 규칙에 포함되지 않은 응용 프로그램의 실행이 차단됩니다.

  • 라이선싱 준수

    AppLocker에서는 사용이 허가되지 않은 소프트웨어 실행을 차단하고 사용이 허가된 소프트웨어를 권한이 있는 사용자만 사용할 수 있도록 제한하는 규칙을 만들 수 있습니다.

  • 소프트웨어 표준화

    지원되거나 승인된 응용 프로그램만 비즈니스 그룹 내 컴퓨터에서 실행할 수 있도록 AppLocker 정책을 구성할 수 있습니다. 이렇게 하면 보다 일관되게 응용 프로그램을 배포할 수 있습니다.

  • 관리 효율성 향상

    AppLocker에서는 이전 버전인 소프트웨어 제한 정책과 비교할 때 다양한 관리 효율성 기능이 개선되었습니다. 소프트웨어 제한 정책에 비해 개선된 기능으로는 정책 가져오기/내보내기, 여러 파일에서의 규칙 자동 생성, 감사 전용 모드 배포, Windows PowerShell cmdlet 등이 있습니다.

AppLocker를 사용해야 하는 경우

대부분의 조직에서 정보는 가장 중요한 자산이므로 승인된 사용자만 정보에 액세스할 수 있도록 해야 합니다. AD RMS(Active Directory Rights Management Services) 및 ACL(액세스 제어 목록)과 같은 액세스 제어 기술은 사용자가 액세스할 수 있는 항목을 제어하는 데 유용합니다.

그러나 사용자가 프로세스를 실행할 때 이 프로세스의 액세스 수준은 사용자 소유의 데이터에 대한 액세스 수준과 동일합니다. 따라서 사용자가 의도적으로 또는 실수로 악성 소프트웨어를 실수하는 경우 중요한 정보가 쉽게 삭제되거나 조직 외부로 전송될 수 있습니다. AppLocker는 사용자 또는 그룹이 실행할 수 있는 파일을 제한함으로써 이러한 유형의 보안 위반을 완화할 수 있습니다.

현재 소프트웨어 게시자는 더 많은 응용 프로그램을 관리자가 아닌 사용자가 설치할 수 있도록 만들기 시작하고 있습니다. 이로 인해 조직의 서면 보안 정책이 위험해질 수 있으며, 사용자가 응용 프로그램을 설치할 수 없도록 하는 기존의 응용 프로그램 제어 솔루션을 피해갈 수 있습니다. AppLocker는 관리자가 승인된 파일 및 응용 프로그램의 허용되는 목록을 만들도록 함으로써 이러한 사용자별 응용 프로그램의 실행을 차단합니다. AppLocker는 DLL을 제어할 수 있기 때문에 ActiveX 컨트롤을 설치 및 실행할 수 있는 사람을 제어하는 데도 유용합니다.

AppLocker는 그룹 정책을 사용하여 Windows 기반 컴퓨터를 관리하고 있는 조직에 적합합니다. AppLocker는 작성 및 배포 시 그룹 정책을 사용하므로 AppLocker를 사용하려는 경우 그룹 정책 사용 경험이 도움이 됩니다.

다음은 AppLocker를 사용할 수 있는 시나리오의 예입니다.

  • 조직의 보안 정책을 통해 사용이 허가된 소프트웨어만 사용하도록 규정하여 사용이 허가되지 않은 소프트웨어를 사용자들이 실행하지 못하도록 해야 하며, 권한이 있는 사용자만 사용이 허가된 소프트웨어를 사용하도록 제한해야 하는 경우

  • 응용 프로그램을 조직에서 더 이상 지원하지 않아 모든 사용자가 해당 응용 프로그램을 사용하지 못하도록 해야 하는 경우

  • 사용자 동의 없이 설치되는 소프트웨어가 사용 환경에 침입할 수 있는 가능성이 높아 이 위협을 줄여야 하는 경우

  • 조직에서 응용 프로그램에 대한 라이선스가 해지되었거나 만료되어 모든 사용자가 해당 응용 프로그램을 사용하지 못하도록 해야 하는 경우

  • 새 응용 프로그램이나 새 버전의 응용 프로그램이 배포되어 사용자들이 이전 버전을 실행하지 못하도록 해야 하는 경우

  • 특정 소프트웨어 도구가 조직 내에서 허용되지 않거나 특정 사용자만 이러한 도구에 액세스해야 하는 경우

  • 단일 사용자 또는 소규모 사용자 그룹이 다른 모든 사용자에게 거부된 특정 응용 프로그램을 사용해야 하는 경우

  • 서로 다른 소프트웨어 사용 요구를 가진 사용자가 조직의 일부 컴퓨터를 공유하며 특정 응용 프로그램을 보호해야 하는 경우

  • 다른 방법 외에도 응용 프로그램을 사용하여 중요한 데이터에 대한 액세스를 제어해야 하는 경우

AppLocker는 조직 내의 디지털 자산을 보호하고, 사용 환경에 악성 소프트웨어가 침입하는 위협을 줄이며, 응용 프로그램 제어의 관리와 응용 프로그램 제어 정책의 유지 관리를 향상시키는 데 유용합니다.

버전, 상호 운용성 및 기능의 차이

지원되는 버전 및 상호 운용성 고려 사항

AppLocker 정책은 지원되는 버전의 Windows 운영 체제를 실행하는 컴퓨터에서만 구성 및 적용할 수 있습니다. 자세한 내용은 AppLocker를 사용하기 위한 요구 사항 항목을 참조하세요.

버전 간 기능 차이

아래 표에는 각 운영 체제 버전에서의 AppLocker에 대한 주요 기능 차이가 나와 있습니다.

기능 Windows Server 2008 R2 및 Windows 7 Windows Server 2012 R2, Windows Server 2012, Windows 8.1 및 Windows 8
패키지된 앱 및 패키지된 앱 설치 관리자에 대한 규칙을 설정할 수 있습니다. 아니요
AppLocker 정책은 그룹 정책을 통해 유지 관리되며, 컴퓨터의 관리자만 AppLocker 정책을 업데이트할 수 있습니다.
AppLocker를 사용할 경우 관리자가 사용자를 지원 웹 페이지로 보낼 수 있도록 오류 메시지를 사용자 지정할 수 있습니다.
소프트웨어 제한 정책과 함께 실행할 수 있는 기능(개별 GPO 사용)
AppLocker는 관리 및 유지 관리에 도움이 되는 일부 Windows PowerShell cmdlet을 지원합니다.
AppLocker 규칙이 제어할 수 있는 파일 형식 - .exe
- .com
- .ps1
- .bat
- .cmd
- .vbs
- .js
- .msi
- .msp
- .dll
- .ocx
- .exe
- .com
- .ps1
- .bat
- .cmd
- .vbs
- .js
- .msi
- .msp
- .mst
- .dll
- .ocx
- .appx

소프트웨어 제한 정책과 AppLocker의 응용 프로그램 제어 기능을 비교하는 방법 및 두 기능을 함께 사용하는 방법에 대한 자세한 내용은 동일한 도메인에 AppLocker와 소프트웨어 제한 정책을 사용 하 여을 참조하세요.

시스템 요구 사항

AppLocker 정책은 지원되는 버전의 Windows 운영 체제를 실행하는 컴퓨터에서만 구성 및 적용할 수 있습니다. 그룹 정책은 AppLocker 정책을 포함하는 그룹 정책 개체를 배포하는 데 필요합니다. 자세한 내용은 AppLocker를 사용하기 위한 요구 사항를 참조하세요.

AppLocker 규칙은 도메인 컨트롤러에서 만들 수 있습니다.

참고

패키지된 앱 및 패키지된 앱 설치 관리자에 대한 규칙을 작성하거나 적용하는 기능은 Windows Server 2008 R2 및 Windows 7에서 사용할 수 없습니다.

AppLocker 설치

AppLocker는 엔터프라이즈급 Windows 버전에 포함되어 있습니다. 단일 컴퓨터 또는 컴퓨터 그룹에 대해 AppLocker 규칙을 작성할 수 있습니다. 단일 컴퓨터의 경우 로컬 보안 정책 편집기(secpol.msc)를 사용하여 규칙을 작성할 수 있습니다. 컴퓨터 그룹의 경우 그룹 정책 관리 콘솔(GPMC)을 사용하여 그룹 정책 개체 내에서 규칙을 작성할 수 있습니다.

참고

원격 서버 관리 도구를 설치해야만 Windows를 실행하는 클라이언트 컴퓨터에서 GPMC를 사용할 수 있습니다. Windows Server를 실행하는 컴퓨터에 그룹 정책 관리 기능을 설치해야 합니다.

Server Core에서 AppLocker 사용

Windows PowerShell을 사용하면 AppLocker cmdlet 및 그룹 정책 PowerShell cmdlet(GPO 내에서 관리되는 경우)을 통해 Server Core 설치에서 AppLocker를 관리할 수 있습니다. 자세한 내용은 AppLocker PowerShell 명령 참조를 참조하세요.

가상화 고려 사항

앞에 나와 있는 시스템 요구 사항이 모두 충족된다면 가상화된 Windows 인스턴스를 사용하여 AppLocker 정책을 관리할 수 있습니다. 또한 가상화된 인스턴스에서 그룹 정책을 실행할 수도 있습니다. 그러나 가상화된 인스턴스가 제거되거나 오류가 발생하는 경우에는 만들어 유지 관리하던 정책이 손실될 위험이 있습니다.

보안 고려 사항

응용 프로그램 제어 정책은 로컬 컴퓨터에서 실행할 수 있는 프로그램을 지정합니다.

악성 소프트웨어는 다양한 형식을 취할 수 있어 사용자가 실행해도 안전한 소프트웨어를 구분하기가 어렵습니다. 악성 소프트웨어는 활성화되면 하드 디스크 드라이브의 콘텐츠를 손상시키거나, 요청을 통해 네트워크 서비스 장애를 유발하여 DoS(서비스 거부 공격)를 수행하거나, 인터넷에 기밀 정보를 보내거나, 컴퓨터 보안을 손상시킬 수 있습니다.

이러한 상황을 방지하려면 조직의 최종 사용자 컴퓨터에서 응용 프로그램 제어 정책을 적절하게 디자인하고 랩 환경에서 정책을 철저하게 테스트한 후에 프로덕션 환경으로 배포해야 합니다. 컴퓨터에서 실행하도록 허용된 소프트웨어를 제어할 수 있으므로 AppLocker를 응용 프로그램 제어 전략에 포함할 수 있습니다.

응용 프로그램 제어 정책 구현에 결함이 있으면 필요한 응용 프로그램을 사용할 수 없거나 악성 소프트웨어 또는 의도하지 않은 소프트웨어가 실행될 수 있습니다. 따라서 조직에서는 이러한 정책의 구현을 관리하고 문제를 해결할 수 있도록 충분한 전담 리소스를 배치해야 합니다.

특정 보안 문제에 대한 추가 정보는 AppLocker에 대한 보안 고려 사항을 참조하세요.

AppLocker를 사용하여 응용 프로그램 제어 정책을 만드는 경우 다음 보안 관련 사항을 고려해야 합니다.

  • AppLocker 정책 설정 권한이 있는 사람

  • 정책이 적용되었는지 확인하는 방법

  • 감사할 이벤트

아래 표에는 보안 계획 시 참조할 수 있도록 AppLocker 기능이 설치된 클라이언트 컴퓨터의 기본 설정이 나와 있습니다.

설정 기본값
작성되는 계정 없음
인증 방법 해당 없음
관리 인터페이스 Microsoft Management Console 스냅인, 그룹 정책 관리 및 Windows PowerShell을 사용하여 AppLocker를 관리할 수 있습니다.
열린 포트 없음
필요한 최소 권한 로컬 컴퓨터의 관리자, 도메인 관리자 또는 그룹 정책 개체 작성, 편집 및 배포를 허용하는 임의의 권한 집합
사용된 프로토콜 해당 없음
예약된 작업 Appidpolicyconverter.exe가 요청 시 실행되도록 예약 작업에 추가됩니다.
보안 정책 필요 없음. AppLocker에서 보안 정책을 만듭니다.
필요한 시스템 서비스 응용 프로그램 ID 서비스(appidsvc)가 LocalServiceAndNoImpersonation에서 실행됩니다.
자격 증명 저장소 없음

AppLocker 정책 유지 관리

Applocker 정책 유지 관리에 대한 정보는 다음 항목에서 제공됩니다.

참고 항목

리소스 Windows Server 2008 R2 및 Windows 7 Windows Server 2012 R2, Windows Server 2012, Windows 8.1 및 Windows 8
제품 평가 질문과 대답

 AppLocker 단계별 가이드
질문과 대답

 AppLocker 단계별 가이드
절차 AppLocker 작업 가이드 AppLocker 관리

 AppLocker를 사용하여 패키지된 앱 관리
스크립팅 AppLocker Windows PowerShell cmdlet 사용 AppLocker Windows PowerShell Cmdlet을 사용 하 여
기술 관련 내용 AppLocker 기술 참조 AppLocker 기술 참조
디자인, 계획 및 배포 AppLocker 정책 디자인 가이드

 AppLocker 정책 배포 가이드
AppLocker 정책 디자인 가이드

 AppLocker 정책 배포 가이드