소프트웨어 제한 정책 관리

  • 아티클

 

적용 대상: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

IT 전문가 위한이 항목 시작 하는 소프트웨어 제한 정책 (SRP)를 사용 하 여 Windows Server 2008 및 Windows Vista 응용 프로그램 제어 정책을 관리 하는 방법 절차를 포함 합니다.

소개

SRP(소프트웨어 제한 정책)는 도메인의 컴퓨터에서 실행 중인 소프트웨어 프로그램을 식별하고, 실행할 해당 프로그램의 기능을 제어하는 그룹 정책 기반 기능입니다. 소프트웨어 제한 정책을 사용하면 명확하게 식별된 응용 프로그램만 실행할 수 있도록 고도로 제한된 컴퓨터 구성을 만들 수 있습니다. 이러한 그룹 정책 및 Microsoft Active Directory 도메인 서비스와 통합 되어 있지만 독립 실행형 컴퓨터에 구성할 수도 있습니다. SRP에 대 한 자세한 내용은 참조는소프트웨어 제한 정책 개요합니다.

부터는Windows Server 2008 R2및Windows 7Windows AppLocker 응용 프로그램 제어 전략의 일부에 대 한에 대신 또는 SRP와 함께에서 사용할 수 있습니다. AppLocker에 대 한 내용은Windows Server 2012및Windows 8참조는AppLocker 개요 [클라이언트].

이 항목에는 다음이 포함 됩니다.

  • 소프트웨어 제한 정책 열기

  • 새 소프트웨어 제한 정책을 만들려면

  • 지정 된 파일 형식을 추가 하거나 삭제 하려면

  • 소프트웨어 제한 정책이 로컬 관리자에 게 적용 하지 않도록 설정 하려면

  • 소프트웨어 제한 정책의 기본 보안 수준을 변경 하려면

  • Dll에 소프트웨어 제한 정책을 적용 하려면

SRP를 사용 하 여 특정 작업을 수행 하는 방법에 대 한 내용은 다음을 참조 합니다.

소프트웨어 제한 정책 열기

  • 로컬 컴퓨터의 경우

  • 도메인에 대 한 사이트 또는 조직 구성 단위를는 구성원 서버 또는 도메인에 가입 된 워크스테이션에서

  • 도메인 또는 조직 구성 단위를 원격 서버 관리 도구 설치 된 워크스테이션 또는 도메인 컨트롤러에 대해

  • 사이트를 작업할 때 원격 서버 관리 도구 설치 된 워크스테이션 또는 도메인 컨트롤러에 대 한

로컬 컴퓨터의 경우

  1. 로컬 보안 설정을 엽니다.

  2. 콘솔 트리에서 클릭소프트웨어 제한 정책을.

    선택 위치

    • 보안 설정/소프트웨어 제한 정책

참고

이 절차를 수행하려면 로컬 컴퓨터에서 Administrators 그룹의 구성원이거나 적절한 권한이 위임되어야 합니다.

도메인에 대 한 사이트 또는 조직 구성 단위를는 구성원 서버 또는 도메인에 가입 된 워크스테이션에서

  1. MMC(Microsoft Management Console)를 엽니다.

  2. 파일메뉴를 클릭 하 여스냅인 추가/제거클릭 하 고추가.

  3. 로컬 그룹 정책 개체 편집기를 클릭하고 추가를 클릭합니다.

  4. 그룹 정책 개체 선택에서 찾아보기를 클릭합니다.

  5. 그룹 정책 개체 찾아보기적절 한 도메인, 사이트 또는 조직 구성 단위의에서 그룹 정책 개체 (GPO)를 선택 하거나 새로 만드세요 및 클릭마침.

  6. 닫기, 확인을 차례로 클릭합니다.

  7. 콘솔 트리에서 클릭소프트웨어 제한 정책을.

    선택 위치

    • 그룹 정책 개체[ComputerName] 정책/컴퓨터 구성 또는

      사용자 구성/w 설정/보안 설정/소프트웨어 제한 정책

참고

이 절차를 수행 하려면 Domain Admins 그룹의 멤버 여야 합니다.

도메인 또는 조직 구성 단위를 원격 서버 관리 도구 설치 된 워크스테이션 또는 도메인 컨트롤러에 대해

  1. 그룹 정책 관리 콘솔을 엽니다.

  2. 콘솔 트리에서 대 한 소프트웨어 제한 정책을 엽니다 하려는 그룹 정책 개체 (GPO)를 마우스 오른쪽 단추로 클릭 합니다.

  3. 편집을 클릭하여 편집할 GPO를 엽니다.새로 만들기를 클릭하여 새 GPO를 만든 다음 편집을 클릭할 수도 있습니다.

  4. 콘솔 트리에서 클릭소프트웨어 제한 정책을.

    선택 위치

    • 그룹 정책 개체[ComputerName] 정책/컴퓨터 구성 또는

      사용자 구성/w 설정/보안 설정/소프트웨어 제한 정책

참고

이 절차를 수행 하려면 Domain Admins 그룹의 멤버 여야 합니다.

사이트를 작업할 때 원격 서버 관리 도구 설치 된 워크스테이션 또는 도메인 컨트롤러에 대 한

  1. 그룹 정책 관리 콘솔을 엽니다.

  2. 콘솔 트리에서 그룹 정책에 대 한 설정 하려는 사이트를 마우스 오른쪽 단추로 클릭 합니다.

    선택 위치

    • Active Directory 사이트 및 서비스 [Domain_Controller_Name.Domain_Name] / 사이트/사이트

  3. 항목을 클릭그룹 정책 개체 연결기존 그룹 정책 개체 (GPO)를 선택한 다음 클릭을편집.새로 만들기를 클릭하여 새 GPO를 만든 다음 편집을 클릭할 수도 있습니다.

  4. 콘솔 트리에서 클릭소프트웨어 제한 정책을.

    여기서

    • 그룹 정책 개체[ComputerName] 정책/컴퓨터 구성 또는

      사용자 구성/w 설정/보안 설정/소프트웨어 제한 정책

참고

  • 이 절차를 수행하려면 로컬 컴퓨터에서 Administrators 그룹의 구성원이거나 적절한 권한이 위임되어야 합니다. 컴퓨터가 도메인에 가입되어 있는 경우 Domain Admins 그룹의 구성원은 이 절차를 수행할 수 있습니다.

  • 컴퓨터에 로그온 한 사용자를에 관계 없이 적용 될 정책 설정을 설정 하려면 클릭컴퓨터 구성.

  • 로그온 하는 컴퓨터에 관계 없이 사용자에 게 적용 될 정책 설정을 설정 하려면 클릭사용자 구성.

새 소프트웨어 제한 정책을 만들려면

  1. 소프트웨어 제한 정책을 엽니다.

  2. 작업 메뉴에서 새 소프트웨어 제한 정책을 클릭합니다.

경고

  • 사용자 환경에 따라 이 절차를 수행하는 데 서로 다른 관리 자격 증명 필요합니다.

    • 로컬 컴퓨터에 대한 새 소프트웨어 제한 정책을 만드는 경우: 로컬 Administrators 그룹의 구성원이거나 이에 준하는 자격이 있어야 이 절차를 완료할 수 있습니다.

    • 도메인에 가입된 컴퓨터에 대한 새 소프트웨어 제한 정책을 만들 경우 Domain Admins 그룹의 구성원이 이 절차를 수행할 수 있습니다.

  • 소프트웨어 제한 정책이 GPO(그룹 정책 개체)에 대해 생성된 경우 새 소프트웨어 제한 정책 명령이 작업 메뉴에 나타나지 않습니다. 콘솔 트리에서 GPO에 적용되는 소프트웨어 제한 정책을 삭제하려면 소프트웨어 제한 정책을 마우스 오른쪽 단추로 클릭하고 소프트웨어 제한 정책 삭제를 클릭합니다. 소프트웨어 제한 정책을 gpo를 삭제 하면 해당 GPO에 대 한 모든 소프트웨어 제한 정책 규칙 삭제 합니다. 소프트웨어 제한 정책을 삭제했으면 해당 GPO에 대한 새 소프트웨어 제한 정책을 만들 수 있습니다.

지정 된 파일 형식을 추가 하거나 삭제 하려면

  1. 소프트웨어 제한 정책을 엽니다.

  2. 세부 정보 창에서 지정된 파일 형식을 두 번 클릭합니다.

  3. 다음 중 하나를 수행합니다.

    • 파일 형식을 추가하려면 파일 이름 확장명에서 파일 이름 확장명을 입력하고 추가를 클릭합니다.

    • 파일 형식을 삭제하려면 지정된 파일 형식에서 파일 형식을 클릭한 후 제거를 클릭합니다.

참고

  • 지정한 파일 형식을 추가하거나 삭제하는 환경에 따라 이 절차를 수행하는 데 서로 다른 관리 자격 증명이 필요합니다.

    • 로컬 컴퓨터에 대해 지정된 파일 형식을 추가하거나 삭제하는 경우: 로컬 Administrators 그룹의 구성원이거나 이에 준하는 자격이 있어야 이 절차를 완료할 수 있습니다.

    • 도메인에 가입된 컴퓨터에 대한 새 소프트웨어 제한 정책을 만들 경우 Domain Admins 그룹의 구성원이 이 절차를 수행할 수 있습니다.

  • 아직 이와 같이 적용하지 않은 경우 GPO(그룹 정책 개체)에 대해 새 소프트웨어 제한 정책 설정을 만들어야 할 수 있습니다.

  • 지정 된 파일 형식 목록은 GPO에 대 한 모든 규칙에서 컴퓨터 구성 및 사용자 구성 모두에 대 한 공유 됩니다.

소프트웨어 제한 정책이 로컬 관리자에 게 적용 하지 않도록 설정 하려면

  1. 소프트웨어 제한 정책을 엽니다.

  2. 세부 정보 창에서 적용을 두 번 클릭합니다.

  3. 다음 사용자에게 소프트웨어 제한 정책 적용 아래에서 로컬 관리자 제외한 모든 사용자를 클릭합니다.

경고

  • 로컬 Administrators 그룹의 구성원이거나 이에 준하는 자격이 있어야 이 절차를 완료할 수 있습니다.

  • 아직 이와 같이 적용하지 않은 경우 GPO(그룹 정책 개체)에 대해 새 소프트웨어 제한 정책 설정을 만들어야 할 수 있습니다.

  • 일반적으로 사용자가 사용자 조직의 컴퓨터에서 로컬 관리자 그룹의 구성원인 경우 이 옵션이 필요하지 않을 수도 있습니다.

  • 로컬 컴퓨터에 대한 소프트웨어 제한 정책 설정을 정의하는 경우 이 절차를 통해 로컬 관리자가 적용된 소프트웨어 제한 정책을 적용하지 못하도록 방지합니다. 네트워크에 대 한 소프트웨어 제한 정책 설정을 정의 하는 경우에 그룹 정책을 통해 보안 그룹의 구성원 자격에 따라 사용자 정책 설정을 필터링 합니다.

소프트웨어 제한 정책의 기본 보안 수준을 변경 하려면

  1. 소프트웨어 제한 정책을 엽니다.

  2. 세부 정보 창에서 보안 수준을 두 번 클릭합니다.

  3. 기본값으로 설정하려는 보안 정책을 마우스 오른쪽 단추로 클릭한 다음 기본값으로 설정을 클릭합니다.

경고

특정 디렉터리에서 기본 보안 수준을 허용 안 함으로 설정하면 운영 체제에 부정적인 영향을 미칠 수 있습니다.

참고

  • 소프트웨어 제한 정책의 기본 보안 수준을 변경하는 환경에 따라 이 절차를 수행하는 데 서로 다른 관리 자격 증명이 필요합니다.

  • 아직 이와 같이 적용하지 않은 경우 이 GPO(그룹 정책 개체)에 대한 새 소프트웨어 제한 정책 설정을 만들어야 할 수 있습니다.

  • 세부 정보 창에서 현재 기본 보안 수준이 검정색 원 안에 확인 표시가 있는 상태로 표시됩니다. 현재 기본 보안 수준을 마우스 오른쪽 단추로 클릭하면 기본값으로 설정 명령이 메뉴에 표시되지 않습니다.

  • 소프트웨어 제한 정책 규칙은 기본 보안 수준에 대 한 예외를 지정 하 여 생성 됩니다. 기본 보안 수준이 무제한으로 설정되면 규칙을 통해 실행이 허용되지 않는 소프트웨어를 지정할 수 있습니다. 기본 보안 수준이 허용 안 함으로 설정되면 규칙을 통해 실행이 허용되는 소프트웨어를 지정할 수 있습니다.

  • 설치 시 시스템에 있는 모든 파일에 대한 소프트웨어 제한 정책의 기본 보안 수준은 무제한으로 설정됩니다.

Dll에 소프트웨어 제한 정책을 적용 하려면

  1. 소프트웨어 제한 정책을 엽니다.

  2. 세부 정보 창에서 적용을 두 번 클릭합니다.

  3. 소프트웨어 제한 정책을 다음에 적용 아래에서 모든 소프트웨어 파일을 클릭합니다.

참고

  • 이 절차를 수행하려면 로컬 컴퓨터에서 Administrators 그룹의 구성원이거나 적절한 권한이 위임되어야 합니다. 컴퓨터가 도메인에 가입되어 있는 경우 Domain Admins 그룹의 구성원은 이 절차를 수행할 수 있습니다.

  • 기본적으로 소프트웨어 제한 정책에서는 DLL(동적 연결 라이브러리)을 검사하지 않습니다. DLL을 검사하면 DLL을 로드할 때마다 소프트웨어 제한 정책이 평가되어야 하므로 시스템 성능이 저하될 수 있습니다. 그러나 DLL을 대상으로 하는 바이러스 수신이 염려될 경우 DLL을 검사하도록 결정할 수도 있습니다. 기본 보안 수준을 설정 된 경우허용 안함검사, 소프트웨어 제한 정책 규칙 만들어야 각 DLL 실행을 허용 하는 DLL을 사용 하도록 설정 합니다.